概要

昨年11月に施行された「個人情報保護法」では、個人情報域外移転の監督管理についての3つの手段が定められている。その中で、「国家インターネット情報部門が製定した標準契約の締結」という手段については、適用性が相対的に広く、取扱いも簡便であり、企業にとって最初の選択肢になるものと思われる。しかし、半年が経過しても、標準契約が依然として発布されず、企業の国境を越える個人情報伝送において困惑をもたらしている。現段階で国境を越える個人情報伝送契約を締結する必要はあるのかどうか、契約の内容をどのように設定すれば「合格」とされるのかは、企業が常に直面する問題である。本文では筆者の経験に基づき、この問題について回答する。

本文

■　国境を越える個人情報伝送の3つの手段

 「個人情報保護法」第38条によると、中国域内から域外に個人情報を提供する主体（「中国域内提供者」）が、中国域外で個人情報を受領する主体（「中国域外受領者」）に向けて個人情報を提供するには、以下のいずれかの前置条件を満たす必要がある。

（1）中国域内提供者が重要情報インフラ事業者(「CIIO」)[i]に属する場合、又は取扱う個人情報の数量が定める数量[ii]に達している(「評価数量のハードル」）場合には、国家インターネット情報部門によって実施される安全評価を通過すること。

（2）国家インターネット情報部門の規定に従い、専門機関を通じて個人情報保護認証を行っておくこと。又は

（3）中国域外受領者との間において国家インターネット情報部門が制定した標準契約を締結し、双方の権利と義務を定めること。

3つの前置条件（手段）の適用範囲、実施主体、取扱う難易度を下表に整理する。これらから、標準契約の適用範囲はより広く、その実施主体は主に企業であり（第三者機関や政府部門の介入がない可能性がある）、取扱いも最も簡便であることがわかり、そのため、標準契約が企業の最初の選択肢になるであろうと思われる。

	安全評価	認証	標準契約[iii]
適用範囲	狭く、その適用範囲は次のとおりである。 ① 中国域内提供者はCIIOに属している場合。又は ② 中国域内提供者が取扱う個人情報は評価数量のハードルに達する場合。	狭く、その適用範囲は、安全評価を通過する必要がある状況以外の下記の場合である。 ① 中国域内・域外の関連会社間の国境を越える個人情報伝送。又は ② 「個人情報保護法」が中国域外の実体に域外で適用される場合[iv]。	広く、標準契約は、以下の2つの状況以外の国境を越える個人情報の取扱いに適用される可能性がある。 ①    安全評価を通過する必要がある場合。 ②    「個人情報保護法」が中国域外の実体に域外で適用される場合。
実施主体	国家インターネット情報部門	認証機関	企業自身、第三者機関や政府部門の介入がない可能性がある
取扱いの難易度（厳しさ）	高い。安全評価は主にCIIO、域外移転する個人情報の数量が多く、又は機微性が高い場合に適用され、これらの状況は公共利益、国家安全にかかわる可能性があり、且つ安全評価の実施主体は政府部門であるため、安全評価を通過できるかどうかは、大きな不確実性が存在している。また、安全評価を申請する前に、企業はデータ域外移転リスクの自己評価[v]を行い、申請書類を準備するなどの必要があり、手続きが複雑である。	中等レベル。認証には、中国域内提供者と中国域外受領者が統一的な個人情報取扱う規則を確立し、個人情報保護機関と責任者を設立するなどの必要があり、認証機関は評価と監督を行うこともあり、取扱うのは比較的に複雑である。   しかし、安全評価と比べると、認証のポイントは個人情報の域外移転が国家安全と公共利益に与える影響ではなく、中国域内提供者と中国域外受領者の個人情報保護能力を考察することにあるため、認証を通過する確率は安全評価よりも高くなる可能性がある。	低い。中国域内提供者と中国域外受領者が標準契約を締結するだけで、その他手続きを履行する必要はない可能性がある。

■　現段階、国境を越える個人情報伝送契約を締結する必要性

 国家インターネット情報部門が標準契約を発布していない以上、企業によっては、現段階で企業はいかなる形式の国境を越える個人情報伝送契約を締結する必要がないと考えてしまうかもしれない。この点について、筆者は異なる見方をしており、標準契約が正式に発布される前に、中国域内提供者は中国域外受領者との間で、国境を越える個人情報伝送契約を締結しておく必要があると考える。これは中国域内提供者が「個人情報保護法」に関する規定を履行するうえで必要となるだけでなく、中国域内提供者と中国域外受領者の個人情報保護における権利と義務を明確化するうえでも有利であり、具体的には下記のとおりである。

（1）中国域内提供者は、中国域外受領者による個人情報の取扱いに対して監督義務を負っており、国境を越える個人情報伝送契約を締結しておくことで、中国域内提供者が既に監督義務を履行したことを証明することができる。

「個人情報保護法」第38条最後の一項によれば、中国域内提供者は必要な措置をとり、中国域外受領者による個人情報の取扱いが「個人情報保護法」が定める基準に達することを保証する義務がある、としている。すなわち、中国域内提供者は中国域外受領者による個人情報の取扱いに対して監督義務を負っており、国境を越える個人情報伝送契約の締結は、中国域内提供者がこの監督義務を履行するための良い手段であるとも考えられる。具体的には、中国域内提供者は、国境を越える個人情報伝送契約において、中国域外受領者が個人情報を取扱う方式、種類、目的、保存期限などに製限を設定し、中国域外受領者に対して個人情報保護に関するコンプライアンス監査を実施する権利を中国域内提供者に与え、この監督義務を履行することができる。

（2）中国域外受領者に個人情報を不正に取り扱うといった状況が発生した場合、中国域内の法執行部門は通常、中国域内提供者に対して調査を行い、相応の処罰を下す可能性がある。国境を越える個人情報伝送契約の締結は、中国域外受領者に対し、調査の協力と損失の転嫁を求めることができる。

中国域内の法執行部門にとっては、中国域外受領者を監督管理し制約することには客観的な困難が存在し、中国域外受領者が中国域内提供者から提供された個人情報を不正に取り扱った場合、法執行の利便性に着眼するならば、中国国内の法執行部門は、中国域内提供者が中国域外に個人情報を提供することの適法性、及び中国域内提供者が中国域外受領者に対しての監督義務を履行したかどうかについて直接調査する可能性がある。また、適法性がないこと及び監督義務が履行されていないという理由で中国域内提供者を処罰する可能性もある。この場合、双方が国境を越える個人情報伝送契約を締結しておけば、通常、以下の方面から中国域内提供者の適法な権利を保障することができる。

▷　調査の協力。中国域内の法執行部門の調査に対応する際、中国域内提供者は個人情報取扱いの適法性に関する証明書類を提供しなければならないことも多い。しかし、国境を越える個人情報伝送の場合では、これらの証明書類の多くは中国域外受領者が保存しているが、その提供を拒否すれば、不利な調査結果を招くおそれがある。このリスクを下げるために、双方は国境を越える個人情報伝送契約の中で、中国域内提供者が中国域内の法執行部門の調査を受けたとき、中国域外受領者は中国域内提供者に協力し、調査に対応する（中国域外受領者の個人情報取扱いの適法性に関する証明書類と関連記録の提供を含むが、これに限らない）義務があることを定めておくとよい。

▷　賠償義務。最終的に中国域内の法執行部門が中国域内提供者対して処罰を下すことになった場合、中国域内提供者は中国域外受領者に損失の賠償を要求するかどうかを検討する必要がある。その際の責任転嫁を避けるために、双方は国境を越える個人情報伝送契約の中で事前にそれを明確にしておくことができる。例えば、中国域外受領者による違法な個人情報の取扱いにより、中国域内提供者が何らかの損失、処罰を受けたか、又はそのために追加コスト（中国域内法執行部門の調査に対応するために発生した弁護士費用などを含むが、これに限らない）が発生した場合、中国域外受領者は賠償しなければならない等である。

（3）国境を越える個人情報伝送契約の締結は、国境を越える個人情報伝送の必要前提となる

安全評価に関する「データ域外移転安全評価弁法(意見募集案)」（「評価弁法」）及び保護認証に関する「ネットワークセキュリティ基準実践ガイドライン-国境を越える個人情報取扱認証技術規範（意見募集案）」（「認証規範」）においても、中国域内提供者と中国域外受領者とが国境を越える個人情報伝送契約を締結することを求めている。従って、中国域内提供者がどのような個人情報域外移転手段を選択する場合であっても、国境を越える個人情報伝送契約は不可欠であることが明らかになった。

■　「合格」とされる国境を越える個人情報伝送契約に通常含まれるべき内容

 確認できている限りでは、一部の企業は既に国境を越える個人情報伝送契約を締結する必要性を認識し、契約書式の作成を開始している。しかしその一方で、企業が独自で作成した契約書式の内容は完全ではなく、今後の標準契約との整合性をとることを考慮していい企業も少なくない。これらの契約書式はまだ「合格」とは言えないかもしれない。「評価弁法」と「認証規範」の国境を越える個人情報伝送契約に対する要求を参考にして、筆者が日常法律業務の中で依頼者のために国境を越える個人情報伝送契約を作成してきた経験によれば、「合格」とされる契約では、通常以下のいくつかの内容が含まれなければならない。

契約条項の概要	契約条項の具体的な内容
個人情報取扱いの基本的な状況	▷  中国域外受領者が個人情報を取扱う方式、種類、目的、中国域内提供者の書面による同意を得ずに、中国域外受領者はこの範囲を超えて個人情報を取扱してはならないこと。 ▷  中国域外受領者が個人情報を保存する場所、期限、期限満了後の取扱い方式。
中国域外受領者の安全保障措置	▷  中国域外受領者に個人情報保護製度の作成と実行を要求すること。 ▷  中国域外受領者に個人情報の闇号化、非識別化などの安全措置の実施を要求すること。 ▷  中国域外受領者に従業員が個人情報を取扱う権限の合理的な確定、及び当該従業員に対して個人情報保護訓練の実施を要求すること。 ▷  中国域外受領者に個人情報安全事件（個人情報の漏洩、改竄、紛失など）の緊急時対応策の作成と実施を要求すること。
中国域外受領者が個人情報を第三者に提供することに関する制限	▷  中国域内提供者の書面による同意を得ずに、個人情報を中国域内又は中国域外の第三者に提供してはならないこと。
個人情報主体の権益保障	▷  中国域外受領者が中国域内の個人情報主体が提出した個人情報に関する権利要求（例えば、個人情報の照会、複製、訂正及びクレームなどの権利要求）の適時的な応答、権利要求を受理するための専門メールアドレスの指定を要求すること。
中国域内提供者が実施する個人情報保護の影響評価の協力	▷  「個人情報保護法」によると、中国域内提供者が中国域外に個人情報を提供するには、個人情報保護の影響評価を実施し、評価を通過してはじめて、中国域外に個人情報を提供することができる。評価を順調に実施するために、契約では中国域外受領者に中国域内提供者の評価実施の協力を要求するとよい。同時に、評価を通過していない場合、個人情報は中国域外に転送できないことを明確に定めておく。
監査	▷  中国域外受領者に中国域内提供者が実施する個人情報保護に関するコンプライアンス監査の協力を要求すること。
個人情報の取扱いの記録	▷  中国域外受領者に個人情報取扱いの記録の作成と保存、個人情報の取扱いの正確な記録を要求すること。中国域内提供者が要求した場合、中国域外受領者は完全な記録を提供しなければならないこと。
個人情報安全事件	▷  個人情報安全事件が発生する時、中国域外受領者は直ちに中国域内提供者に通知し、改正措置を取らなければならないこと。
政府の調査	▷  中国域内提供者が中国域内の法執行部門の調査を受けた場合、中国域外受領者は、中国域内提供者に当該調査の対応を全力に協力しなければならないこと。協力の方式は、中国域内提供者に必要な書類と情報の提供、政府部門への説明と弁明などを含むが、これに限らない。
賠償	▷  中国域外受領者の違法な個人情報の取扱いにより、中国域内提供者がいかなる損失、処罰を受けた場合、又はそのために追加コストを発生した場合（政府の調査に対応するため発生された弁護士費用などを含むが、これに限らない）、中国域外受領者は賠償しなければならないこと。
標準契約への移行	▷  標準契約が発布されたとき、中国域外受領者は中国域内提供者と標準契約を締結することに同意することを定めること。標準契約と国境を越える個人情報伝送契約とで一致していない部分（もしあれば）は、標準契約に準じる。 ▷  また、標準契約が後日発布されても、先に締結された国境を越える個人情報伝送契約が完全に無意味なものとなることはない。一部の中国域内提供者を保護する条項（例えば、上記のように中国域内提供者の個人情報保護影響評価を協力する条項、賠償条項など）は、標準契約には反映されない可能性があると考えられる。先に締結された国境を越える個人情報伝送契約は標準契約とともに中国域内提供者の権益をよりよく保護することができる。

終わりに

 現段階では国境を越える個人情報伝送契約を締結することが必要だが、「合格」とされる国境を越える個人情報伝送契約を作成するのは容易なことではなく、企業自身の力だけで完成させるのは難しいかもしれない。企業は外部の力（例えば弁護士など）の協力を求め、その専門知識と実践経験を踏まえて、「合格」とされる協議書を作成していく必要があるであろう。

（作者：里兆法律事務所 丁志龍、陳暁鳴）

[i] CIIOは国家安全や公共安全に影響を与え得る重要な業界（例えばエネルギー、交通、水利など）に集中しており、ほとんどの企業（特に外資系企業）はCIIOに属していないため、安全評価を行う必要はない。

[ii] 評価数量のハードルについては、「データ域外移転安全評価弁法(意見募集案)」よれば：情報保有者に着眼すると、取扱う個人情報の合計数が100万人分に達する中国域内企業は、中国域外に個人情報を伝送する際には安全評価が必要となる。個人情報の越境伝送数量に着眼すると、中国域内企業が越境伝送する個人情報の数量が累計10万人分を超えたり、機微な個人情報の数量が累計1万人分を超えたりした場合、中国域外に個人情報を伝送する際には安全評価が必要である。

[iii] 標準契約はまだ発布されていないため、現在、標準契約に関する解読は実務経験に基づいて行われており、この解読は最終的に発布された標準契約の内容や関連規定とは異なる可能性がある。

[iv] 「ネットワークセキュリティ基準実践ガイドライン-国境を越える個人情報取扱い認証技術規範（意見募集案）」に基づき、認証は、①多国籍会社又は同一経済、事業実体内部の国境を越える個人情報の取扱い。及び、②「個人情報保護法」第3条第2項に定める中国域外個人情報取扱者が、中国域外において中国域内の自然人の個人情報取扱い（「個人情報保護法」第3条第2項によると、中華人民共和国域外において中華人民共和国域内の自然人の個人情報の取扱いが以下のいずれかに該当する場合、本法が適用される。（一）中国域内の自然人に製品又はサービスを提供することを目的としていること。（二）中国域内の自然人の行為を分析し、評価するもの。（三）法律、行政法規に定められたその他の状況）に適用される。

[v] 「データ域外移転安全評価弁法(意見募集案)」第5条によると、データ取扱う者は中国域外にデータを提供する前に、事前にデータ域外移転リスクの自己評価を実施しなければならない。