個人情報保護法(中国)

Personal information protection law

作成日: 2025年12月19日

china– description: 個人情報保護法(PIPL)は、中国における包括的なデータ保護法であり、個人情報の処理、個人の権利、組織の要件を規制しています。 keywords:

  • 個人情報保護法
  • 中国データ保護
  • PIPL コンプライアンス
  • データプライバシー
  • 越境データ転送 category: AI Chatbot & Automation type: glossary draft: false e-title: Personal Information Protection Law (China) term: こじんじょうほうほごほう(ちゅうごく)

個人情報保護法(PIPL)とは?

個人情報保護法(PIPL)は、中国初の包括的な国家レベルのデータ保護法です。2021年8月20日に全国人民代表大会常務委員会により制定され、2021年11月1日から施行されたPIPLは、個人情報処理を規制する統一的な法的枠組みを確立し、個人の権利を明確化し、そのようなデータを取り扱う組織に義務を課しています。

EUの一般データ保護規則(GDPR)を部分的にモデルとしながらも、中国の規制および文化的背景に合わせて調整されたPIPLは、中国の急速に拡大するデジタル経済におけるデータセキュリティとプライバシーに関する懸念の高まりに対応しています。サイバーセキュリティ法(CSL)およびデータセキュリティ法(DSL)とともに、PIPLは中国の現代的なデータガバナンス体制の基盤を形成し、個人情報の収集、処理、保存、移転方法に関する明確なルールを確立しています。

この法律は、中国国内の個人の個人情報を処理する国内外の組織に広く適用され、GDPRと同様の域外適用を実現しています。AIチャットボットプロバイダー、自動化プラットフォーム、グローバルテクノロジー企業にとって、PIPL準拠は中国市場で事業を展開するために不可欠となっています。

主要な定義

個人情報

特定されたまたは特定可能な自然人に関連するあらゆる情報で、匿名化されたデータを除きます。これには、氏名、識別番号、生体識別子、位置データ、オンライン識別子、および直接的または間接的に個人を識別できるその他のデータが含まれます。

機微な個人情報

漏洩または不正使用された場合に、個人の尊厳を害したり、人身または財産の安全を危険にさらす可能性のあるデータ。カテゴリには、生体識別子、宗教的信念、特定の社会的地位、医療・健康情報、金融口座、精密な位置情報データ、および14歳未満の未成年者の情報が含まれます。

個人情報取扱事業者

個人情報処理の目的と手段を独立して決定する組織または個人で、GDPRの「データ管理者」の概念に相当します。

委託先

取扱事業者によってその代理でデータを処理するために委託された第三者で、GDPRの「データ処理者」に類似しています。

処理活動

収集、保存、使用、送信、提供、開示、削除を含む個人情報に対するあらゆる操作。

データ保護責任者(DPO)

国家インターネット情報弁公室(CAC)が定める処理閾値を超える組織に必要です。DPOはPIPL準拠を監督し、データ保護影響評価を管理し、規制当局との連絡窓口として機能します。

適用範囲

地理的範囲

国内処理

データ主体の国籍や居住地に関係なく、中華人民共和国内のすべての個人情報処理に適用されます。

域外効果

中国国外の組織が中国の個人の個人情報を処理する場合に適用されます。これには、中国居住者に製品やサービスを提供する場合、中国の個人の行動を分析または評価する場合、または規制で指定されたその他の状況が含まれます。

分野別範囲

PIPLは公共部門と民間部門の両方を対象としています。金融や医療などの業界は、PIPLの基本的な保護を超えた追加の分野固有の要件に直面します。

処理の法的根拠

個人情報の処理には、少なくとも1つの合法的根拠が必要です:

  • 同意: データ主体からの明示的、自発的、かつ情報に基づいた同意
  • 契約上の必要性: 契約の締結または履行に必要な処理
  • 人事管理: 法律または労働協約に基づく人的資源管理に必要
  • 法的義務: 法的義務の遵守に必要
  • 公衆衛生/緊急事態: 公衆衛生上の緊急事態における生命、健康、または財産の保護
  • 公共の利益: 公共の利益における報道および世論
  • 合法的に開示されたデータ: すでに合法的に公開されている情報の合理的な範囲内での処理
  • その他の法的状況: 法律または規制で規定されている場合

同意は、特にユーザーデータを収集するAIチャットボットや自動化システムにおいて、ほとんどのシナリオで主要な根拠として機能します。

同意要件

一般的な同意

同意は明示的、情報に基づいた、自発的なものでなければなりません。データ主体はいつでも同意を撤回できますが、撤回は撤回前に完了した処理には影響しません。

個別または書面による同意

以下の場合に必要です:

  • 機微な個人情報
  • 国境を越えたデータ移転
  • 他の取扱事業者への開示
  • 公開開示
  • セキュリティ目的以外での個人画像または識別情報の使用

個別の同意には、単なる一般的な利用規約の承諾ではなく、個別のチェックボックスなど、明確で独立したオプトインが必要です。

データ主体の権利

PIPLは個人に包括的な権利を付与します:

  • アクセス: 自分のデータが処理されているかどうかを知り、それにアクセスする
  • 複製: 自分の個人情報のコピーを取得する
  • 訂正: 不正確または不完全なデータを修正する
  • 削除: 特定の状況下で削除を要求する
  • 同意の撤回: いつでも同意を取り消す
  • 制限/異議: 特定の処理活動を制限または異議を唱える
  • データポータビリティ: 実行可能な場合、別の取扱事業者への移転を要求する
  • 自動化された意思決定に関する説明と異議: 自動化された手段のみによって行われた重要な決定について説明を要求し、拒否する

組織のコンプライアンス義務

プライバシー通知

組織は処理前にプライバシー通知を提供する必要があります。これには、取扱事業者の身元と連絡先情報、処理の目的と方法、個人情報の種類、保持期間、データ主体の権利と行使メカニズム、海外移転を含む受領者の詳細が含まれます。

データ最小化と目的制限

記載された目的に必要なデータのみを収集および処理します。過度な収集は禁止されています。

セキュリティ対策

暗号化、匿名化、アクセス制御、従業員トレーニング、インシデント対応計画を含む技術的および組織的保護措置を実施します。

個人情報保護影響評価(PIPIA)

高リスクの処理には、少なくとも3年間保持される文書化された影響評価が必要です。高リスクシナリオには、機微データの処理、自動化された意思決定、海外移転が含まれます。

DPOの任命

処理閾値を超える取扱事業者は、DPOを任命し、CACに詳細を登録する必要があります。

定期的なコンプライアンス監査

特に大規模な取扱事業者およびプラットフォーム運営者には、定期的な監査が必要です。

記録保持

処理活動と影響評価の包括的な記録を維持します。

機微な個人情報

強化された保護

個別の同意が必須です。処理の必要性と比例性を正当化する必要があり、個人には潜在的な影響を通知する必要があります。

子供のデータ

14歳未満の未成年者の個人情報は機微情報として分類されます。処理には保護者の同意が必要であり、標準的なPIPL要件を超えた専用の保護措置が必要です。

国境を越えたデータ移転

個人情報は、3つのメカニズムのいずれかを通じて中国国外に移転できます:

  1. セキュリティ評価: 重要情報インフラ運営者(CIIO)および大規模取扱事業者に必須
  2. 認証: 認定機関による
  3. 標準契約: CAC承認条項に従った海外受領者との契約

追加要件

  • データ主体に受領者の詳細、処理目的、権利メカニズムを通知
  • 個別の同意を取得
  • 司法または法執行機関への移転には事前承認が必要

最近の規制更新

  • 国境を越えたデータフローの促進と規制に関する規定(2024年3月22日施行)
  • 個人情報の国境を越えた移転のための標準契約に関する措置(2023年6月1日施行)
  • ネットワークデータセキュリティ管理に関する規則(2025年1月1日施行)

ベンダーおよび共同処理管理

共同取扱事業者

処理の目的と手段を共同で決定する組織は、責任を明記した契約を確立する必要があります。連帯責任が適用されます。

委託先

処理契約には、目的、方法、保持、セキュリティ対策、責任を明確にする必要があります。

監督

取扱事業者は委託先によるコンプライアンスに対して責任を負い続けます。

執行と罰則

規制当局

CACがPIPLの主要な執行機関として機能します。銀行、医療、その他の業界の分野別規制当局が追加の監督を行う場合があります。

不遵守に対する罰則

一般的な違反

  • 組織:最大100万人民元の罰金
  • 個人:1万~10万人民元の罰金

重大な違反

  • 最大5,000万人民元または年間収益の5%の罰金
  • 事業停止またはライセンス取消
  • 違法利益の没収
  • 処理の停止
  • 責任者の資格剥奪

AIチャットボットおよび自動化アプリケーション

同意管理

チャットボットは、個人データを含むチャット記録を収集する前に同意を取得する必要があります。医療や金融情報などの機微データには、明確な開示を伴う個別の同意が必要です。

自動化された意思決定

AIがプロファイリング、信用スコアリング、またはその他の重要な自動化された決定に使用される場合、個人には説明と異議を唱える権利があります。

国境を越えたデータ

中国国外でホストされているチャットボットプラットフォームは、準拠した移転メカニズムを実装し、海外データ移転について個別の同意を取得する必要があります。

子供とのやり取り

14歳未満の未成年者とやり取りするチャットボットには、保護者の同意と特別な保護措置が必要です。

DPOの任命

大量のユーザーを処理するプロバイダーは、DPOを任命し、定期的なコンプライアンス監査を実施する必要があります。

コンプライアンスの自動化

  • 同意管理システム: 明示的および個別の同意の自動収集と記録
  • データ主体要求ワークフロー: アクセス、訂正、削除要求の自動処理
  • 影響評価ツール: PIPIAの文書化とコンプライアンス追跡を効率化するソフトウェア
  • ベンダー管理システム: 第三者処理者を評価するためのリスク評価

グローバルデータ保護法との比較

特徴PIPL(中国)GDPR(EU)CCPA/CPRA(カリフォルニア)
適用性中国内/中国向けの処理EUデータの処理営利団体、カリフォルニアデータ
データ主体の権利アクセス、訂正、削除、ポータビリティ、異議アクセス、訂正、削除、ポータビリティ、異議アクセス、削除、販売のオプトアウト
同意基準自発的、明示的、情報に基づいた;一部の用途には個別自由に与えられた、具体的、情報に基づいた、明確収集時の通知、オプトアウト
機微データ個別の同意、より厳格な保護措置特別カテゴリには明示的な同意が必要一部のカテゴリにはオプトインが必要
国境を越えた移転セキュリティ評価、認証、標準契約十分性、SCC、BCR、その他のメカニズム明示的な制限なし
DPO要件大規模/閾値ベース(未定)公的機関、大規模、特別カテゴリ不要
罰則最大5,000万人民元または収益の5%最大2,000万ユーロまたは収益の4%違反あたり2,500~7,500ドル

実践的なコンプライアンスステップ

  1. データマッピング: AIおよびチャットボット操作を含むすべての個人情報処理活動をカタログ化
  2. プライバシー通知: PIPL基準を満たすポリシーを公開
  3. 同意管理: 明示的および個別の同意収集のためのシステムを実装
  4. データ主体の権利: アクセス、訂正、削除要求のメカニズムを有効化
  5. 影響評価: 高リスクシナリオのPIPIAを実施し保持
  6. DPOの任命: 処理量に基づいて必要性を評価し、必要に応じて登録
  7. 国境を越えた移転: 法的移転メカニズムを選択し、契約を更新
  8. ベンダー監督: デューデリジェンスを実施し、処理者契約を正式化
  9. セキュリティ管理: 暗号化、アクセス管理、インシデント対応を適用
  10. 監査とトレーニング: 定期的にコンプライアンスを監査し、プライバシー義務について従業員をトレーニング

進化する側面と曖昧さ

  • 閾値: CACは、DPO任命または必須のローカライゼーションのための正確なデータ量閾値を指定していません
  • 個別の同意: 規制ガイダンスが限られています;ベストプラクティスでは、明確で独立した同意が必要です
  • 共同処理: PIPLは連帯責任を課していますが、一部の監督要件は定義が不十分です
  • 規制更新: 特に国境を越えた移転と機微データについて、補足規制が継続的に出現しています

組織は、更新についてCACのガイダンスと業界のベストプラクティスを監視する必要があります。

関連用語

  • データセキュリティ法(DSL): 中国におけるより広範なデータ保護と分類をカバー
  • サイバーセキュリティ法(CSL): 基本的なネットワークおよびサイバーセキュリティ要件を設定
  • 個人情報セキュリティ仕様: 詳細な国家ガイダンスで、非常に説得力がありますが拘束力はありません
  • ネットワークデータ: ネットワークシステムによって処理または生成されたデータで、進化する規制の対象

参考文献

用語集に戻る
×
お問い合わせ Contact