AI活用で広がる中国ビジネス
データ利活用を「可能性」へ変える中国セキュリティ体制構築

AIやIoTの普及など、デジタル化によるデータの利活用が企業成長や国家の経済成長に影響を及ぼすようになったことで、世界各国では、データの越境移転や個人情報の取り扱いに関するルール整備を強化する動きが広がっています。中国も2017年以降、「サイバーセキュリティ法」「データ安全法」「個人情報保護法」のいわゆる「データ三法」を整備。2025年1月には、それらの実務ルールを具体化する「ネットワークデータ安全管理条例」が施行されました。個人情報の越境移転、重要データの取り扱い、セキュリティ体制の整備など、企業が対応すべき項目は多岐にわたりますが、ルールが明確化され、企業が取るべき行動の道筋が見え始めています。この条例をどう読み解き、実務に対応するべきなのか。そして、日系企業の対応状況の現状とは。中国の企業法務に精通する大江橋法律事務所の松本亮弁護士と、NTT通信系統（中国）有限公司（以下、NTT Com China）でセキュリティオペレーションセンター（SOC）の運用など日系企業に向けたセキュリティ支援を行う清 明氏に話を聞きました。

---

日本の百貨店も注目する「ネットワークデータ安全管理条例」

――NTT Com Chinaでは、ネットワークデータ安全管理条例に関連した問い合わせは増えているでしょうか？

NTT Com China 清 明氏（以下、清）：日本のお客さまからのデータ三法に関するお問い合わせは、春節（2026年2月17日～23日）が終わった直後だけでも2件ほどありました（取材は2026年3月3日に実施）。お客さまの関心は、引き続き高い状態にあると感じています。

お話を聞くと、条例によってルールが明確になったと感じているお客さまは増えています。一方で、中国政府の動向や地政学的な問題に不安を持っているお客さまは引き続きいらっしゃり、「今回は良い方に変わったが、次回は厳しい方に変わるかもしれない」と警戒しています。明確化を前向きに捉える面と、今後もどう変わっていくのかという不安の両方が入り混じっているのが、現場の正直な印象です。

――帝国データバンクの調査によれば、中国に現地法人や生産拠点を有する日本企業は約1万3000社とされています。これらの日系企業にとって、今回の条例施行はどのようなビジネスインパクトをもたらすと考えていますか。

大江橋法律事務所 松本亮氏（以下、松本氏）：業種によって影響の度合いは異なります。個人向けビジネスを展開し、お客さまの個人情報を取り扱う企業は、条例に従って明確に情報を管理し、守らなければならなくなりました。また、「重要データ」に指定されるデータを取り扱う日系企業は、情報の取り扱いに極めて慎重になるべきです。

大江橋法律事務所でも多くの問い合わせをいただきますが、圧倒的に多いのは、個人情報関連のご相談です。今回の条例は、厳密に解釈すると日本国内で集めた中国に関わる個人情報にも適用される可能性があります。具体的な事例として、日本国内の販売店からの相談がありました。中国から来店するお客さまからWeChatなどの連絡先を取得し、日本への再来訪時に優遇情報を発信したいというもので、条例に違反しない個人情報取得の同意の取り方などをアドバイスしました。複数の販売店から同様の相談が寄せられており、一つのトレンドになっていると感じます。

「越境移転」が制限されるデータとはなにか

――改めて、ネットワークデータ安全管理条例の概要を教えてください。

松本氏：中国では、2017〜2021年にかけて「サイバーセキュリティ法」「データ安全法」「個人情報保護法」が成立しており、これらを総称して「データ三法」と呼ばれています。手続きなどを明記してあるものの、具体的に企業が何をすべきかまでは踏み込んでいなかったため、中国でビジネスをしている企業にとっては、何をどうすればいいのかがよく分からない状態が4〜5年間続いていたわけです。

今回の条例は、データ三法の実務面を具体化し、細かい運用ルールを定めており、不明瞭だった部分が少し具体化されました。企業側からすれば、締め付けが強くなったというよりは、むしろルールがはっきりして具体的な行動を取りやすくなったと思います。

――条例で定められた運用ルールにおいて、日系企業が特に注意すべきはどの部分でしょうか。

松本氏：企業の実務担当者の皆さんが一番気にされているのは、中国国外へデータを持ち出す際に関係する「越境移転」と「重要データ」です。

まず、個人情報の「越境移転」については、企業が「重要情報インフラ運営者（CIIO）」に該当するかどうかにより対応が異なります。CIIOは、インフラや金融など、問題が起きた際に社会に大きな影響を及ぼす事業を行う企業のこと。CIIOが中国国内で収集および発生した個人情報および重要データは、中国国内で保管する必要があります。業務上の必要性により越境移転する場合には、国家インターネット情報機関が国務院関係機関と共同で制定する規則に基づき、国家安全や公共利益への影響、データの種類や量、海外側のデータ保護体制、移転後の漏洩リスクなどについて「安全評価」を行うことが義務付けられています。ただし、CIIOに該当する日系企業は金融分野くらいで、あまり多くありません。

企業がCIIOに該当しない場合には、取り扱うデータの性質と量によって対応が分かれます。クレジットカード番号や銀行口座といったセンシティブな個人情報を越境移転する場合、データの年間累計が1万人分を超えると安全評価の必要性が発生します。一方、センシティブ情報を扱わず一般的な個人情報だけであれば、年間累計10万人分未満なら、安全評価手続き、保護認証や標準契約の締結等の対応が一切不要です。このように、どのレベルなら対応すべきか明確化されたことは、企業にとって大きな前進と言えます。

もう一方の「重要データ」は、漏洩や不正利用があった際に国家の安全や公共利益などを脅かすデータのことです。これに当てはまる場合は、越境移転はできません。重要データとはなにかについては、各自治体や業界ごとにリストが出され始めている段階です。自社の事業が該当するかどうかの確認が必要になります。

問題になりやすいのが、製薬会社の治験データです。特にDNAデータなどは、取り扱いに注意が必要です。DNAまでいかずとも、治験データをどこまで共有できるのかは細心の注意を払う必要があります。また、中国は「社会統計」に関しても非常に敏感なので、業種を問わずデータの集め方や共有方法には気をつけるべきです。

日系企業が取り組むべきはじめの一歩はエンドポイントセキュリティ対策

――ネットワークデータ安全管理条例では、セキュリティ体制の強化や、重大インシデント発生時の報告義務も定められています。日系企業のセキュリティ対策の実態はいかがでしょうか。

清：セキュリティ対策は、費用をかけても利便性が上がるわけではなく、むしろ下がることさえあるという意味で、「コスト」として捉えられてしまう場合があります。現地法人任せにしていると、どうしても後回しになりがちな分野といえるでしょう。また、本社から対策の強化を指示されても、セキュリティに対するリテラシーが高い人材が少なく手が回らないケースもあります。ファイアウォールやエンドポイントセキュリティなど最低限の対策は施していても、内部不正の検知など一段上のセキュリティにステップアップしようとすると、なかなか手が回らないのが実情です。

また、重大インシデントが発生した場合、人材不足からCSIRTが機能せず、本社の情報システム部門からの問い合わせに対応できないなどといったリスクも顕在化しています。

松本氏：条例でもデータ漏洩や重大な不正アクセスなどのインシデント発生時には、報告義務が定められています。しかし、中国の現地法人だけでは適切に対応できないケースもあるでしょう。そもそも、インシデントが起きたときに当局へ報告しなければならないということ自体を把握していない現地法人もたくさんいらっしゃいます。信頼できるセキュリティ対策の専門企業に依頼することで、そのリスクを減らすことができる。日本の本社としても安心につながるはずです。

――そうした実情を踏まえ、日系企業は具体的にどのような手順で対策を進めるべきですか。

松本氏：まず、自社が取り扱っている情報の内容と量を把握する必要があります。そのうえで、法的な対応などを専門家に相談する。さらに、そのアドバイスに基づき、NTT Com Chinaさんのような技術力を持った会社にデータ保護やセキュリティ対応を依頼するのが最も確実だと思います。

清：われわれもデータ三法関連のサポートをご依頼いただくことがあります。企業が受けた法的なアドバイスをベースに、「どこから設備を準備し、体制をどうすべきか」という技術的な面で支援しています。一度にすべてやろうとすると負担が大きくなりますので、段階的な対応をご提案しています。例えば、ゼロから対策を始める場合、まずはパソコンやスマートフォンといったエンドポイントのセキュリティ強化から行います。以前はゲートウェイやファイアウォールから始めていましたが、今はエンドポイントを優先し、そこから少しずつ守るポイントを増やしていくといったアプローチの方が中国現地法人のお客さまには適している印象です。

――NTT Com Chinaでは、そのほかにどのようなセキュリティ対策ソリューションを提供しているのですか？

清：NTT Com Chinaとしては、データセンターやネットワークなどインフラ全般を提供しており、中国国内では「上海 プードン データセンター」の運用も行っています。セキュリティに関しては、ペネトレーションテストやレッドチームといったオフェンシブセキュリティ、さらにはコンサルティング的なアドバイスまで、業務領域を広げている最中です。4年前には、マネージドセキュリティサービスの提供主体として上海にSOCを設置しました。お客さまのセキュリティ製品から検知された脅威ログを分析し、問題があれば通知や緊急遮断を行うサービスを提供しています。

SOCのアピールポイントは、ログデータを中国国外に出さず、中国国内で監視できる点です。越境移転の観点からも安心感につながっています。加えて、NTT Com Chinaは日系企業であるため、お客さま企業の日本本社から説明を求められれば、直接日本語で対応することもできます。日本の情報システム部門と現地の間を取り持ち、中国のセキュリティ状況を可視化できる点は、大きな強みです。

松本氏：中国の法律は規定が抽象的で、実際の運用の場面で調整される傾向があるため、担当者は判断が難しいケースが多いのです。だからといって、何も対策を取っていなければ、それだけで罰せられる可能性もあります。法律判断が難しいなかでも、万が一当局から調査を受けた際に、自社なりに対策を取っていたと当局に証明できれば、結果は全く異なります。その際、データ安全やセキュリティに関して、技術面からの専門的なサポートは欠かせません。NTT Com China SOCのようなサービスは、企業にとって大きな安心材料であり、リスク回避の大きな一歩になると考えます。

AI活用で広がる中国でのビジネスチャンス

――ネットワークデータ安全管理条例によってルールが明確になった中国市場において、今後のデータ利活用ビジネスにはどのような可能性があるとお考えですか。

松本氏：ルールが明確になったことで、インターネットを活用した情報収集やデータの利活用がしやすくなったのは確かです。今、中国は不景気と言われていますが、日本製品への信頼はまだまだ高い。こうした強みを踏まえ、どのように市場へアプローチしていくかが日系企業の課題です。データ活用によって中国の消費者の好みを把握し、アプローチ方法が定まれば、ビジネスチャンスは十分にあると思います。

清：AIには大きな可能性を感じています。中国はAIに力を入れており得意領域でもあります。日系企業のお客さまからも「AIをうまく活用したい」というご要望をいただくことが増えました。その一方で、AI活用のスピードにセキュリティが追いついていないという課題も抱えています。

セキュリティの世界では、システムに侵入された経路や範囲、またその侵害方法が何かを判断した根拠を明確にする「説明責任」という言葉をよく使います。しかし、AI活用を急ぐあまり、この説明責任が置き去りになっている企業も少なくありません。セキュリティ面を盤石にできてこそ、AI活用も加速するはずです。われわれも、お客さまのAI活用に備えて、説明責任を果たすためのセキュリティソリューションを加速させていく必要があります。

――最後に、中国でビジネスを展開する日系企業にとって、NTT Com Chinaはどのような存在になっていきたいか、今後の展望をお聞かせください。

清：現在NTTグループは、AI活用も含め、セキュリティを確実に担保した上でお客さまへシステムやサービスを提供する『データガーディアン構想』というビジョンを掲げています。その中でもポイントになるのが、セキュリティにおけるケイパビリティです。お客さまに安心してお使いいただくため、セキュアな環境を軸にさまざまなツールやサービスを拡張し、セキュリティのライフサイクルすべてをサポートする存在を目指していきます。