TRAFEED

反スパイ法・国家情報法と日本企業のリスク 中国データ持ち出しの実務対策

公開2026-07-19濱本 隆太

中国の反スパイ法(2023年7月1日改正施行)と国家情報法が日本企業に与えるリスクを、JETRO・外務省・法令の一次情報で整理しました。駐在員・出張者の拘束、業務端末とデータの持ち込み、現地法人からのデータ越境移転という三つの実務リスクと、日本の外為法・輸出管理との交差点、企業がとるべき対策チェックリストまで解説します。

反スパイ法・国家情報法と日本企業のリスク 中国データ持ち出しの実務対策
シェア

こんにちは、株式会社TIMEWELLの濱本です。中国とビジネスをしている企業の担当者と話すと、経済安全保障の話題はたいてい二つの心配に集約されます。ひとつは「駐在員や出張者が、ある日突然拘束されないか」という人の問題。もうひとつは「自社の端末やデータを持ち込んで、あるいは現地法人から本社へ送って、法に触れないか」というデータの問題です。

このふたつの不安の背景には、中国が2014年以降に整備してきた国家安全関連の法令群があります。中でも名前がよく挙がるのが、反スパイ法(反間諜法)と国家情報法です。ところが、条文を読んだうえで自社の運用に落とし込めている企業は多くありません。「なんとなく怖い」で止まってしまうと、必要以上に萎縮するか、逆に無防備なまま出張させてしまうか、どちらかに振れがちです。この記事では、政府や公的機関の一次情報をもとに、何がどこまで規制され、日本企業として何を運用ルールに落とすべきかを整理します。

先に3行でまとめておきます。反スパイ法は2023年7月1日に改正施行され、スパイ行為とみなされる情報の範囲が「国家機密」から「国の安全と利益に関わるあらゆる文書やデータ」へ広がりました。国家情報法(2017年制定、2018年改正)は、あらゆる組織や個人に情報活動への協力義務を課す構造を持っています。そしてデータセキュリティ法・個人情報保護法・サイバーセキュリティ法のいわゆるデータ三法が、現地法人から本社へのデータ移転にまで規制を及ぼします。まずは自社が中国で扱う技術やデータの規制該当性を確かめるところから始めたい方は、輸出管理体制の無料診断で現在地を把握してから読み進めると、後半の実務対応に優先順位を付けやすくなります。

なぜ今、中国での経済安全保障リスクが高まっているのか

中国の国家安全に関する考え方は、「総体的国家安全観」という指導方針に集約されます。これは国家の安全を外交や軍事に限定せず、経済、金融、科学技術、ネットワーク、データ、AI、食糧、生物、資源といった広い領域に及ぶものとして捉える発想です。裏を返せば、企業が日常的に扱う経営情報や技術資料、従業員データまでもが「国家の安全」に関わりうる、という前提で法体系が組まれているということです。

この方針のもと、2014年以降にいくつもの法律が矢継ぎ早に整備・改正されてきました。全体像を施行日つきで並べると、規制の網が年々細かくなってきた様子がよく分かります。JETROが森・濱田松本法律事務所に委託して公表したレポート1をもとに整理すると、次のようになります。

法令名 施行(または改正施行)時期 企業への主な関わり
国家安全法 2015年7月 国家安全の基本方針を規定
ネットワーク安全法(サイバーセキュリティ法) 2017年6月1日 ネットワーク運営者の義務、データの保護
国家情報法 2017年6月制定・2018年4月改正施行 組織や個人に情報活動への協力義務
反外国制裁法 2021年6月 外国の制裁への対抗措置
データセキュリティ法(データ安全法) 2021年9月1日 重要データの取扱いと越境制限
個人情報保護法(PIPL) 2021年11月1日 個人情報の越境移転に前提条件
反スパイ法(改正) 2023年7月1日 スパイ行為の範囲拡大、企業の防止義務
国家秘密保護法(改正) 2024年5月 国家秘密の管理強化

こうして並べると、単発の法律が怖いのではなく、法令群が互いに補い合って一つの管理体制を作っていることが見えてきます。反スパイ法で「何がスパイ行為か」の入口が広がり、データ三法で「どのデータをどこへ動かせるか」が縛られ、国家情報法で「協力を求められうる」構造が用意されている。企業リスクとして考えるなら、この三つを別々にではなく、ひとつのつながりとして捉える必要があります。日本側の経済安全保障の枠組みとの対比を先に押さえておきたい方は、経済安全保障とは何かを基礎から解説した記事もあわせて読んでみてください。

反スパイ法の改正で何が変わったのか

反スパイ法は1993年制定の国家安全法を基礎に2014年に公布された旧法を、2023年4月に成立させて同年7月1日に施行した改正法です。条文数は5章40条から6章71条へと大きく増えました。ボリュームが増えたこと自体より、増えた中身が企業にとって重要です。

最も影響が大きいのは、スパイ行為の定義の拡大です。改正法4条は、従来の「国家機密や情報」の窃取などに加えて、「その他の国の安全と利益にかかわる文書、データ、資料、物品」を窃取、偵察、買収、不法提供する行為もスパイ行為に該当すると規定しました。つまり、国家秘密に指定されていない情報であっても対象になり得るということです。しかも「国家の安全と利益」が何を指すのかは法律上明確に定義されていません。この曖昧さこそが、外国企業にとっての最大のリスクだと私は考えています。何がアウトかを事前に線引きできないため、通常のビジネス活動が結果的にスパイ行為と判定される可能性を否定できないからです。ネットワークへの攻撃や侵入、妨害といった行為も、この改正でスパイ行為に含められました。

もうひとつ見落とせないのが、一般企業への義務づけです。改正法は新たに「安全防止」の章を設け、一般の企業にもスパイ防止の主体責任(安全防止義務)を課しました(12条)。義務を果たさない場合、国家安全機関は是正命令、面談、警告、責任者への処分といった措置をとれます(56条)。加えて、公民や組織には通報義務があり(16条)、告発者は表彰や奨励の対象になります。2022年に国家安全部が公布した通報奨励の規則では、貢献度に応じて奨励し、特に大きい場合は10万元(およそ200万円)以上を支給するとされています。社会全体が通報のインセンティブを持つ構造になっている点は、現地での立ち居振る舞いを考えるうえで無視できません。

法執行の権限も強化されました。改正法25条は、国家安全機関がスパイ活動防止業務にあたり、所定の手続を経たうえで関係する個人や組織の電子機器、施設、プログラム、ツールを調査できると明記しています。23条や24条ではスパイの疑いがある者への出国禁止、危害のおそれのある者への入国禁止の権限も定められました。2024年4月には国家安全機関の行政執行手続規定と刑事案件取扱手続規定が公布され、同年7月1日から施行されています。電子機器の検査には原則として市レベル以上の責任者の承認と検査通知書が必要とされる一方、緊急時には責任者の承認を受けて身分証明書を提示すればその場で検査できるとされています。手続の枠はあるものの、現場での機器チェックが制度として想定されていることは知っておくべきです。

該非判定の属人化を、AIで解消する。

経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDの機能・導入フローをまとめたサービスカタログを無料でダウンロードできます。

国家情報法という「協力義務」の構造

反スパイ法とセットで語られるのが国家情報法です。2017年に制定され、2018年に改正されました。この法律が企業リスクとして問題視される理由は、いかなる組織や個人も国の情報活動に協力する義務を負う、という構造を持っているからです。

これが意味するところを、日本企業の立場で具体的に考えてみます。中国に現地法人があり、中国人従業員を雇用している場合、その従業員や法人が当局から情報活動への協力を求められる場面が制度上あり得る、ということになります。反スパイ法の改正でスパイ行為に該当する情報の範囲が広がったことと重ね合わせると、「協力を求められる対象」に自社の技術情報や経営データが含まれる可能性を、まったくのゼロとは言い切れません。海外の政府や企業が中国製の通信機器やアプリに神経をとがらせてきた背景にも、この協力義務の存在があります。

ここで冷静になっておきたいのは、この構造があるからといって、すべての現地法人や従業員が日常的に情報提供を強いられているわけではない、という点です。過度に不安をあおるのは実務の役に立ちません。大切なのは、「協力を求められうる」という前提を認めたうえで、そもそも協力の対象になりうる機微な情報を現地に置かない、あるいは最小化するという設計思想に立つことです。制度そのものを日本企業が変えることはできませんが、制度にさらすデータの量と質は、企業側の運用でかなりコントロールできます。

駐在員・出張者の拘束リスク(人の問題)

抽象的な法律論より、現実の数字のほうが担当者には響くはずです。外務省 海外安全ホームページの中国スポット情報2によれば、2015年の反スパイ法施行以降、これまでに17名の邦人が「国家安全」に関する罪で中国当局に拘束されたことが確認されており、うち現在も5名の邦人が拘束されています(2025年7月22日時点の記載)。この数字は更新されうるので、渡航前には外務省のページで最新の状況を確認してください。

象徴的なのが、アステラス製薬の日本人社員をめぐる事件です。60代の男性で現地法人の幹部だった社員が2023年3月に北京で拘束され、2025年7月16日、北京市第2中級人民法院がスパイ罪(反スパイ法違反)で懲役3年6月の実刑判決を言い渡しました。外務省報道官はこれを「極めて遺憾」とし、邦人拘束は日中間の人的往来や国民感情の改善を阻害する最大の要因の一つだと表明しています。金杉憲治駐中国大使が判決公判を傍聴し、あらゆるレベルで早期釈放を求めてきたと説明しました。日本の経済団体も邦人拘束への懸念を重ねて表明しています。制度が動いたとき、企業一社の力で個人を守り切るのは容易ではないという現実を、この事件は突きつけています。

では、渡航者は何に気をつければよいのでしょうか。外務省が注意を促している行為を、そのまま運用ルールに落とすのが近道です。具体的には、軍事施設の撮影、無許可での考古学調査などによる地理情報の収集や取得、地図の所持、無許可でのアンケート配布による統計調査といった行為が、刑法や反スパイ法のほか軍事施設保護法や測量法にも触れ、拘束や刑罰の対象になり得るとされています。「ただの観光写真」「業務上の市場調査」のつもりの行動が、当局の判断次第でリスクになりうるということです。渡航前のブリーフィングで、これらを「やってはいけないことリスト」として明文化しておくだけでも、無自覚な逸脱はかなり防げます。

業務端末・データの持ち込みリスク(物の問題)

人の次は物、つまり端末とデータです。前述のとおり、改正反スパイ法25条は国家安全機関による電子機器の調査権限を明記しています。出張者が持ち込んだノートパソコンやスマートフォンの中身が、何かのきっかけで確認される場面が制度として想定されている、と考えておくのが安全です。

JETROのレポート1は、こうした状況を踏まえ、念のため業務上不必要なデータを中国に持ち込まないといった運用を検討・実施する企業もあると留意点を示しています。私はこの一文が、端末対策の核心だと思っています。技術的な暗号化や画面ロックももちろん大事ですが、その前に「そもそも持ち込まない」という発想が効きます。出張には最小限のデータだけを入れたクリーンな貸出端末を使い、機微な資料はクラウド越しに必要な分だけ参照する。この「データの最小化」を標準にできれば、万一の機器チェックでも失うものが小さくて済みます。

データが「機微情報」と認定されるとどうなるのか。データセキュリティ法の施行後、実際に機微情報と認定された初の事例が国家安全部から公表されています。国外の調査機関が中国国内のIT企業に対し、IoTやモバイル通信、鉄道のモバイル通信専用ネットワーク情報などを含む鉄道通信情報の収集を依頼し、1カ月で500ギガバイトのデータを受領したというものです。このデータが機微情報と認定され、関係者に国家秘密や情報の違法提供罪(刑法111条)で実刑判決が下されました。ビジネスとしての情報収集のつもりが、量とテーマ次第で刑事事件に発展した実例として重く受け止めるべきです。ちなみにスパイ罪(刑法110条)は10年以上の有期懲役または無期懲役、情状が軽い場合でも3年以上10年以下と定められており、量刑は決して軽くありません。

現地法人からのデータ越境移転(データの問題)

出張者の端末だけでなく、現地法人が日常的に本社やグループ会社へデータを送る流れも規制の対象です。ここを所管するのは国家インターネット情報弁公室(CAC)で、データ三法を土台に、越境移転の前提条件として次のいずれかを求めています。当局による安全評価への合格、専門機関による認証の取得、または当事者間の標準契約の締結と届出です。安全評価は提出日から完了まで57営業日を要し、有効期間は原則3年、標準契約は締結から10営業日以内に当局へ届出が必要とされています3

ここで朗報もあります。CACは2024年3月22日に「データ越境流動の促進および規範化に関する規定」(データ促進規定)を公布・施行し、一定の場面で前提条件を不要とする免除を新設しました。特に日本企業の実務に効くのは、法定の労働規則や労働協約に従った越境人的資源管理での従業員個人情報の提供(5条2号)です。中国子会社が従業員データを本社に共有する場面は日常的に発生するので、ここが免除されたインパクトは小さくありません。数量ベースの閾値も整理されました。要点を表にまとめます。

越境するデータ 取扱い(2024年3月時点)
個人情報や重要データを含まない貿易・製造・マーケティング等のデータ 前提条件は不要(3条)
契約履行に必要な個人情報(越境ショッピング、送金、予約、査証手続等) 前提条件は不要(5条1号)
法定の労働規則に沿った従業員個人情報 前提条件は不要(5条2号)
当年累計10万人分未満の個人情報(機微を含まない、非CIIO) 前提条件は不要(5条4号)
当年累計100万人分以上の個人情報(機微を含まない) 安全評価が必須
1万人分以上の機微個人情報 安全評価が必須
重要データ、CIIOによる個人情報や重要データの越境 安全評価が必須

重要データの扱いには救いがあります。データ促進規定2条は、関連部門や地域から「重要データ」として告知や公開がされていない場合、データ取扱者は重要データとして安全評価を申告する必要はないと明確化しました。つまり、自社のデータが勝手に重要データ扱いされて評価が必要になるわけではなく、業界や地域の告知を確認する運用でよいということです。ただし自動車業界のように業界別で重要データ目録が定められている分野もあるため、自社の業界に固有の目録がないかは要チェックです。なお、免除に該当したとしても、個人への告知、個別同意の取得、個人情報保護影響評価(PIA)の実施と記録保存、安全対策といった個人情報保護法上の義務は依然として残ります。この点は数字の閾値ばかりに気を取られていると抜け落ちがちです。

見落とされがちな交差点 中国のデータ規制と日本の輸出管理

ここまで中国国内法の話をしてきましたが、実務でいちばん厄介なのは、同じデータの移転が複数の法体系にまたがって規制される点です。JETROのレポートも脚注でこの交差点を明示しています3

中国側では、データセキュリティ法25条が、国の安全や利益の維持と国際義務の履行に関わるデータに輸出管理を実施すると規定しています。中国の輸出管理法(2020年12月1日施行)では、管理規制品目に品目関連の技術資料などのデータが含まれるとされており、越境させるデータが中国の輸出管理リストに該当するかを総合的に判断する必要があります。つまり、個人情報保護の観点だけでなく、輸出管理の観点からも同じデータをチェックしなければならないということです。

そして日本側です。技術データの海外提供は、日本の外為法(外国為替及び外国貿易法)の役務取引規制に該当する場合があります。さらに、居住者間の提供であっても、非居住者の影響下にある者への機微技術の提供を規制する「みなし輸出」の対象になり得ます。中国子会社の中国人従業員に日本国内で技術を教えるケースなどは、まさにこのみなし輸出が論点になります。みなし輸出の考え方はみなし輸出のリスクを整理した記事で詳しく触れていますが、ここで押さえたいのは、一つのデータ移転が中国のデータ規制、中国の輸出管理、日本の外為法という三重の網にかかりうる、という構造です。だからこそ、扱うデータや技術が「どの規制のどこに該当するのか」という該非(規制該当性)の棚卸しが、すべての対策の起点になります。該非判定そのものの進め方は経産省の該非判定ガイドラインを解説した記事も参考になります。

日本企業がとるべき対策と、仕組み化のヒント

ここまでの論点を、実際に回せるチェックリストに落とします。順番にも意味があるので、上から順に整えていくのがおすすめです。

第一に、渡航規程と端末・データの最小化ポリシーです。業務上不要なデータは持ち込まない、送らない。出張には貸出用のクリーン端末を使う。渡航前ブリーフィングで、軍事施設の撮影や地図の所持など外務省が挙げる禁止行為を明文化する。第二に、自社が扱うデータと技術の機微度と規制該当性(該非)の棚卸しです。何が国家秘密や「国の安全と利益に関わるデータ」に該当しうるか、そして日本の外為法の規制技術に当たるかを、担当者の勘ではなく基準に沿って区分します。第三に、取引先や関与者のスクリーニングです。誰と何をやり取りするかを可視化し、経済安全保障上リスクの高い相手を事前に検知します。第四に、越境移転フローの前提条件確認と記録保存です。CACの安全評価、標準契約、免除事由のどれに当たるかを確認し、判断の根拠を証跡として残します。第五に、有事の連絡体制です。拘束などが起きたときに、社内、現地法人、在中国日本国大使館の領事窓口へ速やかに連絡できるルートをあらかじめ用意しておきます。

この五つに共通するのは、「注意喚起」を「運用可能なルール」へ変換するという発想です。外務省やJETROの注意喚起はどれも正しいのですが、そのままでは現場は動けません。誰が、何を、どう判断するのかを決めて初めて、注意喚起は機能します。

その仕組み化のうち、日本側の輸出管理と該非判定、取引先スクリーニングの部分は、AIエージェントで標準化・自動化できます。私たちが提供するTRAFEED(旧ZEROCK ExCHECK)は、経済産業省の基準に準拠した輸出管理AIエージェントで、扱うデータや技術資料が日本の外為法の規制技術に該当するか(海外提供やみなし輸出の対象になるか)を、仕様や用途からAIが一次的に判定します。共同実証にもとづくAI判定精度は95%以上で、担当者の勘に頼りがちな「業務上不必要なデータは送らない」という運用を、該非区分にもとづく再現可能な仕組みへ置き換えられます。取引先や関与者を各国の規制リストや要注意先と自動照合し、リスクの高い取引を事前に検知することもできます。この照合の考え方は制裁リスト・要注意先スクリーニングを整理した記事にも通じます。

ひとつ正確にお伝えしておきたいのは、TRAFEEDが中国の反スパイ法やデータ規制そのものを直接判定するわけではない、という点です。TRAFEEDの主対象はあくまで日本の外為法などにもとづく輸出管理と経済安全保障であり、中国国内法への対応は現地の弁護士など専門家との連携が前提になります。また、最終的な該非判定は貴社の輸出管理責任者が行うものです。それでも、日本側の判定と取引先スクリーニングを証跡付きの標準プロセスに変えることは、駐在員拘束やデータ摘発という重い結果を避けたい経営層、法務、貿易管理部門にとって、確かな第一歩になります。中国の対日輸出規制の最新動向は中国の輸出規制リストに載った日本企業の一覧記事でも追っているので、あわせて確認してみてください。

まとめ

長くなったので、要点を整理します。

  • 反スパイ法は2023年7月1日に改正施行され、スパイ行為とみなされる情報が「国家機密」から「国の安全と利益に関わる文書やデータ」へ拡大(4条)。定義が曖昧なことこそが最大のリスク。
  • 国家情報法は組織や個人に情報活動への協力義務を課す構造を持つ。機微な情報を現地に置かない・最小化する設計で臨む。
  • 邦人拘束は現実の脅威。外務省の記載では2015年以降17名が拘束確認、現在5名が拘束中(2025年7月22日時点)。アステラス製薬社員には2025年7月16日にスパイ罪で懲役3年6月の判決。
  • 端末とデータは「持ち込まない・送らない」が基本。現地法人からの越境はCACの安全評価・認証・標準契約が原則で、2024年3月のデータ促進規定で従業員データなど一部は免除に。
  • 同じデータが中国のデータ規制、中国の輸出管理、日本の外為法にまたがりうる。該非の棚卸しがすべての起点。

制度そのものを日本企業が変えることはできません。けれど、制度にさらす情報の量と質、そして判断を下す仕組みは、こちら側でかなりコントロールできます。「怖い」で止めず、「どう運用するか」まで踏み込めるかどうか。そこが、リスクにさらされる企業と、リスクを管理できる企業の分かれ目だと感じています。まずは自社が扱うデータや技術の該非と、取引先のリスクを可視化するところから始めてみてください。輸出管理体制の現在地を確かめたい場合は無料の輸出管理診断から、個別の課題を相談したい場合はTRAFEEDの個別相談からお問い合わせいただけます。

なお、本記事は一般的な情報提供を目的としたものであり、個別の案件については弁護士や輸出管理の専門家にご相談ください。中国国内法の運用や数値基準は改正されることがあるため、実際の判断にあたっては公開直前に一次情報の最新版をご確認ください。


Footnotes

  1. JETRO「最近の中国国家安全関連法令等の概要と留意点〜専門家による政策解説〜」(2025年1月、上海事務所調査部・森・濱田松本法律事務所作成) https://www.jetro.go.jp/ext_images/_Reports/01/c4f5a32439d71ff8/20240038_02.pdf 2

  2. 外務省 海外安全ホームページ 中国スポット情報「反スパイ法等の施行に関する注意喚起」(2025年7月22日更新) https://www.anzen.mofa.go.jp/info/pcspotinfo_2025C029.html

  3. JETRO「中国のデータ・個人情報の域外移転規制の最新動向(2024年3月時点)」(2024年4月、上海事務所調査部・森・濱田松本法律事務所作成) https://www.jetro.go.jp/ext_images/_Reports/01/690307ed2a411652/20240004_02.pdf 2

外為法違反の52%は該非判定起因 — 御社は大丈夫ですか?

2024年度の経産省統計で、輸出管理違反の過半が該非判定に起因。まず5問(約2分・メール不要)のライト診断。詳細は10問本編へ。

この記事が参考になったらシェア

シェア

メルマガ登録

AI活用やDXの最新情報を毎週お届けします

ご登録いただいたメールアドレスは、メルマガ配信のみに使用します。

無料診断ツール

輸出管理のリスク、見えていますか?

まず5問(約2分・メール不要)のライト診断。必要なら10問本編で詳細レポートまで。

輸出管理の実務、一緒に整理しませんか

該非判定・取引先調査・法令追随など、現場の運用を伺いながら整理します。まずはお問い合わせフォームから(カレンダー直結ではありません)。

関連記事