鹿はせる Haseru Roku
パートナー
東京
NO&T Asia Legal Update アジア最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2022年7月7日に、中国で「データ越境移転安全評価弁法※1」(以下「本弁法」)の成立が公表され、同年9月1日から施行されている。本弁法の位置づけは、サイバーセキュリティ法※2(2017年6月施行)、データセキュリティ法※3(2021年9月施行)、個人情報保護法(2021年11月施行)の下位規則であるが、事業者が中国国内での事業運営を通じて収集・生成した重要データや個人情報を国外に移転/提供する場合の安全評価の要件及び手続を定めたものであり、特に中国現地法人を持つ日本企業にとって非常に影響が大きい立法である。
施行から4ヶ月経ち、実際に企業による安全評価申告の実施例も増えてきているため、本稿では規制の概要と共に、申告に関する実務の現状及び日本企業にとっての留意点を概観する。
中国では昨年までに「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」のいわゆるデータ三法が成立し、三法では、いずれも一定の個人情報及び重要データについて越境移転させる場合は「関連法令」に従って事前に当局に対して安全評価申告を行うべき旨が定められていたが、肝心の「関連法令」が制定されていなかった。そのため、本弁法が施行されるまで、中国現地法人が中国国内で取得・収集したデータを越境移転させる場合の安全評価は必要ではなかった。
しかし、「関連法令」となる本弁法によって、以下のいずれかの場合のデータの越境移転については、事前の安全評価申告が求められることとなった(本弁法第4条)。
データ三法の規定により、「データ」※7及び「データ処理者」※8の定義は極めて広範に解釈されているため、日系企業についていえば、基本的に中国の全ての現地法人は「データ処理者」に該当する可能性があり、その保有する情報を含むデータを国外の親会社と共有する(国外から見られる状態に置くことを含む。)場合、上記該当性を検討する必要があると考えて良い。もっとも、下記5.のとおり、上記該当性の検討は必ずしも容易ではない。
中国個人情報保護法には、個人の同意の取得の他、移転先との個人情報越境標準契約※9(いわゆる中国版SCC。4.で後述。)の締結及び(グループ内移転等の要件を満たした場合に認められる)保護認証の申請・取得により個人情報を越境移転させることができる制度が予定されているが、それらの制度要件を満たした場合であっても、本弁法の上記①ー④の要件に当たれば、個人情報を含む情報・データの国外移転については事前の安全評価申告が必要であることに注意が必要である。
上記2.の①-④の要件に該当した場合、情報・データを越境移転させるための安全評価申告については、具体的には以下の手続を経る必要がある。
以上に従えば、各省のサイバーセキュリティ部門によるデータ処理者からの安全評価申告の受領から原則57営業日以内に、越境移転のクリアランスが発出されることとなる(もっとも、上記(v)のとおり審査期間は延長可能とされている。)。
また、クリアランスの期限は評価結果の発行日から2年間とされているため、当該期限を超えて対象となる重要データ及び個人情報の越境移転を続ける場合は、期限が到来する60営業日前までに再申告する必要がある。
なお、クリアランスの期限中に当初の申告情報に変更がある場合(例えば、データ越境移転の目的、方式等、国外の移転先によるデータ処理の用途、方式に変更があることにより越境移転されたデータの安全に影響を及ぼす場合、又は個人情報及び重要データの国外における保存期間を延長する場合)、改めて安全評価を申告する必要がある(本弁法14条)。
EUでは、2018年5月25日に施行されたGeneral Data Protection Regulation(以下「GDPR」)44条から50条までに、越境移転の規律が定められている。GDPR上、個人データをEU/EEA域外に移転することは原則として禁止されているが(同法44条)、例外要件を満たす場合には、例外的に個人データのEU/EEA域外への移転が可能であり、典型的な例外要件は、欧州委員会が、十分なデータ保護の水準を確保しているとの認定(十分性認定)を行った国、地域又は国際機関へのデータ移転である。十分性認定を得た国に対するものであれば、特段の対応を行わずに個人データをEU/EEA域外に移転することができ(GDPR45条1項)、日本は2019年1月に十分性認定を得ている。移転先国が十分性認定を取得していない場合でも、GDPR46条に規定された措置を条件として個人データをEU/EEA域外に移転することが可能であり、その一つは、個人データをEEA域外に移転するためのStandard Contractual Clauses(以下「SCC」)に準拠した移転元及び移転先の合意に基づき、情報を移転する場合である。2021年6月に公開されたSCCの改訂版14条(b)では、移転当事者は個人データの越境移転に際して、①移転に関する具体的状況(処理の連鎖、関与者、予定される再移転、移転先の形態、処理目的等)、②移転先の第三国の法令・慣行(公的機関に対する開示又は公的機関によるアクセスの可否等)、及び、③個人データを保護するための契約的・技術的・組織的保護措置を十分に考慮したことの宣言が求められ、その宣言を行うための①-③の評価は実務上Transfer Impact Assessment(以下「TIA」)と呼ばれる。
他方で、日本から海外の第三者に対する個人情報の移転については、日本の個人情報保護法28条に従った対応が必要となるが、原則として本人の同意があれば移転は認められる。もっとも、個人情報取扱業者は、外国※10にある第三者※11への提供を認める旨の本人の同意を得ようとする場合、①移転先となる外国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、③当該第三者が講ずる個人情報の保護のための措置に関する情報をあらかじめ本人に提供しなければならないとされている(個人情報保護法28条2項、同施行規則17条2項)。この①-③に関する調査は、上記GDPRのTIAにおいて求められる評価と通底すると思われる。
そして、中国の個人情報保護法38条1項は、(2.で記載した要件を満たさず、安全評価申告が不要である場合であることが前提となるが)個人情報越境標準契約(中国版SCC)を移転元及び移転先間で締結することにより、個人情報を越境移転させることを許容している。当該中国版SCCはパブリックコメント手続中であり、まだ正式に成立・施行されていないが、5条において、個人情報処理者は個人情報を国外に提供する際に、①個人情報処理を行う目的、範囲、方法等の適法性、正当性、必要性、②越境対象となる個人情報の数量、範囲、センシティビティ、個人情報の権利保護に与えるリスク等、③国外受領者が越境対象となる個人情報の安全を確保する責任及び能力、④個人情報の越境後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権利を保護する方法等、⑤移転先の所在国の個人情報保護法令が標準契約の履行に及ぼす影響等を評価する必要がある、と定められている。この①-⑤に関する評価は、評価項目の数・表現は本弁法に基づく3.(1)記載の安全評価項目と近似しているが、個人情報の権利保護に着目した評価である点は、GDPR及び日本の個人情報保護法に基づく要請と親和的である。
GDPR、日本及び中国自身の個人情報保護法制と比較した場合の、本弁法に規定される中国のデータ越境規制における特徴は、まず、移転が規制される対象が(特定の規模を超えた場合の)個人情報に限られず、「重要データ」も含まれる点である。また、本弁法に基づくデータ越境移転規制は十分性認定、SCC及び本人の同意による例外の概念がなく、一旦2.で記載した本弁法4条に定める要件に当たれば、例外なく移転に際して事前の安全評価が必要とされる。更に、GDPR、日本及び中国自身の個人情報保護法においても、事業者が海外に個人情報を移転させる場合に、移転先の情報保護法制等を調査・評価する仕組みが用意されているが、それは当該移転が対象となる個人情報に与える影響を念頭に置いたものであるのに対して、本弁法の場合は「国家安全に対する影響」等、独自の評価項目が含まれており、求められる調査・評価の内容が異なることである。
この点、中国においても個人情報又は重要データの越境移転に必要とされる安全評価がTransfer Impact Assessmentと訳されることがあるが、その文脈におけるTransfer Impact Assessmentは、GDPR又は日本法と似て非なるものであり、中国法においても、本弁法に基づくものか、中国版SCCに基づくものかによって内容は異なる。
安全評価申告義務の要件に関して、例えば(移転する場合に申告が必要的となる)「重要データ」は、本弁法19条に定義されているものの、その範囲は明確ではない。現状は自動車産業については「自動車データ安全管理若干規定(試行版)」※12、それ以外の産業については2022年1月にパブリックコメントに付されている「情報安全技術・重要データ識別ガイドライン」※13に依拠して判断するしかないが、これらの規定及びガイドラインも(実際に読んでみればわかるが)それほど厳密に規定されているわけではない。現状としては、企業の自己判断が難しい場合に、法律事務所等を用いていわゆるデータデューデリジェンス(以下「データDD」)を行わせ、安全評価申告が必要となる情報の有無を、外部専門家を通じて確認することが実務上行われている。
安全評価申告が必要な場合も、3.の(i)記載のとおり、申告に当たっては「越境移転データに関する自己評価(移転の目的、合理性、対象データ及び移転先の性質等本弁法所定事項)の履行及び報告書の作成」が必要とされているが、法律事務所等外部専門家がデータDDの結果安全評価申告が必要と判断すれば、DD報告書の内容を用いて自己評価報告書を作成することとなる(当局の審査は、基本的にこの自己評価報告書のレビューとなる。)。
本弁法の施行当初、一旦2.の②「基幹情報インフラ運営者又は100万人以上の個人情報を処理するデータ処理者」又は2.の③の「直近年度の1月1日から起算して、中国国外に10万人の個人情報又は1万人のセンシティブ個人情報を提供したデータ処理者」にあたれば、何ら量的・質的な基準なく、国外に個人情報を提供する場合(例えば1名分だけでも)、その都度安全評価申告が求められるかが議論となっていた。条文上は求められるように読まざるを得ないが、例えば2.の②及び2.の③の要件を満たす現地法人の人事異動に関する情報に関しても、海外親会社に報告するために逐一事前の安全評価申告が求められることになりかねず、実務上も負担が重いと思われたためである。
この点についてはまだ法令解釈及び実務が固まっていないが、現状は一旦要件に該当すれば、国外に対する情報・データの提供について全て安全評価が必要と保守的に解釈しつつ、クリアランスの期限が評価結果の発行日から2年間とされていることから、2年間の間に想定される情報・データの提供について(個別にではなく)まとめて安全評価申告を行うことも可能ではないかと考えられる。上記人事異動を例に取れば、未定の情報も多いためある程度抽象的に安全評価申告を行わざるをえないが(例えば、「これらの者の個人情報について国外移転する可能性がある」といったように)、当局によってそのような安全評価申告が認められるか、事後的に問題視されないかは、実務の動向を見守る必要がある。
本弁法は昨年9月1日から施行されているが、施行前から行われている情報・データの国外移転について「本弁法の規定に適合しないものについては、施行日から6ヶ月以内に是正を完了する必要がある」(本弁法20条)と定められており、「是正の完了」は、情報・データの越境移転を行う会社は2023年の2月末までに安全評価申告義務の有無の確認及び(確認の結果、義務があると認められる場合には)安全評価申告を完了させる必要があると解釈されることがある。
しかし、本弁法の施行前から安全評価申告の準備として自己評価を開始していた企業であればともかく(中国の日系企業でそのような企業は多くない)、多くの企業は施行後に安全評価申告義務の要否を法律事務所等の外部専門家を用いて判断しており、この判断に必要なデータDDも(会社やデータの規模にもよるが)一般的に1-2ヶ月かかるため、安全評価申告に必要な報告書の作成等の準備及び当局の審査期間を念頭に入れると、2月末までに安全評価申告について当局からクリアランスを取得しているという意味で「完了」できるか、心許ない企業が少なくない(直近で言えば、Covid-19の蔓延による準備・手続の遅延も容易に想定される。)。
この点、2月末までに求められるのはクリアランスの取得までではなく、当事会社が安全評価申告の要否を判断した上で、必要な場合に安全評価申告を提出するところまで完了すれば良いという解釈も考えられる。実際に当局の審査に必要な期間は当事会社にとってコントロールできないためである。この問題について、当局から明確な解釈が示されているわけではないが、安全評価申告義務の判断自体が難しく、申告義務があるにもかかわらず結果的に行っていない企業も多数存在すると予想される中、法定された期限である2月末まで安全評価申告義務の判断を行い、実際に申告を提出した企業に対して処罰を行い、データの国外移転の中止を命令するのは、当局の政策判断として考えにくいというのは合理的な発想であり、まだ安全評価申告に必要な準備作業を完了していない企業にとっては行動指針となりうると思われる。
※1
中国語:数据出境安全评估办法
※2
中国語:网络安全法
※3
中国語:数据安全法
※4
「ひとたび改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全等に危害を及ぼすおそれのあるデータ」をいう(本弁法19条)。
※5
「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業種・分野における重要なネットワーク施設、情報システム等、並びにその他ひとたび破壊され、機能を喪失し、又はデータが漏えいすれば国家の安全、国家経済・国民生活及び公共の利益に重大な危害を及ぼすおそれのある重要なネットワーク施設、情報システム等」をいう(重要情報インフラ安全保護条例(中国語:关键信息基础设施安全保护条例)2条)。
※6
「ひとたび漏えいされたり不正に使用されたりすると、自然人の人格尊厳が侵害されたり、人身や財産の安全が損なわれたりしやすい個人情報であり、生体識別、宗教的信仰、特定の身分、医療健康、金融口座、移動軌跡等の情報、及び14歳未満の未成年者の個人情報が含まれる。」(個人情報保護法28条)
※7
データとは、電子又はその他の方式の情報のいかなる記録をいう(データセキュリティ法3条1項)。
※8
まず、データ処理には、「データの収集、保存、使用、加工、送信、提供、公開等が含まれる」と規定されている(データセキュリティ法(中国語:数据安全法)3条2項)。データ処理者については、2021年11月に公表されたネットワークデータセキュリティ管理条例(意見募集稿)(中国語:网络数据安全管理条例(征求意见稿))において、「データ処理活動において、自ら処理の目的と処理方法を決定することのできる個人又は組織をいう」と定義されている(73条5号)。従って、EUのGDPRにおける「データ管理者(data controller)」の概念に近く(GDPRのcontrollerの定義である“determines the purposes and means of the processing of personal data”が直訳に近い形で定義に引用されている)、(同管理者からの委託を受けて処理する)同法の「データ処理者(data processor)」とは異なる。
※9
中国語:个人信息出境标准合同规定
※10
ここでいう外国とは、日本の域外にある国又は地域をいい、わが国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるもの(EU加盟国及び英国)を除く。
※11
法人の場合、個人データを提供する個人情報取扱事業者と別の法人格を有するかどうかで「第三者」に該当するかを判断する。
※12
重要データはひとたび改ざん、破損、漏えい又は不正取得、不正利用が生じた場合に国家の安全、公共利益又は個人、組織の合法権益に危害を及ぼすおそれのあるデータをいい、以下のものが含まれる:①軍事管理区、国防科学技術工業単位及び県級以上の党政機関等の重要敏感地域の地理情報、人員通行量、車両通行量等のデータ、②車両通行量、物流等の経済運行状況を反映するデータ、③自動車充電ネットワークの運行データ、④顔情報、ナンバープレート情報等を含む車両外のビデオ、画像データ、⑤10万人以上の個人情報主体に関するする個人情報、⑥その他国家インターネット情報部門及び国務院発展改革、工業及び情報化、公安、交通運輸等の関連部門が認定する国家の安全、公共利益又は個人、組織の合法権益に危害を及ぼすおそれのあるデータ(汽车数据安全管理若干规定(试行)3条6項)。
※13
同ガイドラインでは、重要データについて、国家秘密及び個人情報は含まれないが、膨大な量の個人情報に基づき形成される統計データ、派生データは重要データに該当しうるとされている(信息安全技术 重要数据识别指南 征求意见稿 3.1)。例えば、戦略的備蓄、応急動員力を反映する戦略物資産能、備蓄量等、基幹インフラ施設の運行又は重要分野工業生産を支えるデータ、基幹インフラ施設のネットワーク安全保護状況を反映し、基幹インフラ施設にネットワーク攻撃の実施に利用できる基幹インフラ施設のネットワーク安全案、システム配置情報、基幹ソフトウェア・ハードウェア設計情報、システム拓扑、応急予備案等の状況を反映するデータは、重要データとされている。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
(2024年10月)
殿村桂司、カオ小池ミンティ(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
殿村桂司(座談会)
(2024年9月)
中所昌司
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
(2024年6月)
殿村桂司
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年10月)
工藤靖、渡辺翼、丸田颯人(共著)
水越政輝、小松諒、渡辺翼(共著)
福原あゆみ
安西統裕
宰田高志
(2024年9月)
鹿はせる
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
(2024年11月)
福井信雄
(2024年12月)
前川陽一
(2024年12月)
前川陽一
(2024年11月)
福井信雄
(2024年11月)
松﨑景子
(2024年9月)
鹿はせる
德地屋圭治、鄧瓊(共著)
(2024年8月)
川合正倫、万鈞剣(共著)
(2024年8月)
鹿はせる