Compliance & Regulationシリーズの一部
完全ガイドを読む中国 PIPL コンプライアンス: 国境を越えたデータ転送ガイド
2021 年 11 月 1 日に施行される中国個人情報保護法 (PIPL — 个人信息保护法) は、中国の包括的な国家データプライバシー法であり、世界で最も要求の厳しいデータ保護フレームワークの 1 つです。データセキュリティ法 (DSL、2021 年 9 月発効) およびサイバーセキュリティ法 (CSL、2017 年 6 月発効) と並んで、PIPL は企業が中国の内外でデータを収集、処理、保存、転送する方法を根本的に再構築する 3 部作の規制を形成します。
中国で事業を展開している多国籍企業、または中国の消費者にサービスを提供している多国籍企業にとって、PIPL への準拠は任意ではありません。違反した場合は、年間売上高の 5% までの罰金、事業活動の停止、および責任ある経営陣の個人刑事責任が科される可能性があります。中国サイバースペース管理局(CAC)は、Didi Global(罰金11億9000万ドル)、Full Truck Alliance、Boss Zhipinに対する注目を集める行動を含む、積極的な取り締まりを実証している。
重要なポイント
- PIPL は中国国内の個人の個人情報の処理に適用されます - 域外の範囲には、中国人をターゲットまたは分析する海外の組織が含まれます
- 処理目的ごとに個別の同意が必要です - 一括した同意は無効です
- 「機密の個人情報」(生体認証、財務、健康、正確な位置情報、未成年者のデータ) には、別途明示的な同意が必要です
- 国境を越えた転送には、CAC セキュリティ評価、標準契約、または認証の 3 つのメカニズムのいずれかが必要です。すべて運用上重要です。
- データ ローカリゼーション要件は重要情報インフラストラクチャ オペレータ (CIIO) に適用されます。
- 大規模な国境を越えた転送(年間 100,000 件を超える個人データ)には CAC セキュリティ評価が必須です
- 未成年者 (14 歳未満) の重要な個人情報には、別途親の同意と高度な保護が必要です
- 重大な違反の場合、罰金は年間売上高の最大 5% に達します。制裁として営業停止もあり得る
PIPL フレームワークとスコープ
法的根拠
PIPL は、2021 年 8 月 20 日に全国人民代表大会常務委員会によって採択されました。PIPL は、法律全体に組み込まれた国家安全保障の考慮事項など、中国独自の規制状況を反映しながら、世界的なデータ保護のベスト プラクティス (特に GDPR) を活用しています。
主要原則 (第 5 条から第 9 条):
- 合法性、正当性、必要性、誠実さ
- 明確かつ合理的な目的
- データの最小化
- 品質保証(正確性と完全性)
- 安全性と責任 ・必要最小限の範囲に限定した処理
地域の範囲
第 3 条は、PIPL の域外適用を規定しています。以下に適用されます。
- 中国国内の事業体による中国領域内の個人の個人情報の処理
- 中国国外の事業体による中国領域内の個人の個人情報の処理:
- 中国国内の個人に製品またはサービスを提供することを目的とする
- 目的は中国における個人の行動を分析または評価することです
- Other circumstances specified by CAC
これは、中国語で Web サイトを運営したり、中国人消費者にサービスを提供したり、中国人ユーザーの行動をプロファイリングする分析ツールを使用したりする外国企業は、PIPL に準拠する必要があることを意味します。
海外個人情報処理業者 (OPIP): PIPL の域外適用範囲内の海外事業体は、次のことを行う必要があります (第 53 条)。
- 中国国内に専用の組織を設立するか、代表者を任命する
- 中国代表者の名前と連絡先詳細を関連管轄部門に提出します。
処理の法的根拠
PIPL の第 13 条では、個人情報の処理に関する 6 つの法的根拠を定めています。複数のベースが均等に重み付けされる GDPR とは異なり、PIPL は 個人の同意 を主要なベースとして扱い、他のベースは例外として扱います。
| 法的根拠 | 説明 |
|---|---|
| 個別の同意 | 個別の、情報に基づいた、自発的、明示的な同意 |
| 契約・人事 | 契約の履行や法定ルールに基づく人事管理に必要 |
| 法的義務 | 法定の義務または義務を履行するために必要 |
| 公衆衛生上の緊急事態 | 公衆衛生上の緊急事態への対応、または生命/健康/財産の安全の保護 |
| 報道・監修活動 | 公益のため、合理的な範囲内で |
| 公開 | すでに公開されている情報を合理的な範囲で処理する |
| その他の法的規定 | 法律および行政法規によって規定されるその他の事情 |
重要な同意要件 (第 14 条から第 17 条):
- 同意は自発的かつ明示的に与えられる必要があります
- 同意は通知される必要があります — 個人は決定する前に、何に同意するのかを理解する必要があります
- 同意をバンドルすることはできません — 処理目的ごとに個別の同意を取得する必要があります
- 同意の撤回は、同意するのと同じくらい簡単**でなければなりません
- 撤回は以前の合法的な処理には影響しません
- 個人情報の提供の拒否または同意の撤回は、主要な製品/サービスの提供に影響を与えてはなりません(サービスにデータが必要な場合を除く)
機密の個人情報
第 28 条では、機密個人情報 (Sensitive Personal Information) を、一度漏洩または違法に使用されると、自然人の尊厳に損害を与えたり、個人または財産の安全に重大な損害を与えたりする可能性のある個人情報と定義しています。具体的なカテゴリには次のようなものがあります。
- 生体情報 (指紋、声紋、顔認識、虹彩、遺伝データ)
- 宗教的信念
- 特定のアイデンティティ (政党、民族)
- 医療健康情報
- 金融口座
- 正確な位置情報 (リアルタイム GPS、正確な移動追跡)
- 14歳未満の未成年者の個人情報
機密性の高い PI に対する要件の強化:
- 個別の明示的な同意 (機密性のない処理に対する同意に追加)
- 必要性の正当化 - 特定の目的と十分な必要性がなければなりません
- セキュリティ対策の強化
- 処理による具体的な影響についての個人への通知
お子様の個人情報 (14 歳未満の未成年者): 親または保護者の同意を得る必要があります。 CAC は、オンライン サービス プロバイダー向けの追加要件を含む、オンラインでの子供の個人情報の保護に関する特定の規則 (2019 年、2022 年修正) を発行しました。
データ主体の権利
PIPL は個人に次の権利を付与します (第 IV 章、第 44 条から第 50 条)。
知る権利と決定する権利: 個人は、自分の個人情報の処理について知り、決定する権利、また他者による処理を制限または拒否する権利を有します。
アクセスおよびコピーする権利: 個人は、自分の個人情報のコピーを要求できます。処理者は、合理的な期間内にそれを提供する必要があります。
転送する権利: 技術的に可能な場合、個人は、指定された別の処理者への個人情報の転送を要求できます。
修正の権利: 個人は、不正確または不完全な個人情報を修正することができます。
削除の権利: 以下の場合には削除が必要です。(1) 処理目的が達成された、または不可能である。 (2) 加工者が製品/サービスの提供を停止することを決定する。 (3) 保存期間が終了した場合。 (4) 同意が撤回された。 (5) 法令または規約に違反する行為。
同意を撤回する権利: 同意に基づく処理の場合、個人はいつでも撤回できます。撤回は、以前の合法的な処理には影響しません。
説明を受ける権利: 個人は、個人情報処理規則の説明を求めることができます。
自動化された意思決定を拒否する権利: PI がパーソナライズされた推奨事項または自動化された意思決定に使用される場合、個人は、重大な影響を与える意思決定を拒否し、人間によるレビューを要求する権利を有します。
国境を越えたデータ転送: 重大な課題
PIPL の第 3 章 (第 38 条から第 43 条) は、主要なプライバシー法の中で最も厳格な国境を越えた転送の枠組みを課しており、これが多国籍企業にとって運用上最も困難なコンプライアンス分野となっています。
許可される 3 つのメカニズム
1. CAC セキュリティ評価 (第 38 条第 1 項)
以下の場合に必須です:
- 重要情報インフラストラクチャ事業者 (CIIO) — 国境を越えた転送
- 非 CIIO 処理者: 今年度の累積海外転送が 100,000 人の個人データ (または 10,000 人の機密 PI の個人データ) に達した場合
- 重要データ(DSL上の重要データ)により生成される個人情報
CAC のセキュリティ評価には、転送、受信者のデータ保護慣行、契約上の取り決めに関する詳細な文書を添えた申請書の提出が含まれます。評価のタイムラインは 60 営業日です (90 日まで延長可能)。
2.標準契約書(第 38 条第 2 項)
100,000 のしきい値に達していない非 CIIO プロセッサの場合、2023 年 2 月に発行された CAC 承認の標準契約条項を使用して海外送金を行うことができます。 主な要件:
- CAC SCC テンプレートを変更せずに使用します
- 契約発効後 10 営業日以内に州レベルの CAC に SCC を提出します。
- 移管前に個人情報保護影響評価 (PIPIA) を実施する
- PIPIAと契約記録を3年間維持します
3.認証(第 38 条第 3 項)
関連会社間のグループ内転送には、CAC 認定の個人情報保護専門組織による認証を使用できます。 PIPIA 認証スキームは、国家情報セキュリティ標準化技術委員会 (TC260) と CAC によって共同開発されました。
搬送機構選定ガイド
| 会社の種類 | 適用機構 |
|---|---|
| CIIO (重要インフラ) | CAC セキュリティ評価 (必須) |
| 1 月 1 日以降、100 万人を超えるユーザーの PI が海外に移転しました | CAC セキュリティ評価 (必須) |
| 今年、10 万人から 100 万人の研究代表者が海外に転勤 | CAC セキュリティ評価 (必須) |
| 海外転勤者 10,000 人以上の機密性の高い PI | CAC セキュリティ評価 (必須) |
| 非 CIIO、100,000 しきい値未満、無関係なエンティティ | CAC 標準契約 + PIPIA |
| CIIO 以外のグループ内異動 | 認証または CAC 標準契約 |
CIIO のデータ ローカリゼーション
重要情報インフラ事業者は、中国で収集・生成された個人情報および「重要データ」を中国国内に保管しなければなりません(第40条)。 CIIO によって中国で収集されたデータの国境を越えた転送には、CAC のセキュリティ評価が必要です。 CIIO は、CSL およびセクター固有の CIIO 識別規則によって広範に定義されており、エネルギー、運輸、水道、金融、公共サービス、電子政府、国防、インターネット インフラストラクチャ オペレーターが対象となります。
大規模プロセッサに対する義務
第 58 条は、サービスが多数のユーザー (CAC によって決定されるが、CAC のガイダンスに基づいて 1,000 万人以上のユーザーであると一般的に理解されています) にサービスを提供する個人情報処理業者に追加の義務を課します。
- 個人情報保護 コンプライアンス プログラムと手順を策定する
- 社会的監視を備えた外部監視メカニズムを確立する
- 個人情報保護の定期的な遵守監査を実施します
- 重大なリスクを伴う活動を処理する前に 個人情報保護影響評価 (PIPIA) を実施します
- 関連する国家当局による監督を受け入れる
- 監督を担当する 個人情報保護責任者 (PIPO) を任命します
個人情報保護影響評価 (PIPIA)
第 55 条では、以下の場合に PIPIA が必要です。
- 機密性の高い個人情報の処理
- 自動化された意思決定のための PI の使用 ・第三者への処理の委託、PIの共有、譲渡等
- PIの公開
- 国境を越えた送金 (SCC メカニズムに必要)
- 個人に重大な影響を与えるその他の処理活動
PIPIA の文書は少なくとも 3 年間保存する必要があります。 PIPIA は以下を分析する必要があります。 ・加工の目的、方法、範囲が法令に適合しているか。
- 個人の権利への影響とセキュリティリスクの程度
- 保護措置が合法的、効果的、およびリスクに見合ったものであるかどうか
違反通知
第 57 条では、個人情報セキュリティ インシデント (侵害) を発見した場合、処理者は直ちに是正措置を講じ、管轄当局および個人に通知する必要があると規定しています。通知には以下を含める必要があります: ・個人情報の漏洩、改ざん、紛失の種類
- インシデントの原因と潜在的な損害
- 処理者が講じた是正措置
- 被害を軽減するために個人がとれる措置
- プロセッサーの連絡先情報
タイムライン: 法律では「即時」と規定されています。CAC のガイダンスでは、違反が発見され次第、内部および規制当局に通知することを意味すると示しています。範囲が評価されたら、不当な遅延なく個別に通知する必要があります。
侵害が個人に損害を与える可能性が低い場合、処理者は個人に通知する代わりにインシデントを内部的に記録することができます (規制当局の審査の対象となります)。
CAC の施行と罰則
中国サイバースペース局は主要なPIPL執行機関であり、各分野の規制当局(金融データについてはPBOC、健康データについてはNHSAなど)と連携して活動している。
行政罰 (第 66 条):
- 警告と修正命令
- 不法利益の没収
- 軽微な違反の場合、最大 100 万人民元 (140,000 米ドル) の罰金
- 重大な違反に対しては、前年の年間売上高の最大 5% の罰金
- 事業活動の停止または終了(原子力オプション)
- 役員の個人責任: 最高100万元の罰金、会社の取締役/役員になることの禁止
刑事送致: 国家安全保障に関わる違反または刑事犯罪に該当する違反は、公安当局に送致されます。
注目すべき執行措置:
- Didi Global (2022): ネットワーク データ セキュリティの重大な違反に対して 11 億 9000 万ドルの罰金 – これまでで最大の PIPL 関連の執行措置
- BOSS Zhipin および Full Truck Alliance (2021): 海外上場に関連するサイバーセキュリティ審査違反に対する停止および調査
- フィンテック、ヘルスケア、インターネット分野にわたる企業に対する継続的な CAC 調査
PIPL コンプライアンス チェックリスト
- 適用性分析完了 (中国事業、中国ユーザー、域外範囲)
- PIPL 範囲内の海外法人の場合に指定される中国の代表者/法人
- 機密性の高い個人識別情報を含む個人情報のインベントリが完了しました
- すべての処理アクティビティについて文書化された法的根拠 (大部分の同意)
- 処理目的ごとに個別の同意メカニズムを実装
- 機密性の高い PI の同意は個別かつ明示的に取得されています
- 子供 (14 歳未満) の個人情報が特定 — 親の同意メカニズムが実装
- 必要な開示をすべて記載した中国語で作成されたプライバシー通知
- データ主体の権利手順を文書化 (アクセス、修正、削除、移植性、撤回)
- 国境を越えた移転評価が完了 — メカニズムが決定されました (CAC 評価、SCC、または認証)
- PIPIA はすべての国境を越えた送金に対して実施されます (SCC メカニズムでは必須)
- CAC SCC が 10 日以内に州の CAC に提出されました (SCC メカニズムが使用されている場合)
- CIIO の決定が完了しました — 該当する場合、データ ローカリゼーションが実装されました
- 大規模プロセッサ義務が評価されました (1,000 万ユーザー以上のしきい値)
- 該当する場合は PIPO を指定 (大規模プロセッサ)
- サードパーティ プロセッサー契約は PIPL 第 II 章に準拠しています
- セキュリティ対策の実装: 暗号化、アクセス制御、監視
- 違反通知手順を文書化 (即時対応)
- 自動化された意思決定の透明性とオプトアウトメカニズムの実装
よくある質問
中国の PIPL の国境を越えた送金要件はなぜこれほど難しいのでしょうか?
3 つの要素: (1) 大規模な転送には必須の CAC セキュリティ評価 — 評価プロセスは長期間 (60 営業日以上) かかり、リスク評価を含む広範な文書が必要です。 (2) 標準契約を使用した少額の送金の場合でも、署名後 10 日以内に PIPIA を完了し、契約を CAC に提出する必要があります。 (3) 必須評価のきっかけとなるデータ量 (100,000 個人/年) は、中規模企業では容易に超えます。中国で事業を展開する多国籍企業は、事実上、国境を越えたデータフローのための専用のPIPLコンプライアンスプログラムを持たなければなりません。
中国に物理的に拠点を持たない企業に PIPL はどのように適用されますか?
第 3 条 (2) は、中国の個人に製品またはサービスを提供する、または中国の個人の行動を分析する海外の加工業者に PIPL を適用します。第 53 条は、かかる加工業者に対し、中国国内の代表的な組織または個人を指定し、連絡先の詳細を管轄当局に報告することを義務付けています。実際には、大量の中国人トラフィックがある海外の Web サイト、中国人ユーザーがいるアプリ、または中国の消費者データを処理する分析プラットフォームは、中国代表要件を含む PIPL に準拠する必要があります。
CAC セキュリティ評価プロセスは実際にはどのようなものですか?
CAC のセキュリティ評価には、州レベルの CAC (ほとんどの企業の場合) または国家 CAC (CIIO の場合) を通じて詳細な申請書を提出することが含まれます。必要な文書には、データ輸出セキュリティ評価自己評価レポート、PI 輸出契約、PIPIA レポート、およびその他のサポート資料が含まれます。評価には、データエクスポートの目的と方法が法律に準拠しているかどうかが含まれます。海外受取人の国が適切な保護を受けているかどうか。譲渡による個人の権利に対するリスク。契約上の保護の適切性。評価には 60 営業日かかります (複雑なケースの場合は 90 営業日まで延長可能)。多くの多国籍企業では、このプロセスには実際には 6 ~ 12 か月かかることがわかっています。
PIPL は中国のデータセキュリティ法 (DSL) とどのように関係しますか?
PIPL と DSL は連携して動作します。 PIPLは個人情報の保護に重点を置いています。 DSL は、「一般データ」から「中核州データ」までの段階的な分類システムを使用して、国家安全保障と経済的重要性に基づいてすべてのデータ (非個人データを含む) を管理します。 DSL では、すべてのデータ処理がデータ分類要件、重要なデータ処理制限、および「重要なデータ」の国境を越えた転送ルールに準拠することが求められます。重要データ (重要データ) には、DSL に基づく独自の国境を越えた転送評価要件があります。中国の多国籍企業は、PIPL (個人データの場合) と DSL (重要と分類される商用データを含むすべてのデータの場合) の両方に基づいてコンプライアンスを評価する必要があります。
業界固有の PIPL 要件はありますか?
はい。いくつかの分野の規制当局は、PIPL に準拠した規制または補足的な規制を発行しています。中国人民銀行 (PBOC) には金融データの保護と送信に関する要件があります。国家健康安全局 (NHSA) は健康データを規制します。工業情報技術省 (MIIT) は、禁止されているデータ収集行為の具体的なリストを使用してモバイル アプリのデータ収集を規制しています。 TC260 (国家情報セキュリティ標準化技術委員会) は、自主的だが広く参照されている技術標準として GB/T 35273 (個人情報セキュリティ仕様) を発行しました。セクターの規制を受ける事業体は、PIPL とセクター固有の要件の両方に準拠する必要があります。
次のステップ
中国の PIPL は、特に国境を越えたデータ運用において、世界で最も要求の厳しいデータ保護フレームワークの 1 つです。同意優先の処理、厳密な国境を越えた転送メカニズム、CIIO 向けのデータ ローカライゼーション、および積極的な CAC の執行の組み合わせにより、PIPL コンプライアンスは、重大な中国との関係を持つ組織にとって取締役会レベルのリスクとなります。
ECOSIRE のチームは、PIPL 準拠のデータ アーキテクチャの設計、中国ユーザーの同意管理の実装、PIPIA の実施、国境を越えた転送メカニズムの選択プロセスのナビゲートを支援します。
始めましょう: ECOSIRE サービス
免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。中国のデータ保護規制は急速に進化しています。貴社の組織や活動に特有のアドバイスについては、中国の資格を持つ法律顧問にご相談ください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulationのその他の記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.