コロナ及びその他のホットな話題

8月20日施行のデータセキュリティリスク評価に関する新規則 -NEW-

   2026年6月18日に国家インターネット情報弁公室、工業情報化部、公安部が共同で公布した『ネットワークデータセキュリティリスク評価弁法』(三部門令第24号、以下「新規則」という。)が2026年8月20日より正式に施行されます。これに伴い、中国で事業を展開する外資系商社、製造業、金融業などの企業は、潜在的な経営リスクを抑えるためにも、自社のコンプライアンス状況を事前に整理する必要があります。

   新規則の施行後は、海外本社へのデータ送信にもリスク評価の要件が適用されることになります。例えば、自動車、バイオ医薬品、パワーエレクトロニクス、金融業界などの企業が海外本社へ現地の研究開発成果や生産・経営データを送信する際、重要データに類するものが含まれている場合は、年1回のセキュリティ評価に加え、データ範囲の調整や新たな越境送信経路の追加に伴う専門評価の実施が求められます。

   また、新規則では一般データ処理者に対し少なくとも3年に1回のリスク評価を推奨していますが、これは強制要件ではなく、リスク評価を行わなかった場合の強制的な罰則規定も今のところ設けられていません。

   加えて、会員販売、ヒューマンリソース、EC関連の外資系企業は、ユーザー数のレッドラインにも注意を払う必要があります。自社内で累計1,000万人以上の消費者や従業員の個人情報を処理している場合、法定の重要データ保有者に該当していなくても、同等レベルの厳格なデータセキュリティ管理要件を遵守しなければなりません。

   これらを踏まえ、高リスク業界に該当する現地日系・外資系企業は、新規則施行に備えて自社のデータ処理範囲を全面的にチェックすることをお勧めします。近年、業界判定基準の細分化・複雑化が進むと共に、中国と海外のデータコンプライアンスルールの差異が広がっていることから、コンプライアンス担当者や現地弁護士のサポートを得て整理・検証を行うことは、判断ミスによる処罰や制限を効果的に防ぐ助けとなります。自社が重点コンプライアンス管理対象に指定された場合は、コンプライアンスに準拠した評価を遅滞なく完了することで、コンプライアンス経営を確保することができるでしょう。もし基準を満たしていない場合でも、自社で検査した際の資料を適切に保管しておくことは、監督当局による抜き打ち検査における誤認定や不要な責任追及といったリスクを回避するうえで有効となります。

作成日:2026年07月03日