
中国サイバーセキュリティ法が域外適用を拡大 日本企業も最大1000万元制裁、中国事業の「見えない法的支配」に警戒
中国で改正サイバーセキュリティ法が施行され、国外の企業や個人に対する法的責任追及の範囲が拡大した。中国のネットワーク安全を害したと中国当局が判断した場合、日本国内で活動する企業や担当者であっても、調査や制裁の対象となる可能性がある。違反によって特に重大な影響や結果が生じたと認定されれば、企業への罰金は最大1000万元に達し、関係者個人への処分、事業停止、許可の取り消しなどが伴う場合もある。
日本円で2億円を超える可能性がある罰金額は確かに大きい。しかし、日本企業が本当に警戒すべきなのは金額だけではない。最大の問題は、中国政府が自国の「ネットワーク安全」や「国家安全」という広い概念を根拠に、中国国外で行われた企業活動にまで影響力を及ぼそうとしている点である。日本企業が日本国内の法令に従って業務を行っていても、中国事業、中国の顧客、中国国内の拠点、データ移転、クラウド環境などを通じて接点を持つ限り、中国側から責任を追及される余地が生まれる。
改正法では、中国国外の機関、組織、個人が中国のネットワーク安全を危害した場合、法的責任を追及できる枠組みが強化された。重大な結果が生じたと判断されれば、公安当局などが資産凍結を含む措置を取る可能性も指摘されている。ここで重要なのは、日本企業が中国国内に法人を持っているかどうかだけではない。中国向けサービスを提供する企業、中国の利用者データを扱う企業、中国企業とシステムを接続している企業も、無関係とは言い切れなくなったことである。
中国のサイバーセキュリティ法制では、ネットワーク運営者、重要情報インフラ運営者、データ処理事業者などに幅広い義務が課されている。改正によって罰則が引き上げられ、重大なデータ漏えいや重要情報インフラの機能喪失など、深刻な結果を招いた場合には厳しい制裁が可能になった。さらに、人工知能の安全な発展に関する規定も加えられ、中国政府がAI、データ、ネットワークを一体として管理する方向が一層明確になった。
一見すると、サイバー攻撃や大量の個人情報流出を防ぐための一般的な法改正にも見える。だが、中国の法制度を欧米や日本の規制と同じ感覚で捉えるのは危険である。中国では、サイバーセキュリティが企業や消費者を守るための技術的な概念にとどまらず、国家主権、社会秩序、情報統制、政治的安定と深く結び付けられている。企業が何を危険と判断するかではなく、中国当局が何を国家のネットワーク安全への脅威と認定するかによって、法的リスクが左右される。
日本企業にとって特に難しいのは、日本法、中国法、取引先からの要求が互いに衝突する可能性である。例えば、中国当局からデータの提出や保存を求められた場合、その対応が日本の個人情報保護法、顧客との秘密保持契約、社内の情報管理規則に抵触する恐れがある。反対に、日本側の法令や契約を優先して中国側の要求に応じなければ、中国国内で処分を受ける可能性が生じる。企業は二つの法体系の間に挟まれ、どちらを選んでも損失を受けかねない。
中国拠点から日本本社へ顧客情報、従業員情報、技術資料を移す場合にも注意が必要だ。データの国外移転には安全評価、標準契約、本人同意など複数の制度が関係し、対象となる情報の種類や数量によって必要な対応が変わる。通常の業務報告や人事管理のつもりでも、中国側では重要データや個人情報の越境移転として規制される可能性がある。日本本社が一元的にデータを管理する従来型の企業運営は、中国ではそのまま通用しない。
サプライチェーンを通じた間接的なリスクも見逃せない。日本企業自身が中国に拠点を持っていなくても、中国企業へソフトウェア、半導体、通信機器、クラウドサービス、保守業務を提供していれば、中国側システムの安全に関係する事業者と見なされる可能性がある。現地代理店や合弁企業を介して取引している場合も、契約上の責任だけで完全に切り離せるとは限らない。
さらに警戒すべきなのは、中国側が法的リスクを経済的圧力として利用できる点である。制裁対象となれば、罰金だけでなく、中国国内の資産、売掛金、現地法人、事業許可、取引先との契約が影響を受ける可能性がある。中国市場への依存度が高い企業ほど、当局の要求に異議を唱えにくくなる。法律が企業活動を規律するだけでなく、外国企業を中国政府の政策へ従わせる手段として機能する危険がある。
日本企業の経営者は、「現地法人が対応しているから本社には関係がない」と考えてはならない。中国子会社が扱う顧客情報や技術情報は、日本本社のシステムと接続されていることが多い。グループ全体で利用するクラウド、メール、会計、人事、研究開発システムを通じて、中国拠点のデータが日本へ流れていれば、本社側も実質的な当事者となる。
役員や情報システム責任者など、個人の責任にも注意が必要である。重大な違反では、企業だけでなく直接責任を負う管理者や担当者にも罰金が科される可能性がある。中国への出張や駐在を行う日本人社員にとって、会社の判断がそのまま個人の法的リスクに結び付く場合がある。企業が十分な説明や支援を行わず、現場の担当者に判断を押し付けることは許されない。
日本企業はまず、中国とのデータ接点を正確に把握しなければならない。どの部署が中国の顧客や取引先と接続し、どの情報を収集し、どの国のサーバーへ保存し、誰がアクセスできるのかを可視化する必要がある。中国事業を営業部門だけの問題として扱わず、法務、情報セキュリティ、経営企画、人事、輸出管理を含む全社的な課題として管理すべきである。
中国側の取引先から提供された契約書やデータ処理条件も、安易に受け入れてはならない。「中国法に従う」という短い条項だけで、データ提出、監査協力、責任負担、損害賠償まで一方的に日本企業へ押し付けられる恐れがある。どの法律が適用され、紛争をどこで解決し、当局から情報提供を求められた場合に誰が判断するのかを、契約段階で明確にする必要がある。
技術面では、中国拠点と日本本社のネットワークを必要以上に直結させないことも重要だ。アクセス権限を最小限にし、機密情報を分離し、ログを保存し、異常なデータ移動を監視する体制が求められる。中国国内で使用するシステムと、グローバルで使用するシステムをどこまで分けるべきか、事業継続性と安全保障の両面から検討しなければならない。
経営判断として、中国市場から得られる利益と、法令対応に必要な費用を改めて比較する必要もある。法務担当者の増員、サイバーセキュリティ設備、データ保存環境、現地専門家への相談、社員教育には継続的なコストがかかる。売上だけを見れば魅力的な市場でも、制裁、情報流出、事業停止、企業価値の低下まで含めれば、実際の利益は大きく減少する可能性がある。
日本の中小企業にとっては、対応負担がさらに重い。大企業のような法務部門や中国専門チームを持たず、現地代理店の説明を信じて事業を進めている企業も少なくない。しかし、知らなかったことは必ずしも免責理由にはならない。中国企業から突然要求されたソフトウェア導入、データ提出、サーバー変更などに応じる前に、その法的意味と安全保障上の影響を確認する必要がある。
中国政府は、サイバーセキュリティの名の下に、自国のネットワークとデータに対する統制を強めている。問題は、その影響が中国国境の内側だけにとどまらなくなっていることだ。日本企業が中国に投資し、中国企業とデータを共有し、中国市場の利益に依存するほど、中国の法律が日本国内の経営判断にも入り込む。
最大1000万元という罰金は、この危険を分かりやすく示す数字にすぎない。本当の脅威は、処罰されるかどうかを中国当局が広い裁量で判断し、日本企業がその不確実性を恐れて自ら行動を制限することである。中国での事業継続を優先するあまり、顧客情報、技術、社員の安全、日本の法令を後回しにすれば、企業は短期的な利益と引き換えに長期的な経営主権を失う。
日本企業は、中国のサイバーセキュリティ法を単なる海外コンプライアンスの一項目として扱ってはならない。それはデータ、技術、資産、社員、経営判断を中国政府の規制へ結び付ける法律であり、域外適用の拡大によって日本国内にも影響が及ぶ可能性が高まった。中国市場に関わる企業は、最悪の事態が起きてから対応するのではなく、今の段階で依存度、情報経路、契約、責任範囲を見直し、中国法による見えない支配が日本企業の内部へ入り込むことを防がなければならない。