中国関連業務· 中国関連業務
GDPR vs PIPL vs 個人情報保護法:3 法対比
日本グローバル企業が同時に対応する必要のある 3 大個人情報保護法。本記事は GDPR(EU)vs PIPL(中国)vs 個人情報保護法(日本)を 8 維度比較 + 違反時罰金 + 共通対応戦略を整理。
GDPR vs PIPL vs 個人情報保護法:3 法対比
TL;DR 日本グローバル企業が同時対応の必要 3 大法律 ——GDPR(EU、2018 施行)/ PIPL(中国、2021 施行)/ 個人情報保護法(日本、2003 制定 / 2022 改正)。本記事は 8 維度比較 + 違反時罰金(ともに 年売上 4-5% 規模)+ 共通対応戦略 + 各法独自要件を整理。
3 法の基本
GDPR(General Data Protection Regulation)
- 施行:2018 年 5 月
- 対象地域:EU + EEA(27+ 国)
- 域外適用:あり(EU 市民の個人情報を処理する全企業)
PIPL(个人信息保护法)
- 施行:2021 年 11 月
- 対象地域:中国本土
- 域外適用:あり(中国国内ユーザー対応企業)
- 詳細:**PIPL 完全ガイド**
個人情報保護法(日本)
- 施行:2003 年(改正:2017 / 2022 / 2024)
- 対象地域:日本
- 域外適用:限定的(2017 改正で一部追加)
8 維度比較
| 維度 | GDPR | PIPL | 個情法(日本) |
|---|---|---|---|
| 罰金上限 | 年売上 4% または €20m | 年売上 5% または ¥50m | ¥1 億(個人 ¥1 億 + 法人 ¥1 億) |
| 越境提供 同意 | 個別同意 + 適切な保護措置 | 個別同意 + 安全評価 / 標準契約 | 個別同意(特定国除く) |
| DPO 設置 | 一定条件で必須 | 一定条件で必須 | 任意 |
| データ侵害通知 | 72 時間以内 | 直ちに | 速やかに |
| データ主体権利 | アクセス / 訂正 / 削除 / ポータビリティ等 7 権利 | アクセス / 訂正 / 削除等 6 権利 | 開示 / 訂正 / 利用停止等 3 権利(拡大中) |
| データ保管場所 | EU 外 OK(適切措置あり) | 重要データは中国国内保管必須 | 制限なし |
| 個別同意の形式 | 自由・明示・特定 | 明示・自発的・事前 | 明示(拡大中) |
| 執行強度 | 強い(EU 各国 DPA) | 強い(CAC + 行政処分) | 中程度(個人情報保護委員会) |
罰金実例
GDPR の罰金事例
- Google(2019):€50m(フランス CNIL)
- Amazon(2021):€746m(ルクセンブルク)
- Meta / Facebook(2023):€1.2b(アイルランド DPC)
PIPL の罰金事例
- Didi(滴滴出行、2022):¥80 億元(最大級事案、PIPL 違反 + データ国外出問題)
- 各種大手プラットフォームへの行政処分
日本個情法の罰金事例
- ベネッセコーポレーション情報漏洩事件(2014):個別損害賠償累計 ¥10 億超
- 行政命令の事例多数
3 法共通の対応戦略
戦略 1:データマップ作成
全データを棚卸:
- 種類(個人 / 機微)
- 取得方法
- 保管場所(EU / 中国 / 日本 / その他)
- 移転先
- 利用目的
戦略 2:「最高水準対応」
3 法の中で最も厳しい要件をベースライン化:
- 同意:PIPL の「明示・自発的・事前」
- 越境:PIPL の標準契約 + 安全評価
- 削除:GDPR の権利保障
→ 3 法同時に対応可能
戦略 3:DPO(データ保護責任者)任命
GDPR + PIPL ともに事業規模に応じて必須。日本も推奨。
戦略 4:データ侵害時の即時対応体制
- 24-72 時間以内通知できる体制
- 全 3 法に対応する Incident Response Plan
戦略 5:年 1 回の独立 audit
外部専門機関による:
- データマップ更新
- ギャップ分析
- 改善提案
各法の独自要件
GDPR 独自
- DPIA(Data Protection Impact Assessment):高リスク処理に必須
- DPO の独立性:事業判断と切り離し
- データポータビリティ権:消費者が自身のデータを別企業に移転可能
PIPL 独自
- 重要個人情報処理者:100 万人以上扱う場合の特別義務
- データの中国国内保管必須:重要データは原則国内
- CAC(国家サイバースペース管理局)への届出
個情法(日本)独自
- 「個人関連情報」概念:個人情報未満だが識別可能な情報の規制
- 加工対象個人情報 vs 匿名加工情報 vs 仮名加工情報:データ加工レベルによる規制差
日本グローバル企業の典型シナリオ
シナリオ A:日本本社 + 中国子会社 + EU 顧客
- 日本本社:個情法
- 中国子会社:PIPL(+ 越境提供時)
- EU 顧客対応:GDPR
→ 3 法同時対応必要
シナリオ B:日本本社 + 中国生産拠点(顧客なし)
- 日本本社:個情法
- 中国子会社:PIPL(特に従業員データ)
→ PIPL + 個情法対応
シナリオ C:日本本社 + EU EC 販売
- 日本本社:個情法
- EU 顧客:GDPR
→ GDPR + 個情法対応
弊社のサポート
プロスペクト株式会社+ 海華永泰は 3 法の同時対応をサポート:
| サービス | 内容 | 参考料金 |
|---|---|---|
| 3 法統合ギャップ分析 | 現状診断 + 改善計画 | ¥300-1000 万 |
| PIPL 完全対応 | 詳細は PIPL 完全ガイド 参照 | ¥1500-3000 万 |
| GDPR 対応 | EU 顧客向け | ¥500-2000 万 |
| 個情法対応 | 日本国内 + 改正対応 | ¥200-1000 万 |
| 継続的 audit | 年 1 回 | ¥300-800 万 / 年 |
初回 30 分商務相談無料。
まとめ:5 ステップ
- ✅ データマップ作成(種類 / 場所 / 移転先)
- ✅ 3 法ギャップ分析
- ✅ DPO 任命 + 内部規程整備
- ✅ インシデント対応体制構築
- ✅ 年次 audit
関連記事
**30 分商務相談を予約 →** info@kakyo.jp | +81-3-6661-2817
本記事 2026 年 5 月作成。本記事は正式な法的意見を構成しません。