中国における個人情報越境移転のための標準契約等の公表

第1 個人情報保護法における越境移転規制の概要

1. 中国個人情報保護法における個人情報越境移転時の規律

　2021年11月1日に施行された中国個人情報保護法（以下「個情法」）※2では、個人情報を中国域外に移転するには、以下の適法化根拠のうち、いずれかを充足する必要がある（個情法38条1項）※3。本規定案は、(3)の標準契約の締結に関するものである。

(1) 国家ネットワーク情報部門による安全評価に合格した場合

(2) 国家ネットワーク情報部門の規定に基づく専門機関による個人情報保護の認証を取得している場合

(3) 国家ネットワーク情報部門の定める標準契約に従って、域外の受領先と契約を締結し、双方の権利及び義務を合意した場合

(4) 法律、行政法規又は国家ネットワーク情報部門の規定するその他の条件を満たす場合

　上記の例外として、(i)重要情報インフラ※4運営者又は(ii)取り扱う個人情報が、国家ネットワーク情報部門が別途定める数量に達した個人情報の取扱者に該当する場合には、必ず上記(1)の国家ネットワーク情報部門による安全評価を経なければならないとされていることから、この場合には、標準契約に依拠することはできない（個情法40条）※5。

　欧州一般データ保護規則（General Data Protection Regulation、以下「GDPR」）の下でも、標準契約条項（Standard Contract Clauses、以下「SCC」）が実務上個人データ越境移転の場面で利用されている。また、個情法で認められている他の適法化根拠（すなわち、上記(1)の政府機関による安全性評価や上記(2)の専門機関による認証）が結果の見通しや必要な時間・コスト等の面で不透明であることもあいまって、標準契約は産業界にとって現実的な越境移転の方法として期待されており、その具体的内容の公表が待たれていた。

第2 本規定案の主な内容

　本規定案の主な内容は以下のとおりである。

1. 適用範囲

　標準契約に依拠して個人情報を域外移転できる者は、以下の条件を満たす個人情報取扱者に限定されている（4条）※6。

(1) 重要情報インフラ運営者に該当しない場合

(2) 処理する個人情報が100万人未満である場合

(3) 前年1月1日から起算して、域外への個人情報の提供が累計10万人未満である場合

(4) 前年1月1日から起算して、域外への個人センシティブ情報※7の提供が累計1万人未満である場合

　その結果、たとえば、中国域内に100万人以上のユーザーを持つeコマース事業者や、中国域内に1万人以上の従業員を抱え、グローバルに人事データ（健康情報や口座情報が含まれる結果、個人センシティブ情報に該当する場合が多いと思われる）を管理している企業にとっては、標準契約を越境移転の適法化根拠として利用することが難しいと予想されるなど、標準契約に依拠できない範囲に留意が必要である。

　また、本規定案の付属文書である標準契約は、「個人情報取扱者」（GDPRにおけるcontroller、管理者に相当する）が個人情報を域外に移転する場合を想定しているように読めることから、受託者（GDPRにおけるprocessor、処理者に相当する）が域外に移転する際、この標準契約を利用できるかどうかは明らかではない。

2. 個人情報保護影響評価

　個情法では、個人情報取扱者は、個人情報を域外に提供する場合を含む一定の場合に、個人情報保護影響評価を実施することとされている（個情法55条、56条）。本規定案では、このうち越境移転にあたり事前に実施することが求められる個人情報保護影響評価の重点評価項目として次の内容が示されている（本規定案5条）。

(1) 個人情報取扱者及び域外の受領者の個人情報処理の目的・範囲・方式等の適法性、正当性、必要性

(2) 越境移転する個人情報の数量・範囲・種類・機微の程度、個人情報の越境移転が個人情報の権益にもたらす可能性があるリスク

(3) 域外の受領者が負うことを約束した責任・義務、並びに責任・義務を果たすための管理及び技術的措置、能力等が越境移転する個人情報の安全を確保することができるか否か

(4) 個人情報の越境移転後の漏えい、毀損、改ざん、濫用等のリスク、個人による個人情報の権益の保護が円滑に行われるか否か等

(5) 域外の受領者の所在国又は地域の個人情報保護政策法規が標準契約の履行に与える影響

(6) 個人情報の越境移転の安全に影響する可能性のあるその他の事項

3. ガバメントアクセスを含む移転先国の個人情報保護法規の収集及び評価

　上記2.(5)における「域外の受領者の所在国又は地域の個人情報保護政策法規」は、「個人情報の提供に係る要求又は公共機関への個人情報アクセス権限付与に係る規定も含む」とされており（付属の標準契約雛型4条1項参照）、いわゆる政府による民間個人データへのアクセス（ガバメントアクセス）に関する法規を意識したものと思われる※8。特に、付属の標準契約では、双方の当事者に対し、こうした移転先国の関連法規を把握できない場合には、域外の受領者による本契約に定める義務の履行を阻止することへの保証を求めており（同雛型4条1項）、近似のガバメントアクセスに対する懸念の高まり※9を反映したものと思われる。中国から日本への移転に関してこの点が問題とされる可能性はそれほど高くないと思われるものの、企業が移転先国のガバメントアクセスに関する法規をどの範囲で収集し、それをもとにどのように評価を行うべきかについては不透明なままであり、当局からのガイダンスや運用の状況等、今後の動向を注視する必要がある。

4. 標準契約及び個人情報保護影響評価報告書の事前提出義務（7条）

　個人情報取扱者は、標準契約の効力発生日から10営業日以内に、所在地の省級ネットワーク情報部門に届出を行わなければならず、届出においては、標準契約及び個人情報保護影響評価報告書を提出しなければならない（7条）。そのため、標準契約は、中国語で締結することが想定されるが、このほかに外国語で締結して中国語訳を提出することが許容されるか現時点で明確ではない。なお、事後報告で足りることから、届出の有無は域外移転の効力に影響を及ぼさないと考えられるが、届出義務違反の場合には是正命令の対象となり、是正命令に応じない場合は個人情報越境移転活動の停止命令の対象となる（12条）。

5. 標準契約の主な内容

　本規定案には、標準契約雛型が付属文書として添付されている。標準契約は、GDPRのSCCを参考にしたと思われる条項が多くみられる。例えば、標準契約は全9条からなるが、個人情報の主体を第三者受益者として契約上に位置づけており、GDPRと同様に個人情報の主体に多くの権利を与えている（雛型第5条）。他方、独自の点も多く存在する。代表例を挙げると、①そもそも適用対象事業者が限定されていること（上記第2．1参照）、②移転者・受領者の属性に応じたモジュールに分かれていないため、受託者（GDPRにおけるprocessor、処理者）が域外移転する際にも利用可能か否か明らかでないことなどが挙げられる。

　標準契約の準拠法は中国法とされている（標準契約第9条5項）。なお、標準契約で規定される条項と矛盾しないものの、追加的な内容を含めることができるかどうかについては明確にされていない。

第3 まとめ

　本規定案の公表により、中国から中国域外へ個人情報を移転する企業にとっては、標準契約に基づく個人情報越境移転の方法にある程度見通しが立ったといえる。また、標準契約は、GDPRのSCCを参考にしたと思われる規定が多く存在し、SCCに準拠している企業にとってはなじみがあると思われる。しかし、中国独自の条項も多く存在するほか、標準契約に依拠できる範囲が限定されているなど、実際に利用するにあたっての課題がなお残されている。

　本規定案とは別に、今年7月7日に一定の個人情報及び重要データを域外移転する場合に求められる安全評価に関する「データ越境移転安全評価弁法」の最終版が公表され、9月から施行予定であるなど※10、中国データ関連法令を巡る動きは今後益々活発化していくと考えられるため、今後の動向を注視する必要がある。