中国「自動車データセキュリティ管理若干規定（試行）」を解説｜自動車データ・個人情報・越境移転の規制ポイント

2022年7月5日2026年6月5日

この記事について

中国では自動運転技術やコネクテッドカーの普及に伴い、かねてより自動車が収集するデータの管理が重要な規制テーマとなっていた。

そんな中、2021年10月に施行された「自動車データセキュリティ管理若干規定（試行）」（以下、本規定）は、中国で初めて自動車データに特化したセキュリティ管理ルールを定めた法令だ。

本記事では、自動車データ・重要データの定義、自動車関連企業に求められる義務、データ越境移転規制など、本規定の主要ポイントと日系企業への影響について解説した2022年の記事に2026年時点の見解も含めて整理した。

2021年10月、自動車データに特化したセキュリティ管理ルールを定めた法令が施行された

対象と定義について

本規定は、中国国内において行われる自動車データの処理活動およびそのセキュリティ監督管理を対象とする（2条）。

ここでいう「自動車データ」とは、自動車の設計、製造、販売、使用、保守などの過程で発生するデータを指し、個人情報および重要データが含まれる（3条1項）。

また、「自動車データ処理」には、データの収集、保存、利用、加工、送信、提供および公開などの行為が含まれる（3条2項）。

「自動車データ処理者」とは、自動車メーカー、部品メーカー、ソフトウェアサプライヤー、販売ディーラー、整備会社、配車サービス事業者、カーシェアリング事業者など、自動車データを取り扱う組織を指す（3条3項）。

個人情報・センシティブ個人情報について

本規定における個人情報とは、自動車の所有者、運転者、同乗者、さらには車外の人を特定または識別できる情報をいう。ただし、匿名化された情報は含まれない（3条4項）。

また、センシティブな個人情報とは、漏えいや不正利用によって個人や財産の安全に重大な影響を及ぼす可能性のある情報を指し、以下のようなデータが含まれる（3条5項）。
・車両の走行軌跡
・音声データ
・映像・画像データ
・生体認証情報

重要データについて

本規定における重要データとは、改ざん・破壊・漏えい・不正利用などによって国家安全や公共利益、個人・組織の権益に重大な影響を及ぼす可能性があるデータをいう（3条6項）。

代表例として次のデータが挙げられている。
・軍事施設や政府機関周辺など重要区域に関する地理情報・交通情報
・車両交通量や物流状況など経済活動を反映するデータ
・EV充電ネットワークの運営データ
・顔画像やナンバープレートを含む車外映像データ
・10万人超の個人情報
・その他、国家安全や公共利益に影響を及ぼす可能性があると当局が指定するデータ

自動車データ処理者の義務について

自動車データ処理者がインターネットなどの情報ネットワークを利用してデータ処理活動を行う場合は、ネットワークセキュリティ等級保護制度（MLPS）を導入し、法令上のセキュリティ義務を履行しなければならない（5条）。

また、自動車データを取り扱う際には、次の4原則を遵守する必要がある（6条）。
① 車内処理の原則
必要な場合を除き、データは車両外へ送信しない。
② 非デフォルト収集の原則
利用者が自ら設定しない限り、初期設定は「データを収集しない」とする。
③ 精度適用の原則
必要な機能に応じて、カメラやレーダーの撮影範囲や解像度を最小限に設定する。
④ 非機微化処理の原則
可能な限り匿名化・非識別化処理を実施する。

個人情報を処理する場合の対応について

個人情報を取り扱う場合、自動車データ処理者は取扱説明書、車載ディスプレイ、音声案内、アプリなどを通じて、利用者に分かりやすく情報を通知しなければならない（7条）。

通知事項には以下が含まれる。

・収集する個人情報の種類
・収集される具体的な場面
・収集停止方法
・利用目的および利用方法
・保存場所および保存期間
・情報開示・削除請求方法
・問い合わせ窓口情報

センシティブ個人情報を処理する場合の追加要件について

センシティブ個人情報を処理する場合には、さらに厳格な管理が求められる（9条）。

主な要件は次のとおりである。
・利用目的を運転支援や安全向上などに限定する
・必要性と個人への影響を明示する
・本人から個別同意を取得する
・利用者が収集停止を容易に行えるようにする
・削除請求があった場合は10営業日以内に削除する
・生体認証情報の収集は必要性がある場合に限定する

重要データの管理について

重要データを取り扱う場合、自動車データ処理者はリスク評価を実施し、その結果を所管当局へ報告しなければならない（11条）。

また、重要データの処理によって利用者の権益や公共利益を侵害した場合には、法令に基づき責任を負うことになる（17条）。

まとめ｜日系自動車関連企業への影響

「自動車データセキュリティ管理若干規定（試行）」は、中国で初めて自動車データに特化した管理ルールを定めた法令であり、自動車メーカーだけでなく、部品メーカー、ソフトウェアベンダー、販売ディーラー、整備事業者、配車サービス事業者など、自動車産業チェーン全体を広く適用対象としている。

公布当時は、自動運転やコネクテッドカーの普及に伴い急速に拡大する自動車データの管理を目的として制定されたが、その後、中国では個人情報保護法（PIPL）、データセキュリティ法（DSL）、データ越境移転に関する各種規則などが相次いで整備され、自動車データもこうした包括的なデータ規制体系の中で管理されるようになった。

本規定では、自動車データ処理者に対してネットワークセキュリティ等級保護制度（MLPS）の導入を求めるほか、個人情報・センシティブ個人情報の取得に関するルール、重要データのリスク評価義務、データ越境移転時のセキュリティ評価義務などを定めている。

特に、車両位置情報、走行軌跡、車内外の映像データ、生体認証情報などを取り扱う企業については、個人情報保護法を含む関連法令との整合性を踏まえた運用体制の構築が不可欠である。また、中国国外の本社やグループ会社との間でデータ共有を行う企業については、越境移転規制への対応も重要なコンプライアンス課題となる。

近年はコネクテッドカーや自動運転技術の発展に伴い、自動車から収集されるデータの種類や量が増加している。中国で事業を展開する日系自動車関連企業においては、本規定を自動車データ規制の基本ルールとして理解した上で、個人情報保護法、データセキュリティ法、サイバーセキュリティ法および最新のデータ越境移転規制を含めた総合的な対応を進めることが求められる。

情報元：汽车数据安全管理若干规定（试行）（中国語）　http://www.cac.gov.cn/2021-08/20/c_1631049984897667.htm