　中国大陸では、ネットワークデータ安全管理条例の制定を始め、既存のいわゆるデータ三法間※1の法令関係の整理及び体系化、下位規範の整備に伴い法執行の強化が進展していることが注目されます。他方、長らく制定が期待されているAI基本法にあたる「人工知能法」は依然として公表されておらず、中国大陸のAI関連規制は、アルゴリズム推奨規制、ディープシンセシス管理規定及び生成AIサービス管理弁法等の既存の個別法令をもとに段階的に整備が進められている状況にあります。このように、中国大陸は包括的立法の制定より、個別規制を積み重ねることにより、急速に発展するAI産業への規律付けを図る姿勢が窺われます。

ネットワーク安全法の改正

　2025年1月1日の「ネットワークデータ安全管理条例」※2の施行に続き、ネットワーク安全法※3が改正され、2026年1月1日に施行されました。

　同法は、中国におけるネットワークの構築、運営、維持及び使用、並びにネットワーク安全の管理監督を規制対象とする基本的な法令であり、ネットワークの所有者、管理者及びネットワークサービスの提供者（以下、「ネットワーク運営者」といいます。）に対して安全保護義務を課しています。同法は「ネットワーク」について、「コンピューターその他の情報端末及び関連設備により構成され、一定の規則及びプログラムに基づき、情報の収集、伝送、交換、処理を行うシステム」と定義していることから、インターネットサービス事業者に限らず、企業内のネットワークを含む広範な情報システムが規制対象となり得る点で、従来から実務上の影響が大きいと注目されています。

　今回の改正では、ネットワーク運営者による安全保護義務の履行に関し、是正命令を経ることなく直接過料を科すことができる規制強化に加え、個人情報・データ保護に関する義務違反の処罰について、違反事由とデータ安全法及び中国個人情報保護法等のそれぞれの関連法令に基づく処罰規定の体系的整合が図られています。その他、違反時の処罰内容の引上げや責任追及の実効化、さらにはデジタルプラットフォームを運営する主体の責任の具体化が進められています。これにより、ネットワーク運営者の各義務内容とそれに対応する罰則が一層明確になり、ネットワーク運営者による義務履行の状況が、ログ管理、脆弱性対応、インシデント処理等の実際運用状況を通じて検証される仕組みとなっています。企業にとっては、従来の制度整備にとどまらない運用ベースの安全管理体制の構築が求められるなど、実務において重要な影響を及ぼすものと考えられます。

個人情報の越境移転に関する実施ルールの整備及び法執行の強化

　中国個人情報保護法38条では、中国域内で収集した個人情報を含む一定のデータを域外移転させるために、①主管当局による安全評価の合格、②専門機構による認証又は③主管当局所定の標準契約の締結（以下、総称して「事前手続」といいます。）という3つのルートが定められています。

　このうち、②専門機構による認証については、従前は内容が具体化されておらず、実務上の利用場面が必ずしも明らかではありませんでしたが、2026年1月1日から施行された「個人情報越境移転認証弁法」※4により明確化されました。すなわち、同弁法では、認証制度の適用要件を満たす越境移転活動を対象として※5、認証時の審査事項、認証の有効期間（3年）及び更新手続、認証結果の公開等を規定しているため、個人情報保護認証の実施枠組みが明確化されています。また、同弁法の施行に伴って公表された推奨性標準である「個人情報の越境移転処理活動における安全認証の要求」の別紙A※6では、典型的な認証が利用可能な場面（例えば、グローバルなグループ企業間で行われる個人情報の処理活動や、域内の個人情報処理者が域外のサービス提供者（技術サポートや法律事務所も含まれる。）に情報処理を委託した場合）が列挙されており、実務上の利用場面を明確化しています。同弁法の施行により、「データ越境移転安全評価弁法」及び「個人情報越境移転標準契約弁法」と併せて、個人情報越境移転に関する3つのルートの運用ルールが出揃い、中国における越境移転規制は制度面において一層の体系化が進んだと評価できます。

　他方、個人情報の越境移転について2024年施行の「データの越境移転の促進及び規範化規定」により一定の規制緩和が図られているものの、2025年9月に外資系企業による個人情報の違法な越境移転を理由とする初の処罰事例※7が公表されるなど、事前手続の履行を含む企業の義務遵守に対する監督は強化される傾向が見られます。

生成AI内容の標識義務の明文化

　2025年9月1日に「人工知能生成合成内容標識弁法」※8が施行されました。同弁法は、いわゆる生成AI技術により生成されたコンテンツの識別可能性及び追跡可能性を確保することを目的とするものであり、AI生成コンテンツへの監督管理が図られています。

　同弁法では、AI生成コンテンツに対する標識（ラベリング）義務を明確化し、ユーザーが直接認識可能な形で表示する「明示的標識」と、メタデータ等によりコンテンツに埋め込まれる「暗黙的標識」の双方を求めています。また、生成段階にとどまらず、配信、伝播及び利用の各過程においても標識の保持及び検証を可能とする体制の整備が要求されており、サービス提供者のみならずプラットフォーム事業者を含む複数の主体の間での責任分担について規定されています。

　また、同弁法の施行に伴い、同弁法に対応する強行的な国家標準である「ネットワーク安全技術人工知能生成合成内容標識方法」※9も施行されました。これにより、従来は抽象的ルールにとどまっていた生成コンテンツの表示義務※10が具体化され、実際のシステム設計及び運用状況を通じて履行状況の検証が可能となりました。アルゴリズム推奨サービスや生成AIサービスの提供者には、単なる表示対応にとどまらず、生成、保存、配信及び監査を含む一連のプロセスに標識機能を組み込んだ管理体制の構築が求められることとなっています。

(2) 香港～初のサイバーセキュリティ法規制の成立と生成AIガイドラインの策定～

重要インフラ（コンピューターシステム）保護条例の施行

　香港では、2024年末に立法案として提出された香港における初のサイバーセキュリティに関する法規制となる「重要インフラ（コンピューターシステム）保護条例」※11が、2026年1月1日から施行されました。同条例では、主管当局が一定の基準に基づき指定した重要インフラ※12及び重要コンピューターシステム※13の運営者を規制対象とし、重要インフラ運営者に対して、香港におけるオフィスの設置、定期的なリスク評価及び監査の実施や、インシデント発生時の主管当局への適時報告等の義務並びにコンプライアンス違反時の罰則を定めています。これにより、従来はソフトローを中心としていた香港のサイバーセキュリティ対応は、法律上の義務に裏付けられた管理体制へと移行しつつあり、香港の重要インフラを運営する企業にとっては、平時からのリスク管理体制の整備が実務上の重要課題になるものと考えられます。なお、重要インフラ及び重要コンピューターシステムの運営者と指定されない、一般的な企業は同条例の適用対象から除外されていると考えられます。

データプロテクションに関する法執行の展開

　2025年には、香港において、データ漏えい事案や不適切なデータ共有に関する調査が実施されるなど、執行面での監督も強化されています※14。とりわけ、医療サービス事業者によるグループ内での顧客データ共有が「個人データ（プライバシー）条例」（「PDPO」）上の目的限定原則に違反すると判断された事例があり※15、企業グループ内部であってもデータ利用の正当性が厳格に審査され得ることが示唆されており、注意が必要です。このように、香港における個人データ保護規制は、制度整備の段階から具体的なデータ利用態様に踏み込んだ執行段階へと移行しつつあると考えられています。

(3) 台湾～改正個人情報保護法及びAI基本法の正式施行～

改正個人情報保護法の施行

　2025年11月11日に、2024年に改正草案が公表されていた改正個人情報保護法が施行されました※16。施行された改正法は、基本的に改正草案の内容を維持しており、個人情報の喪失や漏洩等のインシデントが発生した場合における個人情報保有者の記録保存、主管当局への適時報告及び当事者への通知といった義務の追加・明確化や、個人情報インシデントが発生するリスクが高い事業業種及び事業者に対する主管当局の評価・選定、対象者に対する優先的行政検査の実施等が定められています。

AI基本法の施行

　2025年12月23日に、台湾で初となるAIに係る基本法に当たる「人工知能基本法」が施行されました※17。同法は、持続可能性、人間の自主性、プライバシー保護とデータガバナンス、情報セキュリティ、透明性、公平性及びアカウンタビリティ等の7つの基本原則を掲げ、AIの研究開発及び応用を推進するための政策指針を示しています。もっとも、同法はAI政策の基本理念を示す枠組み法として位置付けられており、具体的な義務や罰則を定めるものではなく、今後の関連法令や執行ルールの整備にも注目されています。

2026年の展望

(1) 中国大陸～法執行の強化～

　上記のとおり、近時、中国大陸ではデータプロテクション法規制の体系化が進むとともに、個人情報の越境移転や生成AIに対する当局による監督が強化されています。2026年に向けて、これら既存規制の運用の蓄積に加え、長らく制定が期待されているAI基本法に当たる「人工知能法」の立法動向にも注目が集まっています。

(2) 香港～AI産業への促進に伴う法規制の構築～

　香港では、ネットワークセキュリティに関する制度整備が進む一方で、2026年に向けてはAI産業の競争力強化を目的とした政策的支援の拡充及び関連法規制の整備が注目されています※18。

　中国大陸と香港との間の個人情報越境移転の簡便化を図る「グレーターベイエリア（中国大陸・香港）における個人情報越境移転標準契約の実施ガイドライン」※19が2023年に施行されて以降、両地域間におけるデータ越境移転は一層活発化しており、これに加えて、AI及びデータ関連産業の集積がさらに促進されることが見込まれています。

　これらの動向から、香港は、従来のデータ保護を中心とする規制枠組みに加え、AI産業基盤の構築を並行して推進していることが窺われます。2026年には、こうした産業促進政策と個人データ保護・サイバーセキュリティ規制との均衡がどのように図られるかが、実務上の重要な注目点になると考えられます。

(3) 台湾～個人情報保護法の改正に伴う施行細則の整備～

　2026年には、個人情報保護法の改正に伴う個人情報保護法施行細則の改正をはじめ※20、個人情報保護に関する一連の下位規範の改訂又は制定が計画されています※21。例えば、個人情報保護委員会の準備室は2026年1月22日に、「個人情報インシデント通知報告及び対応に関する弁法」の草案を公表し、個人データの漏えい等のインシデント発生時における通知・通報義務及び対応措置の具体化を図っています。同草案は、個人資料保護法第12条に基づき制定されるものであり、事故発生時の対応手続を明確化することで、個人データ保護の実効性を高めることを目的としています。

脚注一覧

※1
ネットワーク安全法、データ安全法及び個人情報保護法を指す。

※2
中文表記は「网络数据安全管理条例」であり、同条例に関する解説については、個人情報保護・データプライバシーニュースレターNo.54（2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望～東アジア編～」をご参照ください。

※3
同法の改正に関する解説については、アジア最新法律情報No.229/個人情報保護・データプライバシーニュースレターNo.56（2025年4月)「データプロテクション法規制の強化～ネットワーク安全法の改正案公表～（中国）」をご参照ください。

※4
中文表記は「个人信息出境认证办法」、同弁法の原文については、https://www.samr.gov.cn:7280/zw/zfxxgk/fdzdgknr/fgs/art/2025/art_58457106dd624e06be6d179d09284dcb.htmlをご参照ください。

※5
即ち、個人情報処理者が①重要情報インフラ運営者（CIIO）に該当しないこと、➁当年1月1日以降に中国域外へ提供した個人情報の累計が、センシティブ個人情報を除く個人情報については10万人以上100万人未満、又はセンシティブ個人情報については1万人未満であること、③個人情報には、「重要データ」は含まれないこと。

※6
中文表記は「数据安全技术个人信息跨境处理活动安全认证要求（GB/T 46068-2025）」、当該規範の原文については、https://std.samr.gov.cn/gb/search/gbDetailed?id=F7EFE25A5E1624CBE05397BE0A0A821Dをご参照ください。

※7
当該処罰事例に関する解説は、個人情報保護・データプライバシーニュースレターNo.61（2025年10月)「中国：個人情報越境移転に関する初の処罰事例」をご参照ください。

※8
中文表記は「人工智能生成合成内容标识办法」、同弁法の原文については、https://www.cac.gov.cn/2025-03/14/c_1743654684782215.htmをご参照ください。

※9
中文表記は「网络安全技术人工智能生成合成内容标识方法」

※10
インターネットサービスディープシンセシス管理規定（中文表記は「互联网信息服务深度合成管理规定」）16条。

※11
中文表記は「保护关键基础设施(电脑系统)条例」、当該条例の原文については、https://www.elegislation.gov.hk/hk/cap653をご参照ください。

※12
重要インフラについては、①特定の重要分野（エネルギー、情報・テクノロジー、銀行・金融サービス、陸上・航空交通、海運、医療保健、電気通信）においてサービスを提供するために必要なインフラ、又は②破壊、機能喪失や情報漏洩等、侵害された場合に重要な社会及び経済活動に支障又は重大な影響を与えうるインフラであるとされています（同法２条）。

※13
重要コンピューターシステムについては、主管当局が指定した①重要インフラの運営者が香港で又は香港からアクセスすることができるコンピューターシステム、及び②重要インフラの中核機能に必要不可欠なコンピューターシステムを指すとされています（同法13条）。

※14
香港個人情報保護委員会が公表した2025年工作報告（https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20260203.html）をご参照ください。

※15
同事例に関する判断の原文については、https://www.pcpd.org.hk/english/whatsnew/20250313.htmlをご参照ください。

※16
個人情報保護委員会の準備室による公表については、https://www.pdpc.gov.tw/News_Content/20/1010/をご参照ください。改正個人情報保護法の原文については、https://www.president.gov.tw/Page/294/50044をご参照ください。

※17
同法の施行に関する公表については、https://moda.gov.tw/press/press-releases/18316をご参照ください。「人工知能基本法」の原文については、https://law.moj.gov.tw/News/NewsDetail.aspx?msgid=196197をご参照ください。

※18
香港行政長官が公表した2025年度施政報告（https://www.policyaddress.gov.hk/2025/tc/p70.html）をご参照ください。

※19
中文表記は「粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引」であり、同ガイドラインの原文については、https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20231213.htmlをご参照ください。

※20
当該立法計画について、個人情報保護委員会の準備室による公表（https://www.pdpc.gov.tw/News_Content/20/1104/）をご参照ください。

※21
個人情報保護委員会の準備室が公表した立法予告（https://www.pdpc.gov.tw/News/20/）をご参照ください。

2026年2月17日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）