GDPR対PIPL:EUと中国のデータプライバシー法比較(2026年)
GDPRと中国のPIPLは類似した構造を有しているが、実務上重要ないくつかの点で異なっている。PIPL第13条は適法根拠として正当な利益を含んでおらず、第三者への提供および越境移転について別個の同意を要求し、大量取扱事業者に対しデータのローカライゼーション(域内保存)を義務付け、そして責任を負う個人に対する個人的な法的責任を課している。
EUの一般データ保護規則(GDPR)と、2021年11月1日に施行された中国の個人情報保護法(PIPL)は、データ保護に関する根本的に異なる二つの理念を体現している。両法とも個人に対し自己の個人情報に関する権利を付与しているが、PIPLは国家の権限とデータ主権に対する中国独自の重視を反映している。両法域にまたがって事業を行う組織にとって、法的根拠、同意要件、越境移転規則、そして監督体制の違いは、重大なコンプライアンス上の複雑性を生じさせる。
本稿は、両制度における2025-2026年の規制動向を含め、二つの枠組みを並べて比較する。
情報は2026年5月19日時点で最終確認済み。本稿は資格を有する弁護士によるレビューをまだ受けていない。
対象法域について: 本稿は、EU一般データ保護規則(GDPR、EEA加盟30か国すべてに適用)と、中国の個人情報保護法(PIPL、2021年11月1日施行)、および中国のサイバーセキュリティ法(改正済み、2026年1月1日施行)とデータセキュリティ法(2021年9月1日施行)を取り上げる。米国の州プライバシー法(これについては米国データプライバシー法を参照)、またはその他の国のプライバシー制度は取り上げない。中国の広範な法制度の中でのPIPLの全体像については、中国データプライバシー法ガイドを参照されたい。
GDPRとPIPL:概観
以下の表は、最も重要な比較のポイントをまとめたものである。詳細な分析は各セクションで続く。
| 特徴 | GDPR | PIPL |
|---|---|---|
| 管轄 | EEA加盟30か国 | 中国(中華人民共和国) |
| 施行日 | 2018年5月25日 | 2021年11月1日 |
| 域外適用 | あり(第3条) | あり(第3条) |
| 適法根拠 | 6(正当な利益を含む) | 7、ただし正当な利益は含まれない |
| 第三者提供に別個の同意が必要 | いいえ | あり(第23条) |
| データローカライゼーション | 不要 | CIIOおよび大量取扱事業者に必要 |
| 越境移転の仕組み | 十分性認定、SCC、BCR、認証、適用除外 | セキュリティ評価、標準契約(CACへの届出)、認証 |
| 制裁金上限(組織) | 2,000万ユーロまたは全世界売上高の4% | 5,000万人民元または前年度売上高の5% |
| 個人的責任(個人) | 通常は課されない | あり:最大100万人民元、就任禁止 |
| 監督機関 | 各国のDPA+EDPB | CAC(主導)+MIIT、公安部、SAMR、金融規制当局 |
| 権利請求への対応期間 | 1か月(延長可能) | 「速やかに」(固定期限なし) |
| 死亡者の遺族の権利 | なし | あり(第49条) |
| 義務的コンプライアンス監査 | 不要 | あり:1,000万人以上を処理する事業者は2年ごと(2025年5月1日施行) |
背景と立法の経緯
GDPRは、EU基本権憲章第8条に成文化された、基本的権利としてのプライバシーという欧州の伝統から生まれた。1995年のデータ保護指令に代わり、2018年5月25日からEEA加盟30か国全体でデータ保護を調和させた。
中国のPIPLは、サイバーセキュリティ、データセキュリティ、個人情報を規律する三つの法律から成る体系の一つの柱である。残る二つは、サイバーセキュリティ法(CSL)とデータセキュリティ法(DSL、2021年9月1日施行)である。これら三つの法律は合わさって、中国への・からの情報の流れに関する包括的な枠組みを形成している。PIPLは2021年8月20日に全国人民代表大会常務委員会によって採択され、2021年11月1日に施行された。
PIPLはGDPRと構造上の類似点を有している。中国の規制当局は起草の過程で欧州モデルを研究した。しかし、PIPLはまた、データ主権、国家安全保障、大手テクノロジープラットフォームの規制をめぐる中国独自の政策目標によっても形作られている。その結果、構造は見慣れたものでありながら、実務上最も重要ないくつかの細部において大きく異なる法律が生まれた。
適用範囲と域外適用
両法とも域外適用されるが、その仕組みは異なる。
GDPRは第3条のもとで、EEA域内に設立された組織、およびEEA域外にあってもEEA域内の個人に商品・サービスを提供する、またはその行動を監視する組織に適用される。適用範囲に該当するEU域外の組織は、第27条に基づきEU代理人を選任しなければならない。
PIPLは第3条のもとで、中国国内におけるすべての個人情報の処理に適用され、また、中国国内の個人に製品・サービスを提供すること、中国国内の個人の行動を分析・評価すること、またはその他法律が定める状況を目的とする場合には、中国国外においても適用される。適用範囲に該当する中国国外の組織は、個人情報保護に関する事項について、専属の機関を設立するか、または中国国内に代表者を選任しなければならない(PIPL第53条)。
実務上の執行力には違いがある。EUは制裁金、処理の禁止、そしてEUから第三国への移転については十分性の仕組みに依拠している。中国は、違反する外国組織に対して市場アクセスを直接制限することができ、これによりPIPLはGDPRにはない執行力を有している。
広州インターネット法院は、2024年秋、PIPLの域外適用に関する初の公表判決を下した。ある中国人のホテル宿泊客が、匿名のフランス系ホテルグループを提訴した事案で、同グループはPIPL第23条が求める別個の同意を得ることなく、宿泊客の個人情報を第三者に提供していた。裁判所は同ホテルグループの責任を認めた。この事案は、中国の裁判所が、中国居住者のデータを処理する外国組織に対してもPIPLの基準を適用することを確認するものである。
定義と保護対象データ
| 用語 | GDPR | PIPL |
|---|---|---|
| 保護対象個人 | データ主体 | 個人(個人情報主体) |
| 保護対象データ | 個人データ | 個人情報 |
| 機微データ | 特別カテゴリー(第9条) | 機微個人情報(第28条) |
| データ収集主体 | 管理者 | 個人情報取扱者 |
| 処理受託者 | 処理者 | 受託者 |
| プライバシー責任者 | データ保護責任者(DPO) | 個人情報保護責任者 |
PIPLは、個人情報を、電子的またはその他の方法で記録された、識別された、または識別され得る自然人に関するあらゆる情報と定義しており、匿名化された情報は除外される。GDPRの個人データの定義は実質的に同等である。
PIPLの機微個人情報カテゴリー(第28条)には、生体データ、宗教的信条、特定の身元情報、医療・健康情報、金融口座、位置情報の追跡、そして14歳未満の未成年者の個人情報が含まれる。GDPRの特別カテゴリー(第9条)は、人種的・民族的出自、政治的意見、宗教的・思想的信条、労働組合への加入、遺伝データ、生体データ、健康データ、性生活、性的指向に関するデータを対象とする。PIPLは未成年者のデータおよび金融口座データを機微カテゴリーに追加している。GDPRは政治的意見、労働組合への加入、性的指向を追加している。
処理の法的根拠
GDPRは第6条のもとで六つの適法根拠を定めている。同意、契約履行、法的義務、生命に関する利益、公共の任務、正当な利益である。
PIPL第13条は、個人情報取扱者が個人情報を処理できる七つの状況を定めている。決定的に欠落しているのが正当な利益である。
| 法的根拠 | GDPR | PIPL |
|---|---|---|
| 同意 | あり(第6条1項a号) | あり(第13条第1号) |
| 契約履行 | あり(第6条1項b号) | あり(第13条第2号) |
| 法的義務 | あり(第6条1項c号) | あり(第13条第3号:法定の義務) |
| 生命に関する利益 | あり(第6条1項d号) | 部分的に、緊急事態に関する規定を通じて |
| 公共の利益 | あり(第6条1項e号) | あり(第13条第5号:報道、公的監督) |
| 正当な利益 | あり(第6条1項f号) | 利用不可 |
| 公衆衛生上の緊急事態 | 生命に関する利益に包含 | あり(第13条第4号) |
| 公開されたデータ | 依然として適法根拠が必要 | あり(第13条第6号:合理的な範囲内で) |
| その他の法定規定 | 該当なし | あり(第13条第7号) |
PIPLに正当な利益の根拠が存在しないことは、多国籍組織にとって最も重要な実務上の相違点の一つである。GDPRのもとでは、正当な利益は、ダイレクトマーケティング、不正防止、ネットワークおよび情報セキュリティ、グループ内でのデータ共有、そして分析のために最も一般的に用いられる法的根拠である。PIPLのもとでは、組織は通常、これらの活動について同意を取得するか、または列挙された別の根拠に該当するよう活動を再構成しなければならない。
同意要件:別個かつ細分化された同意
PIPLの同意要件はGDPRのそれよりも細分化されている。両法とも、同意が自由に与えられ、具体的で、十分な情報に基づき、かつ与えられたのと同程度容易に撤回できることを要求している。
PIPLはさらに進んで、以下の五つの特定の状況において、標準的な同意よりも高い水準である「別個の同意」を要求している。
- 第三者への個人情報の提供(第23条)
- 個人情報の公開(第25条)
- 機微個人情報の処理(第29条)
- 中国国外への個人情報の移転(第39条)
- 公共の安全以外の目的での、公共監視機器によって収集された画像または個人識別情報の利用(第26条)
GDPRが明示的な同意を要求するのは、第9条に基づく特別カテゴリーの個人データについてのみであり、また第49条に基づく国際移転の適用除外の場合のみである。第三者への提供および公開についてのPIPLの別個の同意要件は、GDPRが求める水準を超えている。
| 同意の特徴 | GDPR | PIPL |
|---|---|---|
| 標準的な同意 | 自由に与えられ、具体的、十分な情報に基づき、不明瞭でない(第7条) | 任意、明示的、十分な情報に基づく(第14条) |
| 機微/特別カテゴリー | 明示的な同意が必要(第9条) | 別個の同意が必要(第29条) |
| 越境移転 | 他の仕組みを用いる場合は不要(第46条) | 仕組みにかかわらず別個の同意が必要(第39条) |
| 第三者への提供 | 標準的な同意で足りる | 別個の同意が必要(第23条) |
| 公開 | 標準的な同意で足りる | 別個の同意が必要(第25条) |
| 子どものデータ | 16歳未満は保護者の同意(加盟国は13歳まで引き下げ可) | 14歳未満は保護者または後見人の同意(第31条) |
| 撤回 | 同意と同程度に容易でなければならない(第7条3項) | 同一の原則(第15条) |
| 抱き合わせの同意 | 具体的でなければならない。無関係な目的のための抱き合わせは無効 | 抱き合わせの同意は禁止(第17条) |
個人の権利:PIPL第44条から第50条対GDPR第3章
両法とも、個人に対し自己の個人情報に関する実質的な権利を付与しており、PIPLはその構造の大部分においてGDPR第3章をなぞっているが、期限と範囲において異なる。
PIPL第44条から第50条のもとでの権利は次のとおりである。
- 知り、決定する権利(第44条):個人は自己の個人情報の処理を制限または拒否できる。これはGDPRの異議申立権(第21条)および処理制限権(第18条)に対応する。
- アクセス権(第45条):個人は、組織が保有する自己の個人情報の写しにアクセスできる。GDPRの対応規定は第15条である。
- 訂正権(第46条):個人は不正確な個人情報の訂正を請求できる。GDPRの対応規定は第16条である。
- 消去権(第47条):処理目的が達成された場合、保存期間が満了した場合、同意が撤回された場合、処理が違法であった場合、その他の根拠が適用される場合、組織は個人情報を削除しなければならない。GDPRの対応規定は第17条である。
- データポータビリティの権利(第45条):個人は、CACが定める条件が満たされる場合に限り、個人情報を別の取扱者へ移転するよう請求できる。GDPR第20条のポータビリティの権利は、同意ベースおよび契約ベースの処理により広く適用される。
- 自動意思決定に関する権利(第24条):自動意思決定が個人の権利利益に重大な影響を及ぼす場合、個人は説明を求め、また専ら自動的な手段によってなされた決定を受け入れることを拒否できる。GDPR第22条は類似の範囲で完全な自動意思決定を対象とする。
- 死亡者の遺族の権利(第49条):死亡した個人の家族は、その正当な利益において、アクセス、訂正、削除の権利を行使できる。GDPRにはこれに相当する規定はない。
| 権利 | GDPR | PIPL |
|---|---|---|
| 通知を受ける権利 | 第13条-第14条(収集時) | 第17条(収集時に通知が必要) |
| アクセス | 第15条(1か月以内に対応) | 第45条(「速やかに」対応) |
| 訂正 | 第16条 | 第46条 |
| 消去 | 第17条 | 第47条 |
| 処理の制限 | 第18条 | 第44条(制限または拒否) |
| データポータビリティ | 第20条(広範) | 第45条(CACの条件が適用) |
| 処理への異議 | 第21条 | 第44条 |
| 自動意思決定 | 第22条 | 第24条 |
| 対応期限 | 1か月、3か月まで延長可能(第12条) | 「速やかに」-法定期限なし |
| 死亡者の遺族 | 規定なし | 第49条 |
PIPLに固定された対応期限が存在しないことは、執行上の非対称性を生じさせる。中国の組織は特定の法定期限を基準に請求対応体制を計画することができず、権利を行使する個人も、いつ回答を期待できるかについての確実性がより低い。
監督体制:EDPB/DPA対CACおよびマルチレギュレーターモデル
両制度は根本的に異なる監督構造を採用している。
GDPRのもとでは、各EU加盟国が一つまたは複数の国内監督機関(DPA)を指定する。これらのDPAは完全に独立し、公平にその権限を行使することが求められる(第52条)。複数のEU加盟国にまたがって事業を行う組織については、ワンストップショップの仕組み(第56条)により、組織の主たる拠点が所在する加盟国のDPAが、越境処理に関する主導監督機関として機能する。欧州データ保護会議(EDPB)は、各国DPA間の一貫性を調整し、越境紛争において拘束力のある決定を発し、EEA全域でDPAがGDPRをどのように執行するかを形作るガイドライン、勧告、意見を公表する。
中国のPIPLは、第60条に定められたマルチレギュレーターモデルを採用している。国内DPAに相当する管轄権を有する単一の機関は存在しない。国家インターネット情報弁公室(CAC)が主導・調整の役割を担う。その他の規制当局は、それぞれの指定された分野において権限を行使する。
- MIIT(工業和信息化部): アプリ、通信、インターネットサービス、ソフトウェア
- 公安部: セキュリティに関連する個人情報処理、監視、顔認識
- SAMR(国家市場監督管理総局): 消費者向け製品・サービス、電子商取引
- 金融分野の規制当局(中国人民銀行、CBIRC、CSRC):その監督下にある機関が処理する金融データ
- 衛生当局: 健康・医療データ
- 各省庁の地方の対応機関: 省・市レベルでの執行
2025年、CACはMIITおよび公安機関とともに複数部門にまたがる執行措置を主導し、六つの高頻度領域、すなわちアプリおよびミニプログラム、ソフトウェア開発キット(SDK)、スマート端末、公共の場における顔認識、オフラインの消費者シナリオ、そしてデータに関連する犯罪行為を対象とした。
両制度の適用を受ける組織にとって、実務上の違いは大きい。GDPRのもとでは、企業は主たるEU拠点に基づいて主導DPAを特定し、主にその機関と関わることができる。PIPLのもとでは、責任は分野別の規制当局に分散しており、複数の機関が一つの組織の活動について並行的な管轄権を有し得る。
政府によるデータへのアクセス
これは両制度間で理念上の乖離が最も大きい領域である。
GDPRは、必要性および比例性の原則(第23条)を通じて、政府による個人データへのアクセスを制限している。EU法は、政府による監視が司法または独立した監督に服することを求めている。EU司法裁判所(CJEU)は、外国政府によるアクセスが十分に制限されていないことを理由に、2020年の米国・EUプライバシーシールド(Schrems II判決)を含む国際移転の仕組みを無効としてきた。
中国の制度は、政府当局への広範な協力を要求している。国家情報法(2017年)第7条は、すべての組織および市民に対し、国家情報活動を「支援し、協力する」ことを義務付けている。2023年に大幅に改正された反スパイ法は、国外へ送信してはならない情報のカテゴリーを拡大した。PIPL第35条は、法定の職務のために個人情報を処理する政府機関がPIPLの要件を遵守しなければならないと定めているが、国家情報法、(国益に関わる「重要データ」を規律する)データセキュリティ法、そして改正CSLは、合わさって広範な国家アクセスの義務を生じさせている。
EDPBは、第三国における政府アクセス制度を、組織が移転影響評価において考慮しなければならない要素として特定している。中国に対するEU十分性認定が存在しないことは、一部にはこれらの規定に対する懸念を反映している。2026年5月時点で、EUと中国の間で十分性認定に関する交渉は行われていない。
越境データ移転
越境移転規則は、両制度間で実務上最も際立った相違点の一つである。
GDPRは、十分性認定(第45条)、標準契約条項(SCC、第46条)、拘束的企業準則(BCR、第47条)、行動規範・認証(第40条-第42条)、または特定の状況における適用除外(第49条)を通じた移転を認めている。組織は大きな柔軟性を伴う複数の経路を有し、いずれの移転の仕組みも政府規制当局への事前届出を要求しない。
PIPL第38条は三つの移転の仕組みを定めており、そのうち二つは政府の関与が必須である。
| 移転の仕組み | GDPR | PIPL |
|---|---|---|
| 十分性認定 | あり(第45条) | 利用不可 |
| 標準契約条項 | あり(第46条);政府への届出不要 | あり(第38条3項);CACへの届出が必要 |
| CACによるセキュリティ評価 | 不要 | CIIOおよび大量取扱事業者に必要 |
| 機関による認証 | あり(第42条) | あり(第38条2項);CAC指定機関;CAC/SAMR共同措置が2026年施行 |
| 拘束的企業準則 | あり(第47条) | 明示的には利用不可 |
| データ主体の同意 | 適用除外の場合のみ(第49条) | すべての移転について別個に必要(第39条) |
CACによるセキュリティ評価は、重要情報インフラ運営者(CIIO)、および前年度に10万人以上の個人の個人情報を処理した、または1万人以上の機微個人情報を処理した、または累計100万人以上の個人情報を国外へ移転した非CIIO組織にとって必須である。これらの閾値を下回る組織は、標準契約の経路(CACへの届出を伴う)または認証の経路を利用できる。
認証の経路は、CACとSAMRが2025-2026年に個人情報越境移転認証弁法を共同で発行したことにより正式化された。認証機関は、SAMRの承認を受けてから10営業日以内にCACへ登録しなければならない。これにより、PIPLが制定当初から想定していた三経路の移転の枠組みが完成した。
いずれの仕組みを用いる場合でも、PIPL第39条は、組織が越境移転のたびに個人データ主体に対して別個に通知し、別個の同意を取得することを求めている。この要件にはGDPRに相当する規定はない。
データローカライゼーション
PIPLは、CSLおよびDSLと相まって、GDPRに相当する規定のないデータローカライゼーション要件を課している。
CIIOは、中国国内で収集・生成された個人情報を国内に保存しなければならない(PIPL第40条、CSL第37条)。セキュリティ評価の閾値を超える非CIIOの個人情報取扱者も、データを国内に保存しなければならず、CACのセキュリティ評価に合格した後にのみ国外へデータを移転できる。改正CSL(2026年1月1日施行)は、ローカライゼーションに準じる義務の対象となるネットワーク運営者の範囲を拡大し、違反に対する制裁金の体系をPIPLの段階的な制裁金と整合させた。
GDPRにはデータローカライゼーション要件は存在しない。データはEEA域内で自由に流通し、EEA域外への越境移転は上記の仕組みを通じて認められている。EU域内に個人データの写しを保持する義務は存在しない。
この乖離は、統合されたEU・中国間のデータシステムを運用する組織にとって、構造的なコンプライアンス上の問題を生じさせる。中国と欧州の事業について別個のデータサイロを維持することが最も一般的な解決策であるが、これは継続的なインフラコストを伴い、データの一元化による運用上の利点を制限する。
執行と制裁
両制度とも重大な制裁を伴うが、PIPLの個人的責任に関する規定は、個々の役員にとって独自に厳しいものとなっている。
| 執行の側面 | GDPR | PIPL |
|---|---|---|
| 主たる執行機関 | 各国のDPA(30以上)、EDPBが調整 | CAC(主導)+MIIT、公安部、SAMR、金融規制当局 |
| 標準的な行政制裁金 | 最大1,000万ユーロまたは全世界年間売上高の2%(第83条4項) | 組織に対し最大100万人民元 |
| 重大な行政制裁金 | 最大2,000万ユーロまたは全世界年間売上高の4%(第83条5項) | 最大5,000万人民元または前年度売上高の5% |
| 個人に対する個人的責任 | 通常は課されない | 責任を負う個人に10万から100万人民元の制裁金 |
| 就任資格の剥奪 | 通常は課されない | 取締役、監事、上級管理職への就任禁止 |
| サービスの停止 | 処理の禁止があり得る | 当局はサービスの停止または許可の取消しを命じ得る |
| 信用記録 | 該当なし | 違反は組織および責任を負う個人の信用記録に記録される(第67条) |
| 侵害通知 | 規制当局へ72時間以内(第33条) | 規制当局へ「直ちに」(第57条) |
GDPRの執行は加速している。2018年5月以降に科された制裁金の総額は、2025年初頭時点で56億5,000万ユーロを超えた。2024年の注目すべき執行事例には、LinkedIn Ireland(3億1,000万ユーロ、アイルランドDPC、行動ターゲティング広告)、Uber(2億9,000万ユーロ、オランダDPA、EU-米国間移転の保護措置の不備)、そしてMeta(2億5,100万ユーロ、アイルランドDPC、2018年のデータ侵害)が含まれる。アイルランドDPCは2018年以降、主にアイルランドにEU拠点を置く大手米国テクノロジー企業に対し、合計35億ユーロを超える制裁金を科してきた。
PIPLの執行も同様に拡大している。2024年、CACは11,159のプラットフォームに聴取を行い、4,046件に制裁金または警告を科し、10,946のウェブサイトを閉鎖した。注目すべき事例には、Diorの上海子会社(2025年9月、無許可の越境データ移転、不十分な同意、不十分なセキュリティ対策により処分)、そして広州インターネット法院による初のPIPL域外適用判決(2024年秋、宿泊客のデータを別個の同意なしに移転したフランス系ホテルグループの責任を認定)が含まれる。
より広範な中国のデータ法体系:CSL、DSL、PIPL
中国で事業を行う組織は、PIPLと相互に関連する三つの法律に直面する。
サイバーセキュリティ法(CSL、改正版は2026年1月1日施行)。 2017年に元々制定されたCSLは、ネットワーク運営者および重要情報インフラ運営者を規律する。全国人民代表大会常務委員会は2025年10月28日に改正案を可決し、改正CSLは2026年1月1日に施行された。改正CSLにおける主な変更点は次のとおりである。
- 段階的な制裁金体系:特に重大な違反について、企業には最大1,000万人民元、個人には最大100万人民元の制裁金(従前のより低い上限に対して)
- 初のAIガバナンス規定:第20条は、AIの研究開発および訓練データの整備を促進する一方、AI倫理基準、リスク監視、AIが可能にする脅威に対するセキュリティ対策を義務付けている
- 拡大された域外適用範囲:改正法は、その活動が「中国のサイバーセキュリティを危険にさらす」あらゆる外国の組織または個人を対象とする。これは、重要情報インフラに損害を与える活動に焦点を当てていた従前の法律よりも広い
- サプライチェーンに関する義務:CII運営者は、無許可のネットワーク製品を使用した場合、調達額の1倍から10倍の制裁金に直面する。購入者と供給者の双方が直接的な法的義務を負うようになった
- 情状酌量事由:新設された第73条は、速やかに是正された違反、積極的に開示された違反、または十分な協力を伴う軽微な違反について、制裁金の減額を認めている
データセキュリティ法(DSL、2021年9月1日施行)。 DSLは、個人情報以外のデータ、具体的には国益に関わる「重要データ」および「コアデータ」を規律する。同法は、組織に対し、重要度に応じてデータを分類し、当該分類に見合ったセキュリティ対策を実施し、重要データまたはコアデータを国外へ移転する前に政府の承認を得ることを求めている。DSLは中国国内のデータ処理活動に適用され、また第2条のもとで、中国の国家安全保障、公共の利益、または市民・組織の適法な権利利益を害する中国国外での活動にも適用される。
PIPL。 個人情報を特に規律し、DSLのデータセキュリティ要件の上に位置する。単一のデータ(例えば中国人消費者のデータベース)が、三つの法律すべてのもとでの義務を同時に発生させ得る。
中国国外の組織にとって、改正CSLの拡大された域外適用範囲は、個人情報の処理だけでなく、中国のネットワークに影響を及ぼすサイバーセキュリティに関連する活動が、今や外国組織を中国の規制管轄権に直接さらし得ることを意味する。
最新の動向(2025-2026年)
PIPLコンプライアンス監査管理弁法(2025年5月1日施行)。 CACはこの措置を2025年2月14日に公布した。1,000万人を超える個人の個人情報を処理する組織は、少なくとも2年に一度、自主的なコンプライアンス監査を実施しなければならない。規制当局はまた、処理活動が重大なリスクを伴う場合、個人の権利に広範な影響を及ぼす場合、または100万人以上に影響する重大なセキュリティインシデントが発生した場合には、いかなる組織に対しても義務的な監査を命じることができる。監査項目には、適法根拠、通知と同意、越境移転のコンプライアンス、自動意思決定、機微データの取扱い、保存と削除、データ主体の請求手続、そしてインシデント対応が含まれる。第三者監査人は、同一の組織を3回を超えて監査することはできない。
越境認証措置(2026年施行)。 CACとSAMRは、個人情報越境移転認証弁法を共同で発行し、PIPL第38条が想定していた三経路の移転の枠組みを完成させた。認証の経路は、年間10万件から100万件の個人情報記録(または機微情報記録1万件未満)を移転する非CIIO組織が利用できる。認証機関は、SAMRの承認から10営業日以内にCACへ登録しなければならない。
改正サイバーセキュリティ法(2026年1月1日施行)。 前述のとおり、改正CSLは段階的な制裁金、AIガバナンス、拡大された域外適用範囲、そして新たなサプライチェーンに関する義務を導入した。すでにPIPLの適用を受けている組織にとって、改正CSLは、ネットワークおよびサイバーセキュリティに関する義務について、追加のコンプライアンス層を加えるものである。
GDPR執行の推移(2024-2025年)。 GDPR制裁金は2024年単年だけで12億ユーロを超え、執行は大手テクノロジー企業を超えて金融サービスおよびエネルギー分野にも拡大している。EDPBによる第65条の緊急手続の利用拡大は、越境事案の解決を加速させている。
二重コンプライアンスに向けた指針
GDPRとPIPLの双方の適用を受ける組織は、いくつかの重要な分野で対立に直面する。以下のチェックリストは、構造的なコンプライアンス上の選択を要する可能性が最も高い相違点をまとめたものである。
| 論点 | GDPRの要件 | PIPLの要件 | コンプライアンス戦略 |
|---|---|---|---|
| マーケティングの法的根拠 | 正当な利益または同意 | 同意(正当な利益なし) | 中国向けには同意を取得。EUについては、バランステストが満たされる場合は正当な利益で可 |
| 第三者へのデータ提供 | 標準的な同意またはその他の適法根拠 | 別個の同意 | 提供について別個の同意を取得する、細分化された同意UIを導入する |
| 中国からの越境移転 | 該当なし(EUに入るデータはGDPR上の根拠のみが必要) | セキュリティ評価、標準契約、または認証。別個の同意 | 閾値未満についてはSCC+CAC届出を利用。CIIOおよび大量取扱事業者にはセキュリティ評価。常に別個の同意を取得 |
| データローカライゼーション(中国) | 不要 | CIIOおよび閾値超過事業者に必要 | 中国独自のデータインフラを維持。越境移転を最小化 |
| 政府アクセスへの対応 | 必要性と比例性を評価する必要あり。EU代理人はエスカレーションすべき | 情報・安全機関への協力が必要 | 中国国内の法人は直接的な義務を負う。中国からアクセス請求を受けるEU拠点はEU法を確認すべき |
| DPO/プライバシー責任者 | 公的機関、大規模監視、機微データについてDPOが必要 | CACの閾値(現在は処理対象100万人以上)を超える場合に個人情報保護責任者が必要 | EUではDPOを選任。中国では責任者を選任。役割は重複し得るが責任は別個 |
| 権利請求への対応期限 | 1か月以内に対応 | 「速やかに」対応 | GDPRを満たすためすべての請求について30日以内の対応を目指す。PIPLのために対応時間を文書化 |
| 侵害通知 | DPAへ72時間以内。高リスクの場合は不当な遅滞なく本人へ | 規制当局へ「直ちに」。本人へ速やかに | PIPLを満たすため侵害対応計画は当日中の規制当局通知を目標とする。72時間はGDPRをカバー |
| コンプライアンス監査 | GDPRでは義務付けられていない。アカウンタビリティ措置として推奨 | 1,000万人以上を処理する事業者には2年ごとに義務 | 監査サイクルをコンプライアンスカレンダーに組み込む。GDPRのアカウンタビリティ文書と整合させる |
多くの多国籍組織は、中国と欧州の事業について別個のデータ処理環境を運用し、両法域間の越境移転の必要性を最小化し、各制度について独立した同意記録を維持することにより、GDPRとPIPLの対立に対応している。
GDPRの枠組みの詳細については、EUデータプライバシー法の完全ガイドを参照されたい。中国の完全なプライバシー制度については、中国データプライバシー法ガイドを参照されたい。
免責事項
本稿は、EU一般データ保護規則および中国の個人情報保護法に関する一般的な法律情報を提供するものである。これは法的助言を構成するものではない。本情報は2026年5月19日時点の法状況を反映している。両制度とも、施行規則、規制ガイダンス、執行措置を通じて発展を続けている。GDPRまたはPIPLの適用を受ける組織は、自らの状況に固有の助言について、該当法域で資格を有する弁護士に相談すべきである。
引用出典
- 中華人民共和国個人情報保護法(PIPL)、2021年8月20日採択、2021年11月1日施行。http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- 規則(EU)2016/679(一般データ保護規則)、第3条、第6条、第7条、第9条、第12条-第22条、第27条、第33条-第34条、第37条-第39条、第45条-第49条、第52条、第56条、第83条。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- 中華人民共和国サイバーセキュリティ法(CSL)、原法は2017年6月1日施行、改正版は2026年1月1日施行。http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- 中華人民共和国データセキュリティ法(DSL)、2021年9月1日施行。http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- 中華人民共和国国家情報法、第7条(2017年)。China Law Translateにて閲覧可能。https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- 国家インターネット情報弁公室(CAC)。個人情報保護コンプライアンス監査管理弁法、2025年2月14日公布、2025年5月1日施行。https://www.cac.gov.cn/
- 欧州データ保護会議(EDPB)。ガイドライン、勧告、意見。https://edpb.europa.eu/edpb_en
- 欧州委員会。十分性認定。https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters。中国:2025年5月1日からの義務的データ保護コンプライアンス監査(2025年2月)。https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters。中国:越境データ移転認証に関する規則草案の公表(2025年1月)。https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights。中国の2025年サイバーセキュリティ法改正:制裁金の強化、域外適用の拡大、AIガバナンス。https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP。中国のPIPLの分析とEUのGDPRとの比較。https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP。PIPLの域外適用に関する初の事例が示す主要なコンプライアンス上の優先事項。https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP。中国のプライバシー実務に関する事例研究:Diorが示した警鐘。https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub。規制当局、執行の優先事項、制裁金:中国。https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- DLA Piper GDPR制裁金・データ侵害調査:2025年1月。https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
最終更新日:2026年5月19日。引用された法律は、2026年5月19日時点で施行されているバージョンを反映している。
Frequently Asked Questions
PIPLはGDPRよりも厳格ですか。
いくつかの点では、そうである。PIPLは、より高い制裁金上限(売上高の5%対4%)、責任を負う個人に対する個人的責任(最大100万人民元に加え就任禁止)、CIIOおよび大量取扱事業者に対する義務的なデータローカライゼーション、越境移転に対する政府によるセキュリティ評価、そして第三者提供および公開についての別個の同意要件を課している。GDPRは他の点においてより厳格である。より詳細なDPO独立性要件を定め、権利請求への対応について1か月という固定期限内の回答を求め(PIPLの「速やかに」という基準に対して)、より強力な司法監督の要件を通じて政府による個人データへのアクセスを制限している。
PIPLは中国国外の企業にも適用されますか。
はい。PIPL第3条は、中国国内の個人に製品・サービスを提供するため、または中国国内の個人の行動を分析・評価するために個人情報を処理する中国国外の組織に対し、域外適用される。そのような組織は、第53条のもとで専属の機関を設立するか、または中国国内に代表者を選任しなければならない。広州インターネット法院による2024年秋の判決は、中国居住者のデータを処理する外国組織に対しても中国の裁判所がPIPLの基準を適用することを確認した。これはPIPLの域外適用に関する初の公表判決である。
中国のPIPLにおける三つの越境移転経路とは何ですか。
PIPL第38条は三つの経路を定めている。(1)CACによるセキュリティ評価。重要情報インフラ運営者、および前年度に10万人以上の個人情報を処理した、1万人以上の機微個人情報を処理した、または累計100万人以上のデータを移転した組織にとって必須である。(2)CACへ届け出る標準契約。(3)CAC指定機関による認証。この経路は2026年施行のCAC/SAMR共同認証措置によって正式化された。いずれの経路を用いる場合でも、すべての越境移転についてデータ主体からの別個の同意が必要である(第39条)。
PIPLはなぜ正当な利益を法的根拠として含んでいないのですか。
PIPLが正当な利益を含んでいないことは、同意なしに処理が適法となる場合の判断について、組織の裁量を制限するという政策上の選択を反映している。GDPRのもとでは、正当な利益により、組織は自らの利益と個人の権利とを比較衡量した独自の評価に基づいてデータを処理できる。PIPL第13条に反映されている中国のアプローチは、処理が列挙された七つの根拠のいずれかに該当することを求めており、規制当局に対し、いかなる処理が許容されるかについてより予測可能な権限を与えている。GDPRのもとでマーケティング、分析、または不正防止のために正当な利益を用いている組織は、中国における同様の活動について、同意を取得するか、または第13条の別の根拠を見出さなければならない。
中国はEUから十分性認定を受けていますか。
受けていない。2026年5月時点で、欧州委員会は中国に対して十分性認定を付与しておらず、十分性認定に関する交渉も行われていない。懸念の中心は、中国の政府アクセス制度、特に国家情報法第7条が組織に情報活動への協力を義務付けていること、そして反スパイ法が中国からのデータの持ち出しを制限していることにある。これらの規定は、欧州委員会が中国はGDPRと「本質的に同等」の保護水準を提供していると認定することを困難にしている。EUから中国への移転には、標準契約条項またはその他の第46条の仕組みを、移転影響評価によって補完して用いなければならない。
PIPLコンプライアンス監査措置の要件とは何ですか。
CACの個人情報保護コンプライアンス監査管理弁法は、2025年5月1日に施行され、中国国内で1,000万人を超える個人の個人情報を処理する組織に対し、少なくとも2年に一度、自主的なコンプライアンス監査を実施することを義務付けている。監査は、適法な処理根拠、通知・同意の手続、越境移転のコンプライアンス、自動意思決定、機微データの取扱い、保存と削除、データ主体の請求処理、そしてインシデント対応を対象としなければならない。規制当局はまた、重大なリスクが認められた組織や、重大なインシデントの発生後には、いかなる組織に対しても義務的な監査を命じることができる。第三者監査人は、同一の組織を3回を超えて監査することはできない。
2026年、中国のサイバーセキュリティ法にはどのような変更がありましたか。
全国人民代表大会常務委員会は2025年10月28日にサイバーセキュリティ法の改正案を可決し、2026年1月1日に施行された。主な変更点には、段階的な制裁金(特に重大な違反について企業に最大1,000万人民元、個人に最大100万人民元)、初の法定AIガバナンス規定(AI開発を支援しつつ倫理基準とリスク監視を義務付ける)、拡大された域外適用範囲(重要インフラに関連する活動だけでなく、中国のネットワークセキュリティを危険にさらすあらゆる外国組織の活動を対象とする)、強化されたサプライチェーンセキュリティに関する義務、そして速やかな是正に対する新たな情状酌量事由が含まれる。改正CSLは、中国の三法から成るデータガバナンスの枠組みの一部として、DSLおよびPIPLと統合されている。
PIPLはGDPRと比較してどのような個人の権利を付与していますか。
PIPLの第44条から第50条は、GDPR第3章と概ね並行した権利を付与している。知り、決定する権利(GDPRの異議申立権および処理制限権に類似)、アクセス権、訂正権、消去権、(CACの条件付きの)データポータビリティの権利、そして自動意思決定に関する説明を受ける権利である。PIPL独自の規定の一つは第49条であり、死亡した個人の家族が、その正当な利益において、アクセス、訂正、削除の権利を行使することを認めている。GDPRにはこれに相当する規定はない。重要な違いは対応期限である。GDPRは1か月以内の対応を要求する(第12条)が、PIPLは固定された法定期限のない「速やかな」対応のみを要求する。
中国のマルチレギュレーターモデルは、EUのDPA制度とどのように異なりますか。
GDPRのもとでは、各EU加盟国は一つまたは複数の独立したDPAを有し、ワンストップショップの仕組みを通じて欧州データ保護会議(EDPB)によって調整されている。主たるEU拠点をアイルランドに置く企業は、越境事案について主にアイルランドDPCと関わる。中国のPIPLは第60条のもとでマルチレギュレーターモデルを採用しており、CACが主導的役割を担うが、MIIT、公安部、SAMR、そして金融分野の規制当局が、それぞれの分野内でPIPLを執行する。地方の対応機関も執行権限を有する。複数の機関が一つの組織の活動について並行的な管轄権を有し得るが、ワンストップショップに相当する仕組みは存在しない。
中国のPIPLにおける「別個の同意」とは何ですか。
PIPLは、五つの特定の活動について「別個の同意」を要求している。第三者への個人情報の提供(第23条)、個人情報の公開(第25条)、機微個人情報の処理(第29条)、中国国外への個人情報の移転(第39条)、そして安全以外の目的での公共監視機器による画像の利用(第26条)である。別個の同意は標準的な同意よりも高い水準であり、一般的な利用規約や他の処理活動についての同意と抱き合わせることはできない。組織は、個人がすでに組織の処理について一般的な同意を提供している場合であっても、これらの活動それぞれについて、明確かつ具体的な同意を取得しなければならない。
Sources and References
- PIPL全文(中華人民共和国個人情報保護法)(npc.gov.cn).gov
- GDPR全文(規則(EU)2016/679)(eur-lex.europa.eu).gov
- 中国サイバーセキュリティ法(2017年、改正版は2026年1月1日施行)(npc.gov.cn).gov
- 中国データセキュリティ法(DSL、2021年9月1日施行)(npc.gov.cn).gov
- 中華人民共和国国家情報法第7条(China Law Translate)(chinalawtranslate.com)
- 国家インターネット情報弁公室(CAC)(cac.gov.cn).gov
- 欧州データ保護会議(EDPB)(edpb.europa.eu).gov
- 欧州委員会十分性認定(commission.europa.eu).gov
- DLA Piper:中国、2025年5月1日からの義務的データ保護コンプライアンス監査(privacymatters.dlapiper.com)
- DLA Piper:中国、越境データ移転認証に関する規則草案(2025年1月)(privacymatters.dlapiper.com)
- Linklaters:中国の2025年サイバーセキュリティ法改正(techinsights.linklaters.com)
- IAPP:中国のPIPLの分析とEUのGDPRとの比較(iapp.org)
- IAPP:PIPLの域外適用に関する初の事例(iapp.org)
- IAPP:中国のプライバシー実務 - Diorが示した警鐘(iapp.org)
- Baker McKenzie:中国の規制当局、執行の優先事項、制裁金(resourcehub.bakermckenzie.com)
- DLA Piper GDPR制裁金・データ侵害調査:2025年1月(dlapiper.com)