中国における改正国家秘密保護法・反スパイ法の施行に伴う事業リスク
2025.11.07UP!
- blog
- コンプライアンス
- サイバーセキュリティ法
- データセキュリティ法
- データ移転
- リスクマネジメント
- 中国
- 事業リスク
- 改正反スパイ法
- 改正国家秘密保護法
- 総体的国家安全観
- 邦人拘束
はじめに
中国で【改正国家秘密保護法】と【改正反スパイ法】が施行されました。これにより、日本企業の事業リスクが急増しています。これまで安全とされた情報収集やデータ移転が「スパイ行為」と見なされる可能性があり、対策は待ったなしです。本記事では、両法改正の核心的なリスクを分析します。企業が今すぐ実行すべき具体的なコンプライアンス体制と実践的対策を、専門家の視点で解説します。
法改正の背景と全体像
今回の法改正は、個別の見直しではありません。国家安全を最優先する「総体的国家安全観」という指導理念に基づいています。関連する法律(データセキュリティ法など)が連携し、包括的な規制網を形成している点が最大の特徴です。
指導理念としての「総体的国家安全観」の徹底
改正された両法は「総体的国家安全観」の堅持を謳っています。これは習近平国家主席が2014年に提唱した概念です。従来の軍事・国土といった領域に留まりません。政治、経済、文化、科学技術、データなど広範な分野を包含する包括的な安全保障政策です。
重要なのは、この理念の下では、純粋な商業活動も国家安全保障の枠組みで評価されるようになった点です。外国企業にとって、規制上の不確実性が前例のないレベルで高まっています。
連携する国家安全関連法制
改正された二法は、他の国家安全関連法制と密接に連携しています。これらは相互補強的な規制網を形成しており、国家による最大限の管理を目的としています。特に以下の4つの法律は、日本企業に多大な影響を及ぼします。
- 改正【国家秘密保護法】
規制の根幹です。「国家秘密」の曖昧な定義と、企業に課される保護義務を規定します。 - 改正【反スパイ法】
国家秘密だけでなく、より広範な「国家の安全と利益に関わる」情報の不正取得を「スパイ行為」と定義します。当局による摘発の法的根拠となります。 - 【データセキュリティ法】
「重要データ」の国外移転を厳しく規制します。当局へのデータ提供を拒否した場合の罰則規定も含まれます。 - 【サイバーセキュリティ法】
ほぼ全ての企業が該当する「ネットワーク運営者」に対し、当局調査への技術的な協力義務を課します。
これらの法律が一体となって運用されることで、新たな法的リスクが生まれています。次のセクションで、法改正の要点を具体的に分析します。
主要な法改正の要点と分析
改正の核心は「定義の拡大」と「義務の強化」です。【国家秘密保護法】では「国家秘密」の範囲が経済・科学技術分野にまで拡大しました。【反スパイ法】では「スパイ行為」の定義が「国家の安全と利益に関わる」あらゆる情報収集に拡大され、当局の調査権限も大幅に強化されています。
改正【国家秘密保護法】の分析(2024年5月1日施行)
改正【国家秘密保護法】は、保護対象の範囲を大幅に拡大し、企業に課される義務を強化しました。
「国家秘密」の範囲の拡大と曖昧性
改正法では、「国家秘密」に該当しうる情報の範囲が拡大しました(第13条)。従来の国防・外交に加え、「公民経済社会発展」や「科学技術」に関する事項、さらに「政党の秘密事項」まで含まれます。これにより、経済統計、産業政策、先端技術に関する情報が「国家秘密」とみなされるリスクが飛躍的に高まりました。
何が「国家の安全および利益を損なう虞がある」かに明確な基準はありません。当局は事後的に情報を「国家秘密」として認定する権限を有しています(第53条)。企業がそれと知らずに国家秘密を取得・保有してしまうリスクが存在します。
さらに「業務秘密(工作秘密)」という新たな概念も導入されました(第64条)。これは国家秘密に属さないが、漏洩すると「一定の悪影響をもたらす事項」とされます。規制対象となる情報の範囲は、さらに不透明かつ広範になっています。
企業に課される保護義務の強化
全ての「企業事業組織」が秘密保護義務を負うことが明記されました(第5条)。外資系企業も例外なく、厳格な秘密保護体制の構築が求められます。具体的には以下の責任を負います(第8条)。
- 秘密保護業務組織の設置または専任者の指定
- 管理制度の確立
- 従業員への宣伝教育の実施
これらの義務を怠った場合、処罰の対象となります。また、ネットワーク運営者(ほぼ全ての企業)に対し、当局による調査へ協力することが義務付けられました(第34条)。
従業員管理・データ越境の厳格化
国家秘密に関わる職員(「秘密関係職員」)は、離任・離職後も一定期間、就業や出境が制限されます(第46条)。これは「秘密離脱期間(脱密期)」と呼ばれます。企業は、この期間中の元職員の管理責任を負います。
また、国家秘密が記録された媒体(紙、USBメモリ、PC等)を、当局の承認なく国外へ郵送・携行することが厳しく禁止されています(第28条)。
改正【反スパイ法】の分析(2023年7月1日施行)
改正【反スパイ法】は、「スパイ行為」の定義を劇的に拡大し、国家安全機関の調査権限を大幅に強化しました。
「スパイ行為」の定義の抜本的拡大
改正法における「スパイ行為」は、従来の国家秘密の窃取に加え、拡大されました(第4条)。「その他の国家の安全と利益に関わる文書、データ、資料、物品を窃取し・探り・購入し・違法に提供」する行為が対象となります。
「国家の安全と利益」には明確な定義がなく、その解釈は完全に当局の裁量に委ねられています。このため、経済、産業、技術に関する広範な情報収集活動が、「スパイ行為」として起訴される重大なリスクを伴います。
新たにサイバー攻撃もスパイ行為として明記されました。重要情報インフラ等を狙ったサイバー攻撃、侵入、妨害、破壊等の活動が対象です。
国家安全機関の調査権限の大幅な強化
国家安全機関は、広範かつ強力な調査権限を与えられました。企業の事業所や従業員も直接の対象となりえます。
- 関連する個人・組織の電子設備、施設、プログラム、ツールを検査する権限
- スパイ行為の嫌疑がある者に対する持ち物検査権限
- 疑いのある場所、施設、財産を封印・留置・凍結する権限
- 嫌疑がある者の出国を禁止し、また外国人の入国を禁止する措置
日本企業が直面する具体的な事業リスク
日本企業は「日常業務がスパイ行為と認定されるリスク」に直面します。具体的には、①一般的な市場調査、②本社への業務データ送信、③現地従業員の管理不備、④当局による恣意的な法執行や邦人拘束、の4つが重大なリスクとして顕在化しています。
情報収集・市場調査活動におけるリスク
ごく一般的なビジネス活動が「スパイ行為」と認定されるリスクがあります。市場調査、競合分析、デューデリジェンスなどが該当します。コンサルティング会社を通じた情報収集であっても、その内容が「国家の安全と利益に関わる情報」の「探り」や「購入」とみなされる危険性があります。
事実、米国の企業調査会社が家宅捜索され、中国人スタッフが拘束される事案も発生しています。学術調査や業界動向のヒアリングも、内容次第では摘発対象となりうるため、最大限の注意が求められます。
コンサルタント経由の情報収集です。当局は『スパイ行為の購入』と見なす可能性があります。サプライチェーンのデューデリジェンスなど、従来のリスク管理手法そのものがリスクとなり得ることを経営層は認識すべきです。」
データ管理と国外移転におけるリスク
中国の現地法人から日本の本社へのデータ送信が、重大な法的リスクを伴うようになりました。業務報告、技術資料、顧客情報などを電子メールや社内システムで送る日常業務が対象です。
これらのデータが、事後的に当局によって「国家秘密」や「重要データ」と認定された場合、違法な国外移転と判断され、処罰される可能性があります。これは【データセキュリティ法】と連携しており、「データ鎖国化」とも言える状況です。日本本社が中国拠点の情報をリアルタイムで把握することが、著しく困難になっています。
人事労務管理におけるリスク
従業員がリスクの起点となる可能性も高まっています。現地採用の従業員が意図せず規制対象の情報を扱ったり、転職時に競合他社へ営業秘密を持ち出したりした場合、企業全体が法の執行対象となるリスクがあります。
また、元公務員を採用する際は、彼らが終身の秘密保持義務を負っていることを念頭に置く必要があります。さらに、国家秘密に関わった従業員に対する「秘密離脱期間」の管理義務が企業に課されるため、人事労務管理の負担は増大します。
恣意的な法執行と邦人拘束のリスク
法解釈の曖昧さは、当局による恣意的な法執行の余地を広げています。国際関係が緊張した際、外国企業やその従業員が政治的な駆け引きの道具として利用されるリスクを高めるものです。
このリスクは抽象的なものではありません。外務省の発表によれば、2014年以降、10名以上の日本人が「国家安全」に関わる容疑で中国当局に拘束されており、現在も数名が拘束されたままです。従業員が突然拘束される事態は、全ての在中国日本企業が想定すべき現実的な脅威です。
推奨されるコンプライアンス体制と具体的対策
リスク対策として、①経営課題として扱うガバナンス体制の構築、②社内情報の棚卸しと分類、③従業員教育の徹底、④データ国外移転の厳格な承認プロセス、⑤有事対応計画の策定、が不可欠です。受け身ではなく、予防的なアプローチが求められます。
経済安全保障を統括するガバナンス体制の構築
経済安全保障を、単なる法務マターではなく経営課題として明確に位置づけることが第一歩です。ジェトロの調査によれば、日本企業の約8割が経済安全保障を経営課題と認識しています。この認識を、具体的なガバナンス体制へと転換させねばなりません。
- 専門部署の設置または責任者(役員クラス)の任命
- 法務、IT、人事、事業部門など、部門横断的なリスク管理委員会の設置
社内情報の棚卸しと分類基準の策定
「日常業務データが事後的に『国家秘密』と認定される」リスクを軽減するため、厳格な社内情報の棚卸し(データマッピング)が必須です。
中国の法規制(「国家秘密」「業務秘密」「重要データ」など)を参考に、自社の事業内容に即した情報の分類基準を策定します。特に「国家の安全と利益に関わる」と解釈されうる情報(例:重要インフラ関連技術、サプライチェーン情報等)を特定し、厳格な管理対象とします。
従業員向け行動規範の策定と継続的な教育
従業員の無意識な行動が重大なリスクを招くことを防ぐため、具体的で分かりやすい行動規範を策定し、周知徹底することが極めて重要です。
- 情報収集の際の禁止事項: 軍事施設周辺での無許可の写真撮影、測量などの禁止。
- 公的関係者との接触ルール: 政府関係者との情報交換に関する事前承認プロセスの設定。
- 情報取り扱い手順: 社内情報の持ち出し、複製に関する厳格な手順の明確化。
- 私的デバイスの利用禁止: 個人のスマートフォンやPCでの業務情報やり取りの原則禁止。
全従業員(特に現地駐在員および現地採用スタッフ)を対象に、定期的な研修を実施し、意識の維持・向上を図ります。
データ国外移転に関する承認プロセスの確立
偶発的な違法行為を防ぐため、厳格な社内プロセスが不可欠です。中国から国外へのデータ移転は、目的や内容を精査した上で許可する「原則許可制」を導入します。
承認プロセスには、必ず法務・コンプライアンス部門が関与し、法的リスクを評価する体制とします。「重要データ」に該当する可能性がある場合は、「データ国外移転安全評価弁法」に基づき、当局による安全評価を受ける準備を適切に行います。
有事対応計画(インシデントレスポンスプラン)の策定
万が一、当局による立ち入り調査や邦人拘束といった緊急事態が発生した場合に備え、事前に具体的な計画を策定しておくことが重要です。
- 緊急連絡網: 経営層、法務部門、本社、現地法律事務所、在中の日本国大使館・総領事館などを含む情報共有体制。
- 初期対応チームの役割: 誰が指揮を執り、誰が当局窓口となり、誰が情報管理を行うかといった役割分担。
- 拘束された従業員と家族への支援: 弁護士の派遣、家族への連絡と精神的・経済的サポート体制の構築。
結論
中国における改正【国家秘密保護法】および【反スパイ法】の施行は、中国で事業を行う上でのルールそのものを構造的に変化させるものです。日本企業は「知らなかった」「意図しなかった」では済まされない、極めて厳しい法的環境に置かれています。情報の定義や法執行の基準が曖昧であるため、あらゆる事業活動に潜在的なリスクが伴うことを、全関係者が認識する必要があります。
しかし、リスクを過度に恐れて事業活動を萎縮させることは、成長機会を逸することにも繋がりかねません。重要なのは、リスクを直視し、それを適切に管理・統制するための予防的なアプローチを取ることです。
本レポートで提示した、経営層主導のガバナンス体制の構築、社内情報の徹底した棚卸しと管理、従業員への継続的な教育、そして有事を想定した具体的な対応計画の策定。これらを着実に運用していくことこそが、予測不可能なリスクを乗り越え、中国における事業の持続的な成長を実現するための鍵となるでしょう。