中国からの情報・データの越境移転に必要な安全評価申告の動向

2. 事前の安全評価申告が必要となる情報・データの要件

中国では昨年までに「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」のいわゆるデータ三法が成立し、三法では、いずれも一定の個人情報及び重要データについて越境移転させる場合は「関連法令」に従って事前に当局に対して安全評価申告を行うべき旨が定められていたが、肝心の「関連法令」が制定されていなかった。そのため、本弁法が施行されるまで、中国現地法人が中国国内で取得・収集したデータを越境移転させる場合の安全評価は必要ではなかった。

しかし、「関連法令」となる本弁法によって、以下のいずれかの場合のデータの越境移転については、事前の安全評価申告が求められることとなった（本弁法第4条）。

• ① データ処理者が中国国外に重要なデータ※4を提供する場合
• ② 基幹情報インフラ※5運営者又は100万人以上の個人情報を処理するデータ処理者が中国国外に個人情報を提供する場合
• ③ 直近年度の1月1日から起算して、中国国外に10万人の個人情報又は1万人のセンシティブ個人情報※6を提供したデータ処理者が国外に個人情報を提供する場合
• ④ 国家サイバーセキュリティ部門が規定するその他の場合

データ三法の規定により、「データ」※7及び「データ処理者」※8の定義は極めて広範に解釈されているため、日系企業についていえば、基本的に中国の全ての現地法人は「データ処理者」に該当する可能性があり、その保有する情報を含むデータを国外の親会社と共有する（国外から見られる状態に置くことを含む。）場合、上記該当性を検討する必要があると考えて良い。もっとも、下記5.のとおり、上記該当性の検討は必ずしも容易ではない。

中国個人情報保護法には、個人の同意の取得の他、移転先との個人情報越境標準契約※9（いわゆる中国版SCC。4.で後述。）の締結及び（グループ内移転等の要件を満たした場合に認められる）保護認証の申請・取得により個人情報を越境移転させることができる制度が予定されているが、それらの制度要件を満たした場合であっても、本弁法の上記①ｰ④の要件に当たれば、個人情報を含む情報・データの国外移転については事前の安全評価申告が必要であることに注意が必要である。

3. 事前の安全評価申告が必要となる場合の手続

上記2.の①-④の要件に該当した場合、情報・データを越境移転させるための安全評価申告については、具体的には以下の手続を経る必要がある。

• (ⅰ) 越境移転データに関する自己評価の履行及び報告書の作成。なお、評価項目としては、①データ移転の目的、範囲、方法等の適法性、正当性、必要性、②越境データの規模、範囲、センシティビティ、国家安全等に与えるリスク、③移転先が越境データの安全を確保する責任及び能力、④移転によるデータの毀損等のリスク、権利保護の方法等、⑤移転先と締結したデータ越境に関する取決め及びその十分性等が定められている（本弁法5条）。
• (ⅱ) 各省のサイバーセキュリティ部門に対して、申告書、上記(ⅰ)で作成した自己評価報告及び国外の移転先と締結した法律文書を提出（本弁法6条）。
• (ⅲ) 各省のサイバーセキュリティ部門は(ⅱ)での申告資料を受領した日から5営業日以内に形式審査を行い、形式的な不備がない場合は申告を国家サイバーセキュリティ部門に転送（不備がある場合はデータ処理者にて修正・再提出）（本弁法7条）。
• (ⅳ) 国家サイバーセキュリティ部門は(ⅲ)での申告資料を受領した日から7営業日以内に受理・不受理に関する審査を行い、受理する場合は実質審査に移行。受理しない場合はデータ処理者にて修正・補充（本弁法7条、11条）。
• (ⅴ) 国家サイバーセキュリティ部門は他の関連当局と共に実質審査を行い、データ処理者に書面の受理通知を発送した日から45営業日以内に国外移転の可否について結論を下す（状況が複雑な場合は延長可能。延長期限の定めはない。）（本弁法10条、12条）。
• (ⅵ) データ処理者が上記(ⅴ)の結果に不服の場合は、評価結果を受領した日から15営業日以内に不服審査請求を行うことができる（本弁法13条）。

以上に従えば、各省のサイバーセキュリティ部門によるデータ処理者からの安全評価申告の受領から原則57営業日以内に、越境移転のクリアランスが発出されることとなる（もっとも、上記(v)のとおり審査期間は延長可能とされている。）。

また、クリアランスの期限は評価結果の発行日から2年間とされているため、当該期限を超えて対象となる重要データ及び個人情報の越境移転を続ける場合は、期限が到来する60営業日前までに再申告する必要がある。

なお、クリアランスの期限中に当初の申告情報に変更がある場合（例えば、データ越境移転の目的、方式等、国外の移転先によるデータ処理の用途、方式に変更があることにより越境移転されたデータの安全に影響を及ぼす場合、又は個人情報及び重要データの国外における保存期間を延長する場合）、改めて安全評価を申告する必要がある（本弁法14条）。

4. GDPR、日本及び中国の個人情報保護法制における個人情報の越境調査・評価との比較

EUでは、2018年5月25日に施行されたGeneral Data Protection Regulation（以下「GDPR」）44条から50条までに、越境移転の規律が定められている。GDPR上、個人データをEU/EEA域外に移転することは原則として禁止されているが（同法44条）、例外要件を満たす場合には、例外的に個人データのEU/EEA域外への移転が可能であり、典型的な例外要件は、欧州委員会が、十分なデータ保護の水準を確保しているとの認定（十分性認定）を行った国、地域又は国際機関へのデータ移転である。十分性認定を得た国に対するものであれば、特段の対応を行わずに個人データをEU/EEA域外に移転することができ（GDPR45条1項）、日本は2019年1月に十分性認定を得ている。移転先国が十分性認定を取得していない場合でも、GDPR46条に規定された措置を条件として個人データをEU/EEA域外に移転することが可能であり、その一つは、個人データをEEA域外に移転するためのStandard Contractual Clauses（以下「SCC」）に準拠した移転元及び移転先の合意に基づき、情報を移転する場合である。2021年6月に公開されたSCCの改訂版14条(b)では、移転当事者は個人データの越境移転に際して、①移転に関する具体的状況（処理の連鎖、関与者、予定される再移転、移転先の形態、処理目的等）、②移転先の第三国の法令・慣行（公的機関に対する開示又は公的機関によるアクセスの可否等）、及び、③個人データを保護するための契約的・技術的・組織的保護措置を十分に考慮したことの宣言が求められ、その宣言を行うための①-③の評価は実務上Transfer Impact Assessment（以下「TIA」）と呼ばれる。

他方で、日本から海外の第三者に対する個人情報の移転については、日本の個人情報保護法28条に従った対応が必要となるが、原則として本人の同意があれば移転は認められる。もっとも、個人情報取扱業者は、外国※10にある第三者※11への提供を認める旨の本人の同意を得ようとする場合、①移転先となる外国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、③当該第三者が講ずる個人情報の保護のための措置に関する情報をあらかじめ本人に提供しなければならないとされている（個人情報保護法28条2項、同施行規則17条2項）。この①-③に関する調査は、上記GDPRのTIAにおいて求められる評価と通底すると思われる。

そして、中国の個人情報保護法38条1項は、（2.で記載した要件を満たさず、安全評価申告が不要である場合であることが前提となるが）個人情報越境標準契約（中国版SCC）を移転元及び移転先間で締結することにより、個人情報を越境移転させることを許容している。当該中国版SCCはパブリックコメント手続中であり、まだ正式に成立・施行されていないが、5条において、個人情報処理者は個人情報を国外に提供する際に、①個人情報処理を行う目的、範囲、方法等の適法性、正当性、必要性、②越境対象となる個人情報の数量、範囲、センシティビティ、個人情報の権利保護に与えるリスク等、③国外受領者が越境対象となる個人情報の安全を確保する責任及び能力、④個人情報の越境後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権利を保護する方法等、⑤移転先の所在国の個人情報保護法令が標準契約の履行に及ぼす影響等を評価する必要がある、と定められている。この①-⑤に関する評価は、評価項目の数・表現は本弁法に基づく3.(1)記載の安全評価項目と近似しているが、個人情報の権利保護に着目した評価である点は、GDPR及び日本の個人情報保護法に基づく要請と親和的である。

GDPR、日本及び中国自身の個人情報保護法制と比較した場合の、本弁法に規定される中国のデータ越境規制における特徴は、まず、移転が規制される対象が（特定の規模を超えた場合の）個人情報に限られず、「重要データ」も含まれる点である。また、本弁法に基づくデータ越境移転規制は十分性認定、SCC及び本人の同意による例外の概念がなく、一旦2.で記載した本弁法4条に定める要件に当たれば、例外なく移転に際して事前の安全評価が必要とされる。更に、GDPR、日本及び中国自身の個人情報保護法においても、事業者が海外に個人情報を移転させる場合に、移転先の情報保護法制等を調査・評価する仕組みが用意されているが、それは当該移転が対象となる個人情報に与える影響を念頭に置いたものであるのに対して、本弁法の場合は「国家安全に対する影響」等、独自の評価項目が含まれており、求められる調査・評価の内容が異なることである。

この点、中国においても個人情報又は重要データの越境移転に必要とされる安全評価がTransfer Impact Assessmentと訳されることがあるが、その文脈におけるTransfer Impact Assessmentは、GDPR又は日本法と似て非なるものであり、中国法においても、本弁法に基づくものか、中国版SCCに基づくものかによって内容は異なる。

5. 本弁法の実務上の留意点

(1) 安全評価申告義務の判断及び実施

安全評価申告義務の要件に関して、例えば（移転する場合に申告が必要的となる）「重要データ」は、本弁法19条に定義されているものの、その範囲は明確ではない。現状は自動車産業については「自動車データ安全管理若干規定（試行版）」※12、それ以外の産業については2022年1月にパブリックコメントに付されている「情報安全技術・重要データ識別ガイドライン」※13に依拠して判断するしかないが、これらの規定及びガイドラインも（実際に読んでみればわかるが）それほど厳密に規定されているわけではない。現状としては、企業の自己判断が難しい場合に、法律事務所等を用いていわゆるデータデューデリジェンス（以下「データDD」）を行わせ、安全評価申告が必要となる情報の有無を、外部専門家を通じて確認することが実務上行われている。

安全評価申告が必要な場合も、3.の(i)記載のとおり、申告に当たっては「越境移転データに関する自己評価（移転の目的、合理性、対象データ及び移転先の性質等本弁法所定事項）の履行及び報告書の作成」が必要とされているが、法律事務所等外部専門家がデータDDの結果安全評価申告が必要と判断すれば、DD報告書の内容を用いて自己評価報告書を作成することとなる（当局の審査は、基本的にこの自己評価報告書のレビューとなる。）。

(2) 一旦要件に該当すれば、全ての情報移転について安全評価申告が必要か

本弁法の施行当初、一旦2.の②「基幹情報インフラ運営者又は100万人以上の個人情報を処理するデータ処理者」又は2.の③の「直近年度の1月1日から起算して、中国国外に10万人の個人情報又は1万人のセンシティブ個人情報を提供したデータ処理者」にあたれば、何ら量的・質的な基準なく、国外に個人情報を提供する場合（例えば1名分だけでも）、その都度安全評価申告が求められるかが議論となっていた。条文上は求められるように読まざるを得ないが、例えば2.の②及び2.の③の要件を満たす現地法人の人事異動に関する情報に関しても、海外親会社に報告するために逐一事前の安全評価申告が求められることになりかねず、実務上も負担が重いと思われたためである。

この点についてはまだ法令解釈及び実務が固まっていないが、現状は一旦要件に該当すれば、国外に対する情報・データの提供について全て安全評価が必要と保守的に解釈しつつ、クリアランスの期限が評価結果の発行日から2年間とされていることから、2年間の間に想定される情報・データの提供について（個別にではなく）まとめて安全評価申告を行うことも可能ではないかと考えられる。上記人事異動を例に取れば、未定の情報も多いためある程度抽象的に安全評価申告を行わざるをえないが（例えば、「これらの者の個人情報について国外移転する可能性がある」といったように）、当局によってそのような安全評価申告が認められるか、事後的に問題視されないかは、実務の動向を見守る必要がある。

(3) 安全評価申告の実施期限はいつまでか

本弁法は昨年9月1日から施行されているが、施行前から行われている情報・データの国外移転について「本弁法の規定に適合しないものについては、施行日から6ヶ月以内に是正を完了する必要がある」（本弁法20条）と定められており、「是正の完了」は、情報・データの越境移転を行う会社は2023年の2月末までに安全評価申告義務の有無の確認及び（確認の結果、義務があると認められる場合には）安全評価申告を完了させる必要があると解釈されることがある。

しかし、本弁法の施行前から安全評価申告の準備として自己評価を開始していた企業であればともかく（中国の日系企業でそのような企業は多くない）、多くの企業は施行後に安全評価申告義務の要否を法律事務所等の外部専門家を用いて判断しており、この判断に必要なデータDDも（会社やデータの規模にもよるが）一般的に1-2ヶ月かかるため、安全評価申告に必要な報告書の作成等の準備及び当局の審査期間を念頭に入れると、2月末までに安全評価申告について当局からクリアランスを取得しているという意味で「完了」できるか、心許ない企業が少なくない（直近で言えば、Covid-19の蔓延による準備・手続の遅延も容易に想定される。）。

この点、2月末までに求められるのはクリアランスの取得までではなく、当事会社が安全評価申告の要否を判断した上で、必要な場合に安全評価申告を提出するところまで完了すれば良いという解釈も考えられる。実際に当局の審査に必要な期間は当事会社にとってコントロールできないためである。この問題について、当局から明確な解釈が示されているわけではないが、安全評価申告義務の判断自体が難しく、申告義務があるにもかかわらず結果的に行っていない企業も多数存在すると予想される中、法定された期限である2月末まで安全評価申告義務の判断を行い、実際に申告を提出した企業に対して処罰を行い、データの国外移転の中止を命令するのは、当局の政策判断として考えにくいというのは合理的な発想であり、まだ安全評価申告に必要な準備作業を完了していない企業にとっては行動指針となりうると思われる。