「中国でビジネスをしているうちの会社、中国の法律で罰せられることなんてあるの?」
「サイバーセキュリティ法の改正って、日本にいる企業にまで影響するんでしゅか?」
ボス、中国サイバーセキュリティ法が2026年1月に改正されたって聞きましたけど、日本企業にも関係あるんでしゅか?
ああ、大いに関係がある。今回の改正で「域外適用」が明確化されたからだ。中国事業に関与している日本企業や個人が、中国外にいても法的責任を問われる可能性が生まれた。しかも罰金は最大1000万元、日本円で2億円を超える。
2026年1月1日、中国のサイバーセキュリティ法(ネットワーク安全法)が2017年の制定以来初の全面改正を施行しました。
最大の変更点は「域外適用の拡大」で、中国国外の機関・組織・個人が中国のサイバーセキュリティを侵害した場合に資産凍結などの制裁措置が取れるようになりました。
中国に拠点を持つ日本企業はもちろん、データフロー等を通じて関与する企業にも影響が及ぶ可能性があります。
- 2026年1月施行。域外適用拡大により中国国外の企業・個人も法的責任追及の対象に
- 罰則強化で重要情報インフラへの罰金は最大1000万元(約2億円超)。改正前の約10倍
- AI規定の新設・個人情報保護要件の強化で、中国事業を持つ日本企業の対応コストが急増
この記事では、改正の主な内容と日本企業に与えるリスク、そして取るべき対策を整理します。
目次
中国サイバーセキュリティ法改正の概要と主な変更点
2017年の制定から初めての全面改正。主な変更点を整理します。
罰則強化とAI規定の新設が柱の改正内容
今回の改正は中国の急増するサイバー被害への対応と、AI・データ安全の法的整備を目的としています。
主な変更点は以下の通りです。
| 改正項目 | 内容 |
|---|
| 罰則強化 | 重要情報インフラ義務懈怠の罰金を改正前の約10倍に強化。最大1000万元(約2億円) |
| 域外適用の拡大 | 「重要インフラへの攻撃」から「サイバー安全を害する行為全般」へ対象を拡大 |
| AI関連規定の新設 | AI技術の安全利用に関する規定を明文化 |
| 個人情報保護要件の強化 | CSL・DSL・PIPLの3法整合が必須に |
改正法は2025年10月28日に全国人民代表大会常務委員会で可決され、2026年1月1日から施行されています。
詳細はモノリス法律事務所の解説やOne Asia Lawyersの分析が参考になります。
域外適用の拡大で中国国外の企業・個人も制裁対象に
「域外適用」って具体的にどういうことでしゅか?日本にいるだけでも法律が適用されるんでしゅか?
改正前は中国の「重要インフラへの攻撃」が対象だったが、改正後は「サイバー安全を害する行為全般」に拡大された。中国国外の組織や個人でも、中国当局が「サイバー安全を害した」と判断すれば資産凍結などの制裁措置を取れるようになった。
今回新設された域外適用条項では、中国国外の機関・組織・自然人が中国のサイバーセキュリティを侵害した場合、国務院公安部門が当該者に対する資産凍結その他の制裁措置を決定できると明記されました。
現時点では執行事例がなく実際の適用範囲は不明確ですが、中国事業に関与する日本企業が法的リスクを無視できない状況になっています。
日本企業が受ける実質的リスクと必要な対応策
中国とビジネス上のつながりを持つ日本企業が取るべき対応を整理します。
中国に拠点を持つ企業と持たない企業で異なる対応の優先順位
今回の改正による影響は、中国国内に拠点(法人・駐在事務所等)があるかどうかによって異なります。
それぞれの状況に応じた必要な対応は以下の通りです。
- 【中国国内拠点あり】CSL・DSL・PIPLの3法に基づく統合監査が必要。違反時の罰金リスクが大幅増加
- 【拠点なし・データフローあり】対中データ送受信の設計を見直し、「中国のサイバー安全を害する行為」に該当しないか法務・技術の両面で確認が必要
- 【AI・クラウドサービス利用企業】新設されたAI関連規定への対応状況を確認。中国で展開するAIサービスは安全評価が必要になる可能性がある
具体的な対応策として以下を実施することを推奨します。
- 中国関連の個人情報・重要データの取り扱いフロー(データマッピング)を整備する
- 中国のサイバーセキュリティ3法(CSL・DSL・PIPL)への対応状況をコンプライアンス部門で確認する
- 中国事業に関わる調達機器が中国の安全審査要件を満たしているか確認する
まとめ
「自分には関係ない」と思うのが一番危ない。中国との取引があったり、データをやりとりしているなら、今すぐ法務部門と連携して状況を確認することだ。域外適用は今後も強化される方向で、遅れれば遅れるほどリスクが積み上がる。
中国との付き合いがある企業は、セキュリティだけじゃなくて法律面のチェックも必要なんでしゅね。
2026年1月施行の中国サイバーセキュリティ法改正は、罰則強化と域外適用拡大という2つの大きな変化をもたらしました。
最大1000万元(約2億円超)の罰金リスクは無視できず、中国国外の企業・個人も制裁の対象となる可能性があります。
中国事業に関わる日本企業は、法務・セキュリティ両面でのコンプライアンス対応を早急に進めることが重要です。