個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ～東アジア編～

2024年の振り返り　重要な法令・当局によるガイダンス

(1) 中国大陸 ～データ越境移転の緩和、データセキュリティ規制の整備及びAI規制の進展～

　中国大陸では、越境移転の規制に関して実務界の要請も踏まえ規制を緩和する措置が公表されました。そのほか、ネットワークデータ安全管理条例が公表されるなどデータセキュリティ規制の整備が進みました。さらに、AIに関する規制案も相次いで公表されています。

データの越境移転の緩和

　個人情報保護法38条に定められた個人情報の越境移転の3つのルート、即ち①主管当局による安全評価、②専門機構による認証、又は③主管当局所定の標準契約の締結（以下、併せて「事前手続」といいます。）について、2024年は、手続の合理化及び実務上の負担の軽減を図る立法が行われました。これは実務界の強い要請に基づくものと考えられ、最も重要な規範として、「データの越境移転の促進及び規範化規定」（以下、「越境移転促進規定」といいます。）が2024年3月22日に正式施行されました※1。同規定では、中国域内で収集した個人情報を域外移転させるために必要とされる事前手続が不要となる場面を明確に定めており、中国大陸からの個人情報・データの越境移転の利便性が向上しています。

　また、越境移転促進規定の6条では、事前手続の免除場面の一つとして自由貿易試験区におけるデータ処理者が自由貿易試験区の制定するデータ・ネガティブリストに該当しないデータを域外に提供する場合が定められていますが、かかる規定を受け、北京や上海等の主要都市は2024年5月から、各自の自由貿易区に適用されるデータ・ネガティブリスト又は自由な移転が可能なデータリストをそれぞれ公表しており、EVを含む自動車、医薬、交通運輸や越境EC等の事業分野の適用範囲内のデータ移転を促進しています。

データプロテクション・サイバーセキュリティ規制の整備

　「ネットワークデータ安全管理条例」が2024年9月24日に正式に公布され、2025年1月1日から施行されました※2。同条例は、2021年の意見募集から3年を経て施行されたものですが、個人情報の保護、重要データのセキュリティ確保、データの越境移転やオンラインプラットフォームのセキュリティ確保に関する義務等について、既に制定済みの下位規則を総括した上で、個人情報処理者による定期的なコンプライアンス監査の実施やオンラインプラットフォーマーによるオンラインデータの安全性検査等、各関連主体の義務を整理しています。この条例は、「個人情報保護法」、「データ安全法」、「ネットワーク安全法」という三法を基本とした規制枠組みにおいて、「重要情報インフラ安全保護条例」及び未だ意見募集段階にある「ネットワーク安全等級保護条例」と併せて、個人情報保護・データプロテクション・サイバーセキュリティに関する基本法令を構成するものとして重要な規定です。

　また、これまで明確化が待たれていた重要データの判断基準について、2024年3月21日に国家基準である「データ安全技術 データ分類分級規則」※3が公表されました。この基準は、重要データ判別の手がかりとなるだけでなく、民間企業自身が自社保有データを分類するにあたっても一定の参考価値を有すると評価されています。さらに、サイバーセキュリティ標準化技術委員会は2024年9月14日に、「ネットワーク安全実践的ガイドライン—センシティブ個人情報識別ガイドライン」※4を公表し、センシティブ個人情報の種類や典型例を示し、センシティブ個人情報の判別基準を明確化しました。

　その他、「銀行保険機構データ安全管理弁法」※5が2024年12月27日に公布、施行されました。この弁法は、中国国内で設立された銀行、信託会社や保険会社等の金融機関を対象とし、データの分類分級制度の設立や収集から破棄までデータの全ライフサイクルに応じた安全保護措置の実施等の義務を詳細に定めており、金融データ規制の基本的な指針となると評価されています。また、個人情報保護法に基づく下位規則案が相次いで制定され、個人情報保護・データプロテクションに関する法規制の整備が進みました。主要なものとしては、個人情報主体の要求に基づく個人情報移転にあたっての要件や手続を定める「情報安全技術　個人の請求に基づく個人情報移転要求（パブコメ版）」※6（2024年4月3日公表）や、個人情報保護法54条及び64条で要請される個人情報保護コンプライアンス監査の実施義務に対応する「データ安全技術　個人情報保護コンプライアンス監査要求（パブコメ版）」※7（2024年7月12日公表）が挙げられます。

AIに係る法規制の進展

　AI産業の急速な発展に対応するため、2023年に生成AIの提供者に対してアルゴリズムの事前届出義務等を課した「生成系人工知能サービス管理弁暫行弁法」をはじめとする立法が行われました。これに続いて、2024年度立法計画では、「人工知能法」の制定及びAI関連法規制の整備が言及され、AI基本法の構築及びそれに基づく関連規制の整備がさらに進められました※8。

　この流れの中、情報・データ・ネットワークに関連する国家基準の制定機関であるサイバーセキュリティ標準化技術委員会は、2024年9月9日に、「人工知能安全ガバナンスフレームワーク（Ver. 1.0）」を公表しました※9。同フレームワークは、AI産業の発展を奨励する当局の姿勢を踏襲しつつ、AI技術の特徴を踏まえたリスクを分析し、開発者・サービス提供者・利用者向けに、実務上の対応やガバナンス措置を提示しています。また、同委員会は2024年2月29日に「生成系人工知能サービス安全基本要求」を公表し※10、「生成系人工知能サービス管理弁暫行弁法」17条で求められている生成系AIサービス提供者による安全評価の実施に際して重要な指針を示しました。

　さらに、2024年以前に施行された「インターネット情報サービスにおけるアルゴリズム推奨管理規定」、「インターネット情報サービスにおけるディープシンセシス管理規定」及び「生成系人工知能サービス管理弁暫行弁法」から構成される既存のAI規制の基本枠組みのもと、2024年には、AIの設計、開発から応用までの各段階に応じた以下の一連の下位規則のパブコメ版が相次いで公表され、AIに関する実務界への注意喚起とともに、事前の対応準備も求められています。

• 学習用データの安全性について、国家基準レベルの「ネットワーク安全技術 生成系人工知能事前トレーニング及びファインチューニングにおけるデータの安全規範（パブコメ版）」※11（2024年4月3日公表）
• データのラベリングの安全性について、国家基準レベルの「ネットワーク安全技術 生成系人工知能データのラベリングの安全規範（パブコメ版）」※12（2024年4月3日公表）
• 生成内容の標識義務について、法令レベルの「人工知能生成合成内容標識弁法（パブコメ版）」※13（2024年9月14日公表）及び国家基準レベルの「ネットワーク安全技術 人工知能生成合成内容標識方法（パブコメ版）」※14（2024年9月14日公表）
• AIに係る発明の特許権申請の諸問題について、ガイドラインの「人工知能に係る発明の特許権申請に関するガイドライン（パブコメ版）」※15（2024年12月6日公表）

　急速に法制度の整備が進められている一方で、執行面においては、AI生成物の著作物性及び著作権侵害を初めて認めた判決（（2023）京0491民初11279号）や、AI生成物の著作権侵害について生成AIサービス提供事業者の責任を認めた判決（（2024）粤0192民初113号）が出されており、AI生成物の著作権性や著作権法の観点から著作権侵害の責任主体等、AIに係る知的財産権をはじめとする法的問題について中国の裁判所の考え方が示唆されています。

(2) 香港 ～中国大陸との個人情報越境移転の活発化及びAIに係る規制の発足～

中国大陸との個人情報越境移転の活発化

　中国大陸と香港との間の個人情報越境移転の簡便化を図る「グレーターベイエリア（中国大陸、香港）における個人情報越境移転標準契約の実施ガイドライン」※16の正式施行に伴い（2023年12年に施行）、2024年は深セン市、広州市等の広東省の主要都市※17と香港との間の個人情報越境移転に使用される標準契約のひな型（以下、「GBA・SCC」といいます。）※18が各事業分野に一般的に適用されるようになり、それらの地域内における個人情報の越境移転の簡便化が促進されることとなりました（2023年までは、適用範囲を信用情報、銀行及び医療分野に限定したトライアルが行われていました。）。

AIに係る規制の発足

　香港の個人情報保護委員会は2024年6月11日、「人工知能：個人情報保護モデルフレームワーク」を発表しました※19。当該フレームワークは、企業がAIシステムを第三者から調達、設置又は使用する際に、香港で制定されている個人データ（プライバシー）条例（PDPO）に従い、個人情報の保護及びデータの安全性を確保するためのAIのガバナンスに関するベストプラクティスを提示しています。具体的には、①AI使用に関する内部規則及びコンプライアンス制度の制定（AI管理委員会の設置及び従業員教育の実施を含む。）、②リスク評価及び人的監督の実施、③AIのシステム・データセキュリティ確保のためのAIモデルの調整、使用及び管理、④従業員、AIの調達先や消費者を含むステークホルダーとの情報共有という4つの方向性を示し、企業が実施すべき推奨事項を示しています。

(3) 台湾 ～AI基本法の策定と個人情報保護法の改定及び下位規則の進展～

個人情報保護法の改正

　台湾個人情報保護法の主管当局として設立される予定である個人情報保護委員会は、2024年も正式に設立されることなく、未だ「委員会準備室」の段階にとどまっています（2025年8月に正式設立予定）。もっとも、2024年12月20日に、同委員会準備室は個人情報保護法の改正案を公表しました※20。同法案では、個人情報の滅失や漏洩等のインシデントが発生した場合における個人情報保有者の記録保存、主管当局への適時報告及び当事者への通知といった義務の追加・明確化や、個人情報インシデントが発生するリスクが高い事業業種及び事業者に対する主管当局の評価・選定、対象者に対する優先的行政検査の実施等が定められています。

個人情報保護法に基づく業種別の規制の進展

　台湾の個人情報保護法27条2項及び3項に基づき※21、各事業業種の主管当局は2023年に引き続き、2024年も業種別の民間事業者の安全管理措置義務に関する規則の立法を進めました※22。また、2023年に規則が制定された総合商品小売業については、2024年に適用対象の範囲が改訂され、資本金が1,000万台湾ドル以上に達し、かつ会員を募集する又は取引先の個人情報を取得する小売業者までに拡大されました※23。

AI基本法案の策定

　台湾の国家科学及び技術委員会は2024年7月15日、台湾で初となるAIに係る基本法に当たる「人工知能基本法」の立法案を公表し、意見募集を行いました※24。同法案は①開発と幸福における持続可能性、②人間の自主性、③プライバシーの保護とデータガバナンス、④情報セキュリティと安全性、⑤透明性と説明責任、⑥公平性と非差別、及び⑦アカウンタビリティという、7つのAIの研究開発及び応用を推進するにあたっての基本原則を定めています。また、①イノベーションの奨励及び人材育成、②リスク管理と使用に関する責任、③権益の保護とデータ利用、④法規の整備と業務の点検という施策の要点を提示しています。具体的には、AI産業に対する租税優遇の提供、労働者保護を含む権利保護のための救済、補償及び保険制度の整備や、リスクに応じた分類制度をはじめとするリスク管理・監督体制及び品質管理体制の整備といった施策が示されております。なお、同法案はその名のとおり台湾のAIに関する施策の基本的な理念や方針を示した基本法であり、具体的な義務及び違反時の罰則等に関する規定は置かれていません。

2025年の展望

(1) 中国大陸 ～個人情報保護認証の実務運用及びAI基本法の策定～

　上記「2024の振り返り」（1）で記載したように、中国個人情報保護法38条では個人情報の越境移転の3つのルートが規定されていますが、そのうちの②専門機構による認証については、従前は内容が具体化されておらず、実務上どのように利用できるかが明確ではありませんでした。2025年1月3日に公表された「個人情報越境移転 個人情報保護認証弁法（パブコメ版）」※25の法案では、専門機構の資格要件や認証時の審査の項目等、個人情報保護認証の実施に関する具体的な内容が規定されています。2025年には、本法案が正式に成立・施行され、実務上新たな個人情報の越境移転のルートとして機能するか、他のルートとどのように使い分けられるかについて、運用の蓄積が待たれています。

　また、AI規制の策定が一層進んでいる中、2023年と2024年の2年連続で立法計画に含まれていたAI基本法にあたる「人工知能法」の立法動向が注目されます。また、前述の意見募集が行われている一連の下位規則についても、2025年には続々と正式に成立・施行されていくことが見込まれており、AIの研究開発や応用までの各プロセスに関与する企業にとって適切な安全確保措置の準備等の対応が急務となるでしょう。

(2) 香港 ～初のサイバーセキュリティ立法～

　香港政府は2024年12月に、重要インフラ運営者のサイバーセキュリティに関する義務を中心とした法案（「重要インフラ（コンピュターシステム）保護条例法案」）を立法院に提出し、現在審議中です※26。同法案は、主管当局が一定の基準に基づき指定した重要インフラ※27の運営者及び重要コンピュターシステム※28を規制対象とし、重要インフラ運営者に対して、香港におけるオフィスの設置、定期的なリスク評価及び監査の実施や、インシデント発生時の主管当局への適時報告等の義務並びにコンプライアンス違反時の罰則を定めています。同法案は正式に施行されれば、香港における初のサイバーセキュリティに関する法規制となり、民間企業には新たなコンプライアンス対応が求められます。同法案については、2024年7月に公表された同法案のフレームワークに対して大手米国IT企業がインシデント発生時における当局の調査権限が広範であるとの懸念を示していると報道され、それに対して当局が、当局の強制的調査権限は重要インフラ運営者がインシデントに対して自ら対応する意思がない又は対応することができない場合で、裁判官の令状を取得した場合に限定されており、当該懸念は正当な根拠に基づかないものであると反論した経緯がありました。12月に提出された法案では、強制的な調査を行う際の要件及び裁判官令状の発行要件について、（合理性及び相当性を求め、その考慮要素を列挙するなど）具体化されることとなりましたが、今後の立法動向が注目されています。

(3) 台湾 ～個人情報保護法の改正及びAI基本法の施行～

　個人情報保護法の改正について、前述の同法の改正草案は2025年2月まで意見募集が行われていますが、同法の主管当局として位置づけられる個人情報保護委員会の正式設立に伴い、主管当局による監督機能の強化及び他の行政機関との権限調整がどのように進むか、注目を集めており、実務の関心も高いです。

　また、台湾内閣（行政院）が公表した2025年度の政策計画※29ではAIの急速な発展に対応するための政策が多数示されており、これに伴い、AIの研究開発や応用に対して積極的な立法スタンスが窺えるAI基本法の正式な成立及び施行も期待されています。