限定提供データと中国の等級付け管理草案 ~ ビッグデータの保護を巡る日中制度比較
2020年12月に「ビッグデータは保護されるのか?」というタイトルで、不正競争防止法に基づく「限定提供データ」の保護制度について簡単に紹介した1。近年、生成AIやIoTの進展により、特許や著作権などの従来の知的財産ではカバーしきれない「データそのもの」の価値がますます高まってきていることを受け、改めてこの分野の制度動向を確認しておく必要があると感じている。
とりわけ、中国では2025年3月に「ネットワークデータの分類・等級付けおよび重要データディレクトリ管理に関する上海市措置(草案)」が公表され2、データを国家の安全、経済、社会秩序、公衆衛生などに与える影響に基づいて分類・管理する仕組みの導入が検討されている点は注目に値する。
全24条からなるこの草案は、企業が保有するあらゆるネットワークデータを「敏感度」に応じて分類し、「重要データ」とみなされる場合には政府への申告や報告を義務づける内容となっており、実務上のインパクトは非常に大きいものと予想される。
一方、日本における限定提供データ制度は、あくまで事業者が秘密管理を行っていることを前提とする自律的な制度である。守るべきデータは企業自身が定義し、アクセス制限や契約管理によって秘匿性を維持するという姿勢に立っており、「国家が重要と認定する情報を外部管理する」という中国のアプローチとは対照的である。
具体的には、日本では制度の主体は企業自身であり、保護の対象となるのは営業秘密に準ずる企業内データである。制度は任意のものであり、秘密保持契約やアクセス制限など、企業内の管理措置が機能していることが要件とされている。
これに対して中国では、制度の主体は国家であり、保護の対象は国家安全や経済秩序、公衆衛生などに影響を及ぼすと判断される広範なデータに及ぶ。企業の判断ではなく、制度的な基準に基づく分類や報告義務が課される点で、外部統制型の色彩が強い。
このように、日本と中国では、制度の設計思想そのものが大きく異なる。中国では今後、重要データの一覧表(ディレクトリ)の指定が進み、企業が想定しない情報が突如「国家管理下のデータ」と認定されるリスクもある。とくに、中国での研究開発や生産活動、共同プロジェクトなどを行う日本企業にとっては、自社が「重要データの取扱事業者」として規制対象になる可能性を否定できず、早期の制度把握と体制整備が望まれる。
本稿で紹介した上海市の措置は、2025年3月時点では草案に過ぎない(現在パブリックコメントを募集中である)が、方向性として「データに対する統制の強化」が制度として明確に志向されている点は見逃せない。日本の限定提供データ制度と比較することで、各国がどのようなリスク認識のもとでビッグデータの取り扱いを位置づけているのかが見えてくる。今後もこのような比較視点を持ちながら、各国制度の変化を追っていきたい。
なお、本稿はあくまで草案段階での制度趣旨に着目し、日本制度との比較を通じて視点の整理を試みたものである。中国のサイバーセキュリティ法をはじめとする関連法令の体系や企業対応について、より実務的・包括的な解説を参照したい方には、以下の記事が極めて有益であると思われる。
PwC Japanグループ「中国におけるサイバーセキュリティ法の動向」
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/china-cyber-security-law.html
- 関連記事「ビッグデータの保護(法的位置づけ)」(当事務所ブログ 2020年12月15日)
https://mpip.jp/jp/blog/202012153842 ↩︎ - 現在パブリックコメントを募集中(期限は2025年4月28日)である。
上海市网络数据分类分级和重要数据目录管理办法》公开征求意见
https://www.secrss.com/articles/77195 ↩︎