企業におけるサイバーセキュリティ新規則の実務対応 -NEW-
2025年10月28日、全国人民代表大会常務委員会は新たに『中華人民共和国サイバーセキュリティ法』(以下、『サイバーセキュリティ法』という。)改正版の内容を公布し、2026年1月1日から全面的に施行しています。
今回の改正は2017年のサイバーセキュリティ法施行以来、初の大きな改正であり、企業のネットワーク運営義務責任などに重大な影響を与えるものとなっています。そこで今回は、日系企業が注目すべき2つのポイントを整理して解説いたします。
1.企業サイトやOAシステムを持つ企業におけるサイバーセキュリティ保護義務の留意点
新『サイバーセキュリティ法』の規定によると、ネットワーク運営者が相応のサイバーセキュリティ保護義務を履行していない場合、安全が脅かされていなかったとしても是正命令や警告を受ける可能性があり、同時に1万元以上5万元以下の罰金(当該罰金は新たに追加された責任)を科される可能性があります。安全を脅かす深刻な結果が伴う場合、企業に対しては最高1,000万元、法定代表者やサイバーセキュリティ関連の主管者などに対しては最高100万元の罰金を科すとしています。
実務上、ネットワーク運営者とは、ネットワーク運営を提供するプラットフォームやIT企業などのみを指すわけではありません。ローカルエリアネットワーク、OAシステム、企業の公式サイト、公式アカウント、アプリケーション、ミニアプリ、オンラインショップなどを設置する多くの企業もネットワーク運営者となります。そのため、各企業には新法が列挙するサイバーセキュリティ保護義務について正しく理解し、履行することが求められます。
また、サイバーセキュリティ等級は企業ごとに異なり、政府当局が求めるセキュリティ保護義務も異なるという点に留意する必要があり、その詳細については第三者の専門機関に評価を委託することや、現地公安部門のインターネット警察支隊に問い合わせることができます。
前述のサイバーセキュリティ保護義務を履行しなかった場合に罰金を科されるか否かに関しては、事件の状況に応じて政府当局と十分に協議を行う必要があるでしょう。
2.クロスボーダーデータ転送及び国外サービス運用規則の重要性
一部のグローバル企業や機関は、生産経営管理において海外の一元管理システム(SAP)、OAシステム、サプライチェーン管理など中国以外のサービスシステムを使用している可能性があります。新『サイバーセキュリティ法』の施行により、もし企業業務が海外のクラウドプロバイダーやSaaSツールに大きく依存している場合、それらが中国のサイバーセキュリティ要求を満たしているかどうかに留意する必要があります。海外サプライヤーの脆弱性によるサイバーセキュリティ事件が起きた場合、現地企業も責任を負う恐れや処罰リスクに直面する可能性があります。
また現地企業が生産経営や管理の必要により生産経営及び現地従業員の基本情報やデータを日本本社と共有する際は、罰金や経営停止などの処罰を受けないよう、データ越境セキュリティ評価、認証或いは標準契約の締結など相応のコンプライアンスプロセスを履行することにも留意が必要です。
◆日系企業へのアドバイス
今回の『サイバーセキュリティ法』改正により、企業に対するコンプライアンス要件が強化され、法的責任がより厳格化されましたが、同時にコンプライアンスのガイドラインを提供していることは企業にとって朗報と言えます。とはいえ、サイバーセキュリティ対策及び政府当局との専門的な交渉には複雑性が伴うことから、罰則回避のためにも現地弁護士との早期コミュニケーションや対策案の策定が重要となります。
作成日:2026年01月29日
