中国「大型オンラインプラットフォーム向け個人データ規制案」—データ主権の再強化と運用設計の再編が不可避です

今日の深掘りポイント

• 中国・国家インターネット情報弁公室（CAC）が大型オンラインプラットフォーム向けの個人データ規制案を公募し、国内保存の厳格化と越境移転の統制強化を打ち出した可能性が高いです。
• 目を引くのは、AIデータセンターの運営者を中国国籍に限定するという報道ベースの要件と、削除請求（消去権）への迅速対応義務です。これが最終規則に残る場合、運用・人材・ガバナンスの再設計が不可避です。
• 生体情報を含む個人データの国内保管が示唆され、越境移転は既存の国家データ輸出セキュリティ規制の枠組みでより厳格に管理される見通しです。
• グローバルなクラウド／AI基盤を持つ多国籍企業には、データ境界の再定義、ローカル実装、派生データのみの越境、ベンダー再評価という実務的負荷が即座に発生します。
• 公募段階であるものの、信頼性と実現可能性は高い部類で、短期に着手可能なアクション（データマッピングや越境フローの是正）から手を付けるべき局面です。

はじめに

中国のサイバースペース管理当局（CAC）が、大規模オンラインプラットフォームに対する個人情報保護の新たな規制案を公表し、2025年12月22日まで意見公募を行っていると報じられています。草案の柱は、国内収集データの国内保存、越境データ移転の既存国家規制への厳格な準拠、AIデータセンター運営者の国籍要件、個人からの削除請求への迅速対応義務、違反時の法的責任と監査・リスク評価の強制といった点です。

本件は、PIPL（個人情報保護法）やデータセキュリティ法等で既に確立された原理を大型プラットフォームに対し再明確化・強化する流れと整合します。国内データ主権の再強化は、グローバルなデータガバナンス、クラウド配置、AI運用に直接的な再設計を迫るもので、SOCやCISOにとっては規制順守と攻撃面の変化を同時に捉える必要があるテーマです。

なお、AIデータセンター運営者の国籍要件を含む詳細は現時点では報道ベースであり、最終化の過程で文言やスコープが変化する可能性がある点に注意が必要です。

深掘り詳細

事実整理（報道と公募情報から見える骨子）

• CACが大型オンラインプラットフォーム向け個人情報保護規制案を公募していると報じられていること、募集期限は2025年12月22日です。
• 国内で収集された個人情報は国内保存を基本とし、越境移転には国家のデータ輸出セキュリティ規制への準拠が求められる見通しです。
• 生体情報を含むデータの国内保管・越境統制の強化が示唆されます。
• AIデータセンターの運営者を中国国籍に限定する要件、個人の削除請求に迅速対応する義務、違反時の法的責任とコンプライアンス監査やリスク評価の強制といったエンフォースメント手段が言及されています。
• 以上はいずれも草案段階の情報であり、最終規則化にあたり変更される可能性があります。

出典（報道）: Biometric Update: China regulations on personal data for large online platforms get public airing

インサイト／読み筋（規制スタックと「大型」定義の含意）

• 位置づけの読み方です。草案は、既存のデータ法制（個人情報保護、データセキュリティ、越境移転、等級保護など）の上に「大型オンラインプラットフォーム」向け実装要件を明示化する層として理解できます。PIPLが概念原則を示したのに対し、本草案は運用とエンフォースメントを前提にした実装に踏み込む性格が強いです。
• 「大型」の閾値がどこに設定されるかが最大の実務ポイントです。ユーザー規模、データ種類（生体・位置・金融などの高感度区分）、AIのモデル運用や推論基盤の規模、そしてデータセンターの役割（推論／学習／共有サービス）に応じて、より厳格な統制が課される可能性が高いです。閾値が低めに設定されれば、クラウド基盤の分離や人材・権限の国籍制約が広範な事業者に波及します。
• 国籍要件の波及です。AIデータセンターの運営者に国籍制限が入る場合、リーガル代表者や実効支配、保守運用権限（鍵管理・ログアクセス・緊急対応）まで中国籍に限定されるのか、もしくは「責任者」層に限定されるのかが肝です。前者なら鍵管理やSOAR/EDRの運用まで再設計が必要になり、後者ならガバナンスの再割当と監査線の引き直しで済む余地があります。
• データ主権とサプライチェーンです。国内保存と越境統制の強化は、SaaSのグローバル一体運用を難しくし、CN向け専用スタック（SaaS/クラウド/AI）とローカルなデータ中継・匿名化パイプラインが標準設計化する可能性が高いです。欧州GDPR圏との二重要件調整も実務負荷を増やします。

実務インパクト（クラウド、AI、データフロー）

• クラウド配置です。中国本土向けに論理／物理的に分離された「チャイナリージョン＋ガバナンス境界」の構築が既定路線になります。鍵管理は現地HSMでのHYOK/DI（ダブルキー）や現地KMS権限の国籍・権限制約が論点になります。
• AIワークロードです。学習・推論ともにデータ局所化の影響を受けます。モデル配布では、重み・評価データ・観測ログの越境が再設計対象となり、派生情報（統計・匿名化特徴量）のみ越境する「派生データ越境」アーキテクチャが現実解になります。
• データ主体の権利対応です。削除・訂正・開示等の要求に迅速対応するため、本人確認とワークフロー（誤消去防止のツーステップ、監査証跡、回復可能性）の強化が必須です。悪用（なりすまし削除）対策としても、強固なKYCフローとレート制御が求められます。
• 監査とエンフォースメントです。違反時に第三者監査やリスク評価が強制される運用は、監査準備体制（データ台帳、越境記録、アクセス証跡、鍵管理証跡）を常時整備する体制を事実上の必須要件に引き上げます。

脅威シナリオと影響

本件は規制テーマですが、実装に伴い攻撃面の再構成が起きるため、脅威仮説をMITRE ATT&CKに沿って整理します。

• シャドーITによる越境抜け道の発生

  • シナリオ: グローバル本社や地域本部が必要データを得られず、担当者が個人クラウドやメッセージングで迂回共有する事象が増える可能性があります。
  • ATT&CK: T1567.002 Exfiltration to Cloud Storage、T1078 Valid Accounts（個人アカウント流用）
  • 影響: 規制違反と情報漏えいの二重リスクが顕在化します。

• データ主体請求（削除・開示）API／ポータルの悪用

  • シナリオ: 本人確認やワークフローが甘い実装を狙い、偽装請求で競合のデータを消去させたり、対象者の可視化・列挙に悪用される可能性があります。
  • ATT&CK: T1190 Exploit Public-Facing Application、T1566 Phishing（なりすましでサポートを誤誘導）
  • 影響: 事業運営への直接的なデータ欠損と、規制違反に伴うエンフォースメントの誘発が起こりえます。

• ベンダー依存の拡大に伴うサプライチェーン侵害

  • シナリオ: 国籍要件やローカル運用要件により、現地IDC/マネージドサービスへの依存が増大し、信頼関係の破綻を突く侵害が増える可能性があります。
  • ATT&CK: T1199 Trusted Relationship、T1078 Valid Accounts（委託先のアカウント悪用）
  • 影響: 委託先からの横展開、広範囲な監査・是正命令に発展するおそれがあります。

• データ局所化による「王冠の集中」

  • シナリオ: 国内にデータが集中し、攻撃者が当該リージョンのクラウンジュエルを狙いやすくなります。監査準備のための可視化が進む一方、攻撃面では一点突破のリターンが高まります。
  • ATT&CK: T1190 Exploit Public-Facing Application、T1041 Exfiltration Over C2 Channel、T1486 Data Encrypted for Impact
  • 影響: 大規模な漏えい・暗号化被害が規制違反と結びつき、罰則・事業停止に直結します。

• 本人確認プロセスの社会工学攻撃

  • シナリオ: 削除請求や開示請求の本人確認を担うサポート・プライバシー窓口に対する標的型フィッシングと電話詐欺が増える可能性があります。
  • ATT&CK: T1566 Phishing、T1114 Email Collection、T1056 Input Capture
  • 影響: なりすまし処理や情報開示の誤実行に繋がります。

緩和の要点です。

• データ流通の技術的統制（DLP/地理フェンシング/タグ付き暗号化）と、派生データのみ越境の原則化を徹底します。
• DSAR/削除の本人確認は高リスク取引相当の強度を標準化し、レート制御・二経路確認・ロールバック設計を実装します。
• 供給者評価では、現地運用者の権限境界、鍵管理の職務分掌、証跡の真正性を監査可能にします。
• 監査準備（証跡、台帳、アーキ図）は「常時監査可能」水準を維持し、侵害・規制対応の二重インシデントを避けます。

セキュリティ担当者のアクション

• 30日以内

  • 中国関連のデータマップを刷新し、「収集源が中国」「中国居住者の個人データ」「生体・位置・決済など高感度」の3軸でタグ付けします。
  • 越境フローの棚卸し（API、ETL、レポート、運用ログ）を実施し、停止・置換・匿名化に振り分けます。
  • DSAR/削除の本人確認強化（多要素・レート制御・審査二重化）と誤消去ロールバック手順を整備します。

• 60日以内

  • 「派生データのみ越境」の標準パターンを確立します。匿名化・トークナイズ・集計の手順と品質基準、越境前ゲートの自動検査を導入します。
  • KMS/HSMの現地化ポリシーを確立し、鍵の保管・操作権限に国籍・職務分掌の条件を付す設計を定義します。
  • 委託先とクラウドの再評価を実施します。契約条項に「現地運用者の身元確認・権限境界・監査アクセス」を明記し、侵害通知や是正のSLAを明文化します。

• 90日以内

  • 中国リージョンのゼロトラスト境界を再設計します。ID境界（JIT/JEA）、ネットワーク境界（地域別セグメンテーション）、データ境界（属性ベースアクセス制御＋DLP）を統合します。
  • 常時監査可能な証跡体系を構築します。データ台帳、越境審査記録、鍵操作ログ、DSAR処理ログ、ベンダー監査結果を一元化し、提出可能なフォーマットで保管します。
  • インシデント対応計画を「侵害＋規制対応」の複合事案前提で更新します。監督機関報告フロー、法務・PR・経営の合意形成手順を含めます。

• アーキテクチャの推奨パターン

  • 中国向け「リージョン内完結」マイクロサービスと、越境は派生データのみのゲートウェイを採用します。
  • 機密度に応じたハイブリッド鍵管理（HYOK/デュアルキー）を適用し、重大データはオフライン・ブレークグラスでのみ復号可能にします。
  • DSAR/削除系の業務APIはレート制御、ワークフロー署名、監査用ハッシュ化証跡を備えます。

• 運用KPI（進捗の可視化）

  • 中国関連データで「越境不要に再設計済み」の割合
  • DSAR誤処理率とリカバリー時間
  • ベンダー監査の是正完了率と平均是正日数
  • 「派生データ越境」ゲートでの検知・遮断件数

• 経営・法務との整合

  • 「AIデータセンター運用の国籍要件」が最終規則化された場合の人員・委託・鍵管理の即応プランを提示します。
  • M&Aや新規SaaS導入では「中国向け実装の容易性」をデューデリジェンスの主要評価指標として格上げします。

参考情報

• Biometric Update: China regulations on personal data for large online platforms get public airing

注記: 上記は報道ベースの情報をもとにした分析で、最終規則の文言や適用範囲は変更される可能性があります。原文告示の確認後に、データ分類・越境フロー・鍵管理・ベンダー条件の最終更新を行うことを推奨します。