中国AI規制と日本企業の対応

1. 中国AI規制体系の全体像

中国のAI規制は、「テクノロジー特化型法令（生成AI・深度合成・アルゴリズム推薦）」と「上位横断型法令（CSL／DSL／PIPL）」の二層構造で組み立てられている^[6]。所管はCAC（国家互联网信息办公室、Cyberspace Administration of China）が中心で、工業情報化部（MIIT）、公安部、国家市場監督管理総局（SAMR）、国家広播電視総局（NRTA）など七部門が共同制定する形式が定着した^[1]。標準化の役割を担うのがTC260（全国信息安全标准化技术委员会、China National Information Security Standardization Technical Committee）であり、生成AIサービスのセキュリティ基本要求（TC260-003）^[7]、生成AI訓練データセキュリティ仕様（GB/T 45654-2025想定）など、登録審査・備案（フィリング）の事実上の判定基準を提供している。

規制の特徴は、(1)「アルゴリズム備案」と「大規模モデル備案」という二段階の事前届出制度、(2) ユーザーへの「世論動員機能」を持つサービスへのセキュリティ自己評価義務、(3) 識別可能ラベルの強制付与、(4) 越境データ移転の許可制、の4点に集約される。日本企業がこの体系を捉える際は「技術ごとの個別規制」だけでなく、「データ法 × アルゴリズム法 × コンテンツ法」が立体的に絡む点を直視する必要がある（日本語：単独法令だけ読むと必ず抜け漏れる）。

2. 主要4規定の解説

2-1. 生成式人工知能サービス管理暫行弁法（2023年8月15日施行）

世界初の生成AI専門法令として知られ、CACなど七部門が共同公布した^[1]。中国国内の公衆に生成AIサービスを提供する事業者を対象とし、(a) 訓練データの合法性、(b) 個人情報・知的財産権の尊重、(c) 社会主義核心価値観への適合、(d) 差別防止、(e) 識別可能ラベルの付与、(f) 安全評価とアルゴリズム備案、を義務化する。「公衆向けに世論誘導機能を有するもの」は事前のセキュリティ自己評価とCACへの届出が必要であり、百度文心一言（ERNIE Bot）^[8]、アリババ通義千問、テンセント混元などはいずれも備案・公開審査を経て商用展開した経緯がある。

2-2. インターネット情報サービス深度合成管理規定（2023年1月10日施行）

いわゆるディープフェイク規制で、CAC・MIIT・公安部の三者公布^[9]。顔・声・身体の合成、音声生成、テキスト生成を含む深度合成技術提供者と利用者に、識別ラベル付与、本人同意の取得、悪用防止策、技術的監査ログの保存を義務付ける。生成AI弁法に先行する基盤規制であり、後述のラベル制度の母法に相当する。

2-3. アルゴリズム推薦管理規定（2022年3月1日施行）

レコメンドエンジン、配信最適化、検索順位制御を対象とする規制で、ユーザーへのアルゴリズム説明、オプトアウト、未成年者・高齢者・労働者保護、世論動員性・社会動員性のある推薦アルゴリズムの備案を義務化^[10]。日本企業のEC・動画・SNS事業の中国版にも直接適用され、TikTok（抖音）系を含む大手は備案リストに掲載されている。

2-4. AI生成合成内容識別弁法（2025年9月1日施行）

2025年3月14日にCACなど四部門が公布、同年9月1日施行^[2]。AI生成・合成コンテンツに対し、(i) ユーザーが視認できる「明示的標識（テキスト・ラベル・透かし）」と、(ii) ファイルメタデータに埋め込む「暗黙的標識（メタデータ識別子）」の二重ラベリングを義務付けた。生成側プラットフォーム、配信プラットフォーム、アプリストアの三者に異なる責務を課し、識別子の改ざん・除去を禁止する点が画期である（日本語：生成元と配信元の両方が責任を負う設計）。

3. 生成AI識別ラベル制度（2025年）

2025年9月発効の識別弁法は、TC260が同時公表した強制国家標準GB 45438-2025「ネットワーク安全技術 人工知能生成合成内容標識方法」^[11]と一体運用される。明示的標識は、テキストでは「AI生成」「AI合成」といった可読文字、画像・動画ではコーナーロゴまたは音声合成を伴う場合の冒頭・中間音声告知、暗黙的標識はC2PA類似のメタデータ構造で、生成事業者ID・タイムスタンプ・コンテンツハッシュを格納する^[11]。配信プラットフォームには、暗黙的標識の検出機能と、検出失敗時の「疑似AI生成」表示を実装する義務が課せられた。

運用上の重い論点は、(a)「実質的編集を加えたAI生成物」もラベル対象とする点、(b) APIで生成機能を外販する事業者は利用者にも標識義務を課す契約条項の整備が必要な点、(c) 国外サービスでも中国国内ユーザーにアクセス可能な場合は実質的に同等の対応が要求される点である。日本企業が中国向けにSaaSを提供する場合、UI改修・透かし実装・利用規約改定の三点セットが事実上必須となる。

4. データ越境規制（PIPL／DSL／CSL）との関係

AI規制はデータ法体系と不可分である。CSL（2017年6月施行）^[5]が「重要情報インフラ運営者（CIIO）」に対しデータの国内保存と越境評価を義務付け、DSL（2021年9月施行）^[4]がデータ分類分級（コア／重要／一般）と「重要データ」の越境セキュリティ評価を導入、PIPL（2021年11月施行）^[3]が個人情報の越境について(i)CACのセキュリティ評価、(ii)国家認証、(iii)標準契約（中国版SCC）^[12]のいずれかを必須化した。2024年3月にはCACが「データ越境流動促進・規制規定」^[13]を公布し、自由貿易試験区の負面清単（ネガティブリスト）対象外データなど一定条件下で評価免除を認めるなど、実務的な緩和措置も導入されている。

生成AIサービスの観点では、訓練データに中国ユーザーの個人情報が含まれる場合PIPLの同意・最小化原則が適用され、モデル学習で生じる「重要データ」相当の集合（例：地理空間情報、産業ノウハウ）はDSLの越境評価対象になる。日本本社にログを集約してモデル改善する従来型の運用は、ほぼ確実に越境メカニズムの再設計を求められる（日本語：「親会社にデータを送る」だけで違反になる構造）。

5. 日本企業の中国子会社・現地サービスへの影響

適用判定の論点は3つある。第一に、サービスが「中国境内向け公衆に提供」されるかで、製造業日系子会社の社内利用ツールは原則対象外だが、ECサイトの接客チャットボットや顧客向けFAQ生成は確実に対象となる。第二に、API経由で外部生成AI（OpenAI等）を呼び出す場合、中国国内では当該海外モデルが備案を経ていないため、現地法人が自ら備案済みの国産モデル（百度・アリババ・テンセント等）に切替えるか、Microsoft Azure China経由の特定モデルを利用する形に再設計する必要が生じる^[14]。第三に、米中対立下の輸出管理との二重規制で、米国BIS（産業安全保障局）の高性能AIチップ・モデル重みの対中規制^[15]と中国側の調達制限が同時に作用するため、ハードウェア・モデル供給の地政学リスクが構造化された。

影響を受ける業種は広範で、自動車・金融・小売・製薬・エンタメなど対中事業のほぼ全領域に及ぶ。守りAI編集部の取材では、2025年時点で日系大手の中国法人の3割超が「現地AI法令対応プロジェクト」を立ち上げている。

6. チェックリスト（5項目）

1. サービス公衆性の判定：中国国内の不特定多数に生成AI機能を提供しているか。社内専用か顧客向けかで義務範囲が一変する。
2. 備案・自己評価の有無：アルゴリズム備案、大規模モデル備案、安全自己評価報告書の整備状況。CACの備案リスト掲載は実質的な事業継続要件。
3. 識別ラベル実装：GB 45438-2025準拠の明示的・暗黙的標識実装と、利用規約・API契約への標識義務条項の反映。
4. データ越境メカニズム：個人情報・重要データの越境について、CAC評価／認証／標準契約のいずれを採用しているか、訓練ログ・推論ログまで射程に入っているか。
5. 輸出管理との整合：米国BIS規制対象モデル・チップの利用可否、対象国制裁リストとの突合、グループ内モデル配布のExport Controlレビュー実施有無。

7. 打ち手

第一の打ち手はローカルモデル戦略の確立である。中国事業に限り、文心一言・通義千問・混元など備案済みモデルを採用し、グループ標準モデルとは明示的に分離するアーキテクチャを取る。第二はデータガバナンスの中国独立化で、PIPL・DSL対応のため中国データを物理的に分離保存し、越境はCAC評価済みパイプラインに限定する。第三は識別ラベルのプロダクト標準化で、GB 45438-2025のメタデータ仕様をSDKレイヤーで実装し、UI透かし・音声告知をデザインシステム化する。第四は法務・情シス・事業部の三者ガバナンス会議体を月次設置し、CAC・TC260の新規パブコメを継続ウォッチする体制を作ること。日本本社の法務だけ、または現地法務だけでは必ず抜けが生じる。

8. 結論3点

1. 中国AI規制は世界最速・最網羅的に整備されており、生成AI弁法・深度合成規定・アルゴリズム推薦規定・識別弁法の4本柱がすでに稼働中である。
2. データ越境規制（PIPL／DSL／CSL）と一体で運用されるため、AI単体ではなく「データ × アルゴリズム × コンテンツ」の三位一体で対応設計する必要がある。
3. 米中対立下の輸出管理と二重規制構造になっており、日本企業の中国事業はローカルモデル採用とデータ独立化を前提とした「中国専用アーキテクチャ」を持たざるを得ない。

9. 経営者視点

経営層が腹落ちすべきは、中国AI規制は単なる「現地コンプラ」ではなく、グローバルAI戦略のアーキテクチャ選定そのものを規定する地政学要因だという点である。「グローバル単一モデル」「グローバル単一データ基盤」という従来のクラウドネイティブ前提は、中国事業に限れば崩壊した。代替アーキテクチャは、(1) 中国専用法人での備案済みモデル運用、(2) データの中国国内完結、(3) 識別ラベル実装込みの中国版プロダクト、(4) 米中輸出管理リストの継続監視、の4点セットになる。

中国事業のITコストは構造的に20-30%上振れる蓋然性が高い。逆に早期に織り込んだ企業は、行政罰・サービス停止リスクを回避でき、現地パートナーとの信頼形成上も優位に立てる。経営アジェンダとして、(a) 中国向けAIプロダクトの法令適合度デューデリジェンス、(b) データ越境の現状棚卸し、(c) 米中地政学シナリオを織り込んだIT投資計画の見直し、の3点を2026年度の取締役会論点に格上げすべきである。

参考文献

1. 国家互联网信息办公室ほか七部門「生成式人工智能服务管理暂行办法」2023年7月13日公布、8月15日施行（http://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm）
2. 国家互联网信息办公室ほか四部門「人工智能生成合成内容标识办法」2025年3月14日公布、9月1日施行（http://www.cac.gov.cn/2025-03/14/c_1743654684782215.htm）
3. 中華人民共和国「个人信息保护法」（PIPL）2021年8月20日成立、11月1日施行
4. 中華人民共和国「数据安全法」（DSL）2021年6月10日成立、9月1日施行
5. 中華人民共和国「网络安全法」（CSL）2016年11月7日成立、2017年6月1日施行
6. JETRO「中国のAI関連法規制動向（2024年版）」日本貿易振興機構 北京事務所
7. TC260「生成式人工智能服务安全基本要求」TC260-003、2024年2月公開
8. 百度「文心一言（ERNIE Bot）通过《生成式人工智能服务管理暂行办法》备案公告」2023年8月31日
9. 国家互联网信息办公室・工業信息化部・公安部「互联网信息服务深度合成管理规定」2022年11月25日公布、2023年1月10日施行
10. 国家互联网信息办公室ほか四部門「互联网信息服务算法推荐管理规定」2021年12月31日公布、2022年3月1日施行
11. GB 45438-2025「网络安全技术 人工智能生成合成内容标识方法」国家標準、2025年公布（TC260策定）
12. 国家互联网信息办公室「个人信息出境标准合同办法」2023年2月22日公布、6月1日施行
13. 国家互联网信息办公室「促进和规范数据跨境流动规定」2024年3月22日公布・施行
14. Microsoft「Azure China 21Vianet サービス提供範囲」公式ドキュメント
15. U.S. Department of Commerce, Bureau of Industry and Security (BIS)「Advanced Computing/Supercomputing Interim Final Rule」2023年10月17日公表（中国向け高性能AIチップ規制）
16. NIST AI Risk Management Framework 1.0（2023年1月）— 中国TC260標準との比較参照
17. Stanford HAI「Global AI Vibrancy Tool 2024」中国規制章