速報:個人情報越境移転に関する新規定、2026年1月1日から施行 -NEW-
2025年10月17日、中国国家インターネット情報弁公室は『個人情報越境移転認証弁法』(以下、「本弁法」という。)を公布しました。本弁法は2026年1月1日より施行されます。そこで今回は、日系企業にも深く関わるポイントについて、簡潔にご紹介いたします。
1. 個人情報越境移転認証制度の適用範囲を明確化
本弁法は、主体とデータ量の観点から、個人情報越境移転認証の適用範囲を定めています。
◆ 主体:国家が定める「重要情報インフラ運営者」に該当しない事業者(例:一般的な企業)が対象
◆ データ量:その年の1月1日からの累計で、通常の個人情報の場合は10万件〜100万件、敏感な個人情報(例:身分証番号、健康情報)の場合は1万件未満かつ国家安全等に関わる重要データを含まない。
上記の主体およびデータ量の両方を満たす場合は、認証方式による越境移転が可能となります。(第5条)
また、仮にデータを意図的に分割して(例:100万件を2回に分けて50万件ずつ送るなど)厳格な「データセキュリティ評価」の適用を回避しようとした場合、当局による処分の対象となる可能性があります。
2. 認証制度はあくまで企業の任意
個人情報越境移転認証は、第三者機関による評価が必要となるため公信力が高く、年間で10万件以上〜100万件未満の個人情報を定期的に越境移転する企業にとっては現実的な選択肢となりますが、認証の取得には第三者機関への認証費用(数十万元に達する可能性)が必要となります。
また、本認証制度は義務ではなく、企業の任意申請であることに留意する必要があります。
3. 申請前の注意事項
認証方式により個人情報の越境移転を検討している企業は、事前に以下の2点を完了する必要があります。
(1)告知と個別同意の取得:利用者に対し、越境移転の目的や受領者、リスクを明確に説明し、個別に同意を得る。
(2)リスク評価の実施:自社または現地の弁護士などを通じて、受領者の安全管理能力や漏洩リスク、移転先国の法制度の影響などを含む「個人情報保護影響評価報告書」を作成する。
上記要件を満たさずに申請を行った場合は、認証が却下される可能性があります。
◆ 日系企業へのアドバイス
今回の個人情報認証制度は、標準契約の締結、データセキュリティ評価と併せて、中国における個人情報およびデータの越境移転に関する三大制度の1つとして位置づけられます。本弁法は、外資企業に対しコンプライアンスに準拠した実行可能なルート提供するものですが、技術面、プロセス面、管理面において相応のリソース投入が必要となります。
上述の三大制度は、それぞれ適用条件、必要手続き、所要時間、費用負担が異なります。そのため、各企業は現在のデータ越境シナリオを整理し、現地の専門家と協議の上でデータの種類や件数、企業の分類(業種・組織規模)、転送データの性質、費用および時間的コストなどを総合的に判断し、自社にとって最適な越境移転手段を選定する必要があります。併せて、関連規程や緊急対応マニュアルの整備・改訂を行い、コンプライアンスコストとビジネス発展のバランスを取ることが重要です。
作成日:2025年10月22日
