中国の最高インターネット規制当局が、金融企業がデータを分類・ラベル付け・保護する方法について新たな規則を策定した。6月13日に中国ネット空間管理局(CAC)が発表したこれらのガイドラインは、北京が着実に築き上げているサイバーセキュリティ規制の新たな一歩である。
このフレームワークは、金融サービス業界におけるデータの評価と分類に焦点を当てています。中国で事業を展開するすべての金融機関は、何がセンシティブデータに該当し、何が非常にセンシティブなデータに該当し、各カテゴリに対して何をすべきかについて、より明確な指示を受けています。
ガイドラインが実際に求めていること
新しい規則は、金融機関が情報を分類する方法に焦点を当て、規制当局が「重要なデータ」と呼ぶものを特定することに特に重点を置いています。この用語は、中国の規制エコシステムにおいて法的効力を持ち、保存、処理、特に国境を越える振替に関する特定のコンプライアンス義務を引き起こします。
市場データや分析を提供するプラットフォームを含む金融情報サービスプロバイダーは、明確にこの範囲に含まれます。
これらのガイドラインは、中国のデータ法の3つの柱であるサイバーセキュリティ法、データセキュリティ法、個人情報保護法への準拠を強化します。
国境を越えるデータ転送には特別な注意が払われています。規制当局は、中国の国境を越えて重要な金融データを共有するには、国家安全保障と消費者保護を主要な懸念事項として慎重に対応する必要があることを明確にしています。
数年にわたり蓄積されてきた規制の枠組み
2024年12月、国家金融監督管理局(NFRA)は、銀行および保険データの規則を導入しました。これにより、従来の金融機関が顧客データおよび運用データを扱う方法について、業界固有の要件が定められました。
中国人民銀行(PBOC)は、2025年6月30日に効力を発生させる独自のデータセキュリティ対策を導入しました。
2026年1月24日までに、CACは金融情報サービスプロバイダーを対象とした草案をすでに配布していた。その草案は、データをリスクレベル別に分類するルールを示しており、6月に発表される最終ガイドラインが近づいていることを示唆していた。
注目されるのは何が欠けているか、そしてそれが投資家に与える意味
ガイドラインには暗号トークンやデジタル資産についての具体的な言及はない。この omission は、北京が従来の金融サービスとデジタル資産を別々の規制領域として扱い続けていることを示唆している。データ分類フレームワークは、銀行、保険会社、市場データプロバイダー、および類似の機関に適用される。
従来の金融機関にとって、コンプライアンスの負担は現実的かつ増大しています。中国で事業を展開する外国企業は、跨境データ転送の制限により、親会社への定期的な報告からグローバルチームとの分析共有に至るまで、あらゆる業務が複雑化する可能性があります。
規制の重層性、NFRA規則、中国人民銀行の措置、そして現在のCACガイドラインは、複雑なコンプライアンスマトリクスを生み出しています。