PIPL 完全ガイド：日本企業の中国子会社が今やるべき 7 ステップ

TL;DR　中国「個人情報保護法（PIPL、2021年11月施行）」は、中国子会社を持つ日本企業に対して、従業員・顧客個人情報の取扱い + 越境提供 + データセキュリティ管理で厳格な義務を課しています。違反時の罰金は「年間売上の最大 5%」と高額。本記事は日本本社の法務・コンプライアンス担当者向けに、今すぐやるべき 7 ステップを実務目線で整理します。

日本企業がよく陥る誤解

誤解 1：「うちは GDPR 対応済みだから PIPL も大丈夫」 → 間違い。PIPL は GDPR よりも厳しい部分がある（特にデータ越境ルール、同意要件）。

誤解 2：「中国子会社の社員数が少ないから対象外」 → 間違い。社員 1 名でも個人情報を扱えば適用。

誤解 3：「中国側の法務に任せていれば大丈夫」 → 危険。PIPL は日本本社にも責任が及ぶ可能性（重要個人情報処理者の認定基準）。

---

PIPL の 4 つのキー条文

第 38 条：越境提供の手続き

中国国内の個人情報を国外に提供する場合、以下のいずれかの手続きが必要：

1. 国家サイバーセキュリティ部門による安全評価
2. 個人情報保護認証取得
3. 中国当局指定の標準契約締結 + 届出
4. その他法律・法規に定める条件

実務上、ほとんどの日本企業の中国子会社 → 日本本社 へのデータ移転は 3. 標準契約 + 届出 ルートを使うことになる。

第 51 条：「重要個人情報処理者」の特別義務

「重要個人情報処理者」（100 万人以上の個人情報を取扱うまたは機微情報を扱う事業者）は：

• データセキュリティ責任者の指名
• 中国国内に「個人情報保護機関代表者」設置
• 年 1 回以上のリスクアセスメント実施
• データセキュリティ事故報告体制

第 66 条：違反時のペナルティ

• 個人：1 万 -100 万元の罰金
• 企業：100 万 -5000 万元、または前年売上の最大 5%
• 重大違反：事業停止 + 営業許可取消

---

ステップ 1：データマップの作成（1-2 ヶ月）

やるべきこと

中国子会社が扱う個人情報を全件マッピング：

データ種別	データ主体	保存場所	越境状況	用途
従業員花名册	中国従業員	中国 + 日本（HR システム）	あり（日本本社）	給与・人事
顧客連絡先	中国顧客	中国	なし	営業
取引先担当者	中国取引先	中国 + 日本	あり	受発注
・・・

重要

• データ「マスター場所」を明確にする
• 越境（中国→日本）の有無 + 頻度
• データ収集時の同意取得状況

---

ステップ 2：法的根拠の整理（2-4 週）

PIPL 第 13 条が定める処理の根拠

1. データ主体の同意
2. 契約履行に必要
3. 法定義務
4. 緊急事態対応
5. 公共利益（メディア取材等）
6. 公開情報の合理的利用
7. その他法律規定

実務上の落とし穴

• 同意ベースの処理：同意は「明示・自発・事前」でなければならない（GDPR より厳しい）
• 越境提供 + 機微情報 には別途の独立した同意が必要

---

ステップ 3：越境提供の合法ルート確立（2-4 ヶ月）

標準契約ルート（最実務的）

CAC（国家サイバースペース管理局）の指定する標準契約に基づき：

中国子会社（提供者）
    ↓ 標準契約締結
日本本社（受領者）
    ↓ 届出
CAC（中国当局）

必要文書

• データ越境提供標準契約書（中国当局指定 template）
• 個人情報保護影響評価（PIPIA）報告書
• データ受領者（日本本社）の個人情報保護能力評価

届出後の運用

• データ越境ルートに変更があれば再届出
• 大量越境が発生した場合は安全評価ルートへ移行

---

ステップ 4：機微情報の特別取扱い（1-2 ヶ月）

機微情報とは

PIPL 第 28 条：

漏洩・違法使用が個人の人格的尊厳・身体・財産安全に害を及ぼす可能性がある情報

具体例：

• 生体情報（指紋・顔・声紋）
• 宗教・信条
• 特定身分（民族・政治団体）
• 医療・健康
• 金融口座
• 行踪情報
• 未成年者（14 歳未満）情報

特別要件

• 明示的な独立同意取得（埋め込み同意は無効）
• 必要性 + 個人権利への影響評価
• セキュリティ強化措置（暗号化・アクセス制限）

日本企業がよく陥る情景

中国子会社の HR システムに従業員の生年月日 + 戸籍住所 + 銀行口座が一括格納されている → 機微情報該当 → 特別同意 + 暗号化 + アクセスログ が必要

---

ステップ 5：内部組織体制の整備（2-3 ヶ月）

必要な役割

1. 個人情報保護責任者

• 中国子会社のDirector レベル以上で指名
• PIPL 第 52 条：100 万人以上扱う事業者は必須

2. 個人情報保護機関代表者（外資企業向け）

• 中国国内に設置
• 通常は中国子会社の代表者またはコンプライアンス責任者

3. データセキュリティ管理委員会

• 中国子会社 + 日本本社のメンバーで構成
• 四半期ごとに会議

内部規程

• データ取扱規程
• アクセス管理規程
• インシデント対応規程
• ベンダー管理規程

---

ステップ 6：技術的・組織的措置（3-6 ヶ月）

技術措置

• 暗号化：保存時 + 通信時
• アクセス制限：role-based access、最小権限原則
• ログ管理：6 個月以上保管
• バックアップ + DRP

組織措置

• 従業員向け年 1 回以上の研修
• ベンダー（クラウド・SaaS）のデータ保護条項契約締結
• 第三者監査（年 1 回推奨）

---

ステップ 7：継続的監視 + 対応体制（持続的）

年次タスク

• PIPIA（個人情報保護影響評価）実施
• 標準契約 + 届出書類の更新
• 内部研修
• ベンダー再評価

インシデント発生時

• 24-48 時間以内に CAC へ報告（重大インシデント）
• データ主体への通知（必要時）
• 是正措置 + 再発防止

---

違反時の典型的シナリオ

シナリオ 1：データ越境の手続き不備

中国子会社の従業員花名册を日本本社に毎月送付 → 標準契約締結なし → CAC 検査で発覚

結果：罰金 100-500 万元 + 改善命令 + 名指し公表

シナリオ 2：機微情報の独立同意なし

中国子会社の顧客 DB に金融口座 + 生年月日を扱う → 一般利用規約のみ、独立同意なし → 内部通報

結果：個人当事者からの集団訴訟 + 慰謝料

シナリオ 3：データ受託先のセキュリティ事故

中国子会社が利用する SaaS ベンダーがハッキング → 顧客個人情報漏洩 → ベンダー契約に保護条項なし

結果：中国子会社 + 日本本社の連帯責任、罰金 + 訴訟

---

7 ステップ 実施スケジュール

M1: ステップ 1（データマップ）
M2: ステップ 2（法的根拠整理）
M2-4: ステップ 3（越境ルート確立）
M3-4: ステップ 4（機微情報特別取扱）
M4-6: ステップ 5（内部組織整備）
M5-9: ステップ 6（技術組織措置）
M9+:  ステップ 7（継続的監視）

全体所要期間：6-12 ヶ月

実装規模に応じた費用感（参考）：

• 中規模（中国従業員 50-200 人）：¥800 万 -¥2000 万
• 大規模（中国従業員 200+ 人、機微情報多数）：¥3000 万 -¥1 億

---

弊社のサポート

プロスペクト株式会社（架橋 KAKYŌ）は、東京・日本橋を拠点に、中国海華永泰律師事務所と 30+ 年の戦略提携関係を持ち、日本企業の中国子会社向け PIPL 対応 + 越境データ合規 + 機微情報管理 を一貫支援いたします。

標準サービス

サービス	内容	参考料金
PIPL コンプライアンス診断	データマップ + ギャップ分析	¥150-300 万
越境契約 + 届出代理	標準契約 + PIPIA + 届出	¥200-500 万
重要個人情報処理者対応	全 7 ステップ実施支援	¥1500-3000 万
年次監査支援	年 1 回の更新	¥200-500 万 / 年

弊社の強み

• 30+ 年日本市場履歴を持つ本土パートナー（名古屋大学博士・上場企業法務出身）
• 海華永泰 30+ 年中国戦略提携（中国側の届出・調査対応執行）
• 東京・日本橋自社オフィス（実体運営）
• 初回 30 分商務相談無料

不動産仲介免許番号：東京都知事（1）第 111239 号（有効期間 2024-08-31 〜 2029-08-30）

---

関連記事

• データの中国域外提供：PIPL 安全評価とは？
• GDPR vs PIPL vs 個人情報保護法：3 法対比
• 日本企業の中国撤退ガイド：6-12 ヶ月タイムライン
• 中国管財人実務：日本債権者が知っておくべき全プロセス

---

専門相談はこちら

**30 分商務相談を予約 →**

メール：info@kakyo.jp ｜ TEL：+81 03-6661-2817

---

本記事は 2026 年 5 月時点の情報に基づく。本記事は正式な法的意見を構成しません。具体的な対応は弊社・他法律事務所への個別相談をお願いいたします。