PIPL 完全ガイド:日本企業の中国子会社が今やるべき 7 ステップ
中国 2021 年实施的《个人情报保护法》(PIPL)对日本企业的中国子公司施加严格的合规义务,特别是数据出境环节。本文按 7 个阶段拆解日企应做的合规建设——给日本侧法务・コンプライアンス担当者。
PIPL 完全ガイド:日本企業の中国子会社が今やるべき 7 ステップ
TL;DR 中国「個人情報保護法(PIPL、2021年11月施行)」は、中国子会社を持つ日本企業に対して、従業員・顧客個人情報の取扱い + 越境提供 + データセキュリティ管理で厳格な義務を課しています。違反時の罰金は「年間売上の最大 5%」と高額。本記事は日本本社の法務・コンプライアンス担当者向けに、今すぐやるべき 7 ステップを実務目線で整理します。
日本企業がよく陥る誤解
誤解 1:「うちは GDPR 対応済みだから PIPL も大丈夫」 → 間違い。PIPL は GDPR よりも厳しい部分がある(特にデータ越境ルール、同意要件)。
誤解 2:「中国子会社の社員数が少ないから対象外」 → 間違い。社員 1 名でも個人情報を扱えば適用。
誤解 3:「中国側の法務に任せていれば大丈夫」 → 危険。PIPL は日本本社にも責任が及ぶ可能性(重要個人情報処理者の認定基準)。
PIPL の 4 つのキー条文
第 38 条:越境提供の手続き
中国国内の個人情報を国外に提供する場合、以下のいずれかの手続きが必要:
- 国家サイバーセキュリティ部門による安全評価
- 個人情報保護認証取得
- 中国当局指定の標準契約締結 + 届出
- その他法律・法規に定める条件
実務上、ほとんどの日本企業の中国子会社 → 日本本社 へのデータ移転は 3. 標準契約 + 届出 ルートを使うことになる。
第 51 条:「重要個人情報処理者」の特別義務
「重要個人情報処理者」(100 万人以上の個人情報を取扱うまたは機微情報を扱う事業者)は:
- データセキュリティ責任者の指名
- 中国国内に「個人情報保護機関代表者」設置
- 年 1 回以上のリスクアセスメント実施
- データセキュリティ事故報告体制
第 66 条:違反時のペナルティ
- 個人:1 万 -100 万元の罰金
- 企業:100 万 -5000 万元、または前年売上の最大 5%
- 重大違反:事業停止 + 営業許可取消
ステップ 1:データマップの作成(1-2 ヶ月)
やるべきこと
中国子会社が扱う個人情報を全件マッピング:
| データ種別 | データ主体 | 保存場所 | 越境状況 | 用途 |
|---|---|---|---|---|
| 従業員花名册 | 中国従業員 | 中国 + 日本(HR システム) | あり(日本本社) | 給与・人事 |
| 顧客連絡先 | 中国顧客 | 中国 | なし | 営業 |
| 取引先担当者 | 中国取引先 | 中国 + 日本 | あり | 受発注 |
| ・・・ |
重要
- データ「マスター場所」を明確にする
- 越境(中国→日本)の有無 + 頻度
- データ収集時の同意取得状況
ステップ 2:法的根拠の整理(2-4 週)
PIPL 第 13 条が定める処理の根拠
- データ主体の同意
- 契約履行に必要
- 法定義務
- 緊急事態対応
- 公共利益(メディア取材等)
- 公開情報の合理的利用
- その他法律規定
実務上の落とし穴
- 同意ベースの処理:同意は「明示・自発・事前」でなければならない(GDPR より厳しい)
- 越境提供 + 機微情報 には別途の独立した同意が必要
ステップ 3:越境提供の合法ルート確立(2-4 ヶ月)
標準契約ルート(最実務的)
CAC(国家サイバースペース管理局)の指定する標準契約に基づき:
中国子会社(提供者)
↓ 標準契約締結
日本本社(受領者)
↓ 届出
CAC(中国当局)必要文書
- データ越境提供標準契約書(中国当局指定 template)
- 個人情報保護影響評価(PIPIA)報告書
- データ受領者(日本本社)の個人情報保護能力評価
届出後の運用
- データ越境ルートに変更があれば再届出
- 大量越境が発生した場合は安全評価ルートへ移行
ステップ 4:機微情報の特別取扱い(1-2 ヶ月)
機微情報とは
PIPL 第 28 条:
漏洩・違法使用が個人の人格的尊厳・身体・財産安全に害を及ぼす可能性がある情報
具体例:
- 生体情報(指紋・顔・声紋)
- 宗教・信条
- 特定身分(民族・政治団体)
- 医療・健康
- 金融口座
- 行踪情報
- 未成年者(14 歳未満)情報
特別要件
- 明示的な独立同意取得(埋め込み同意は無効)
- 必要性 + 個人権利への影響評価
- セキュリティ強化措置(暗号化・アクセス制限)
日本企業がよく陥る情景
中国子会社の HR システムに従業員の生年月日 + 戸籍住所 + 銀行口座が一括格納されている → 機微情報該当 → 特別同意 + 暗号化 + アクセスログ が必要
ステップ 5:内部組織体制の整備(2-3 ヶ月)
必要な役割
1. 個人情報保護責任者
- 中国子会社のDirector レベル以上で指名
- PIPL 第 52 条:100 万人以上扱う事業者は必須
2. 個人情報保護機関代表者(外資企業向け)
- 中国国内に設置
- 通常は中国子会社の代表者またはコンプライアンス責任者
3. データセキュリティ管理委員会
- 中国子会社 + 日本本社のメンバーで構成
- 四半期ごとに会議
内部規程
- データ取扱規程
- アクセス管理規程
- インシデント対応規程
- ベンダー管理規程
ステップ 6:技術的・組織的措置(3-6 ヶ月)
技術措置
- 暗号化:保存時 + 通信時
- アクセス制限:role-based access、最小権限原則
- ログ管理:6 個月以上保管
- バックアップ + DRP
組織措置
- 従業員向け年 1 回以上の研修
- ベンダー(クラウド・SaaS)のデータ保護条項契約締結
- 第三者監査(年 1 回推奨)
ステップ 7:継続的監視 + 対応体制(持続的)
年次タスク
- PIPIA(個人情報保護影響評価)実施
- 標準契約 + 届出書類の更新
- 内部研修
- ベンダー再評価
インシデント発生時
- 24-48 時間以内に CAC へ報告(重大インシデント)
- データ主体への通知(必要時)
- 是正措置 + 再発防止
違反時の典型的シナリオ
シナリオ 1:データ越境の手続き不備
中国子会社の従業員花名册を日本本社に毎月送付 → 標準契約締結なし → CAC 検査で発覚
結果:罰金 100-500 万元 + 改善命令 + 名指し公表
シナリオ 2:機微情報の独立同意なし
中国子会社の顧客 DB に金融口座 + 生年月日を扱う → 一般利用規約のみ、独立同意なし → 内部通報
結果:個人当事者からの集団訴訟 + 慰謝料
シナリオ 3:データ受託先のセキュリティ事故
中国子会社が利用する SaaS ベンダーがハッキング → 顧客個人情報漏洩 → ベンダー契約に保護条項なし
結果:中国子会社 + 日本本社の連帯責任、罰金 + 訴訟
7 ステップ 実施スケジュール
M1: ステップ 1(データマップ)
M2: ステップ 2(法的根拠整理)
M2-4: ステップ 3(越境ルート確立)
M3-4: ステップ 4(機微情報特別取扱)
M4-6: ステップ 5(内部組織整備)
M5-9: ステップ 6(技術組織措置)
M9+: ステップ 7(継続的監視)全体所要期間:6-12 ヶ月
実装規模に応じた費用感(参考):
- 中規模(中国従業員 50-200 人):¥800 万 -¥2000 万
- 大規模(中国従業員 200+ 人、機微情報多数):¥3000 万 -¥1 億
弊社のサポート
プロスペクト株式会社は、東京・日本橋を拠点に、中国海華永泰律師事務所と 30+ 年の戦略提携関係を持ち、日本企業の中国子会社向け PIPL 対応 + 越境データ合規 + 機微情報管理 を一貫支援いたします。
標準サービス
| サービス | 内容 | 参考料金 |
|---|---|---|
| PIPL コンプライアンス診断 | データマップ + ギャップ分析 | ¥150-300 万 |
| 越境契約 + 届出代理 | 標準契約 + PIPIA + 届出 | ¥200-500 万 |
| 重要個人情報処理者対応 | 全 7 ステップ実施支援 | ¥1500-3000 万 |
| 年次監査支援 | 年 1 回の更新 | ¥200-500 万 / 年 |
弊社の強み
- 30+ 年日本市場履歴を持つ本土パートナー(名古屋大学博士・上場企業法務出身)
- 海華永泰 30+ 年中国戦略提携(中国側の届出・調査対応執行)
- 東京・日本橋自社オフィス(実体運営)
- 初回 30 分商務相談無料
不動産仲介免許番号:東京都知事(1)第 111239 号(有効期間 2024-08-31 〜 2029-08-30)
関連記事
- データの中国域外提供:PIPL 安全評価とは?
- GDPR vs PIPL vs 個人情報保護法:3 法対比
- 日本企業の中国撤退ガイド:6-12 ヶ月タイムライン
- 中国管財人実務:日本債権者が知っておくべき全プロセス
専門相談はこちら
メール:info@kakyo.jp | TEL:+81-3-6661-2817
本記事は 2026 年 5 月時点の情報に基づく。本記事は正式な法的意見を構成しません。具体的な対応は弊社・他法律事務所への個別相談をお願いいたします。