■　背景

2016年末に公表された「中華人民共和国サイバーセキュリティ法」（以下「『サイバーセキュリティ法』」という）が2017年6月1日から正式に施行された。同法の第三十七条は、国境を越えて行われるデータ伝送について、以下の通り規定している。「重要情報インフラの運営者が中華人民共和国国内での運営過程で収集し、発生する個人情報及び重要データは、国内で保存しなければならない。業務上の必要から、国外への提供がどうしても必要である場合、国家インターネット情報部門が国務院の関係部門と共同で制定した弁法に従って、セキュリティ評価を行わなければならない。法律、行政法規に特段の規定がある場合、その規定に従う。」

「サイバーセキュリティ法」の上述規定に基づき、国家インターネット情報弁公室（以下「インターネット情報弁公室」という）は2017年4月11日に「個人情報及び重要データの国外持ち出しに係るセキュリティ評価弁法（意見募集案）」（以下「『弁法草案』」という）を公表し、社会に向けてパブリックコメントを募集した。「弁法草案」では、セキュリティ評価を行うべき個人情報及び重要データの対象範囲、評価の具体的要求・手続き、主管部門などについて、詳細化した規定を行っている。「サイバーセキュリティ法」での国境を越えるデータ伝送に関する規定を詳細化したものとして、「弁法草案」が正式に公表、実施された後は、データの国境を越える伝送行為への管理が具体的且つ実施可能な根拠をもつことになり、そうなると、外商投資企業と国外の関連企業との情報共有に対し現実的で重大な影響をもたらすのは必至であり、細心の注意を払う必要がある。

■　どのような企業が影響を受けるのか

「サイバーセキュリティ法」第三十七条によると、国境を越えるデータ伝送において制限を受ける主体は「重要情報インフラの運営者」である。同法の第三十一条によると、「重要情報インフラの運営者」とは、主に公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な業界及び分野、並びに機能の破壊、喪失又はデータの漏えいに遭遇した場合、国の安全、国の経済と人々の暮らし、公共の利益に重大な危害を与えうるその他重要情報インフラの運営者を指すとしている。企業が上記重要情報インフラ分野に係るインターネット所有者、管理者及びインターネットサービス提供者である場合、国境を越えるデータ伝送が制限を受けることは明らかである。

なお、「弁法草案」第二条では、「インターネット運営者が中華人民共和国国内での運営過程で収集し発生する個人情報及び重要データは、国内で保存しなければならない。業務上の必要から、国外への提供がどうしても必要である場合、本弁法に従いセキュリティ評価を行わなければならない」と規定している。この文言によると、適用される主体は、重要情報インフラの運営者だけでなく、すべてのインターネット事業者に拡大された。「弁法草案」が修正されないままで可決され、公表、実施された場合、国境を越えるデータ伝送において制限が課される主体は、中国に進出している全ての企業となる可能性がある。

■　どのような経営活動が影響を受けるのか

「サイバーセキュリティ法」第三十七条及び「弁法草案」第二条などの規定によると、企業が中国国内での運営過程で収集し発生する個人情報及び重要データの保存、国外への持ち出しが制限される。これについて、筆者は以下の通り解釈する。

1.「中国国内での運営過程で収集し発生する個人情報及び重要データ」とは何か？

▶　個人情報。
「サイバーセキュリティ法」及び「弁法草案」における個人情報の解釈によると、個人情報とは、デジタル又はその他方式により記録され、自然人の個人の身元を単独で又はその他の情報を踏まえた上で識別できる各種の情報を指し、自然人の氏名、生年月日、本人証明書番号、個人生体認証情報、住所、電話番号などを含むがこれらに限らない。また、「公民個人情報侵害刑事案件を取り扱う際の法律適用に係る若干の問題に関する最高人民裁判所、最高人民検察院による解釈」第一条にいう個人情報の範囲についての規定によれば、個人情報には、ID・パスワード、財産状況、足取りなどの情報が含まれる。

▶　重要データ。
「サイバーセキュリティ法」では規定しておらず、「弁法草案」では解釈はあるが、その内容はかなり曖昧である。「弁法草案」の係る解釈によると、重要データとは、国の安全、経済の発展、及び社会公共の利益と密接に関係するデータをいい、具体的な範囲は国の係る基準及び重要データ判別ガイドラインを参照すること、とされている。現在、当該規定は操作性に欠けており、中国の関係部門による係る基準の公表又は判別ガイドラインの更なる詳細化が必要とされる。

▶　中国国内での運営過程での収集及び発生。
「サイバーセキュリティ法」及び「弁法草案」のいずれも、これを明確にしていない。通常の理解によるならば、中国国内での経営活動により発生した個人情報及び重要データであれば、いずれも国外持ち出しの制限対象とするはずであり、また企業が中国国内での運営過程で獲得した上述のデータが含まれるだけでなく、企業が国境を越えるオペレーション行為により入手した上述データも含まれる。

2.「データの国外持ち出し」とは？

▶　データの国外持ち出しとは、国外にある機構、組織、個人に対し、企業がデータを提供する行為を言う。
「サイバーセキュリティ法」及び「弁法草案」によると、ネットワークを通じて国外にデータを提供する行為だけが制限をかけられ、その他の物理的記憶媒体など（例えば、サーバ、ハードディスクドライブ、USBメモリや紙面の資料など）の方式により国境を越えてデータ伝送を行う行為は、上述法規に制限される範囲に含まれない。（※1）

▶　次の要件に該当する情報は、国外に持ち出してはならないことは明白である。
一つは、個人情報の持ち主の同意を得ていない、又は個人の利益を侵害するおそれのある個人情報（なお、個人が国際電話での通話、国際電子メールの送信、国境を越えたネットショッピング及びその他個人での自発的な行為を通じて情報提供する場合は、個人情報の持ち主がすでに同意したものとみなす）であり、もう一つは、国外に持ち出すことで、中国の政治、経済、科学技術、国防などの安全にリスクをもたらし、国の安全に影響を及ぼし、社会公共の利益を損害するおそれのあるデータである。

■　データの保存及び国外への持ち出しはどのように行うべきか？

1.国内で保存。

規定によれば、企業が中国国内での運営過程で収集し、発生した個人情報及び重要データは、国内で保存しなければならない。通常の理解によれば、同規定は、事業者に対し前述の個人情報及び重要データを中国国内にあるサーバに保存するよう求めている。クラウドストレージを採用する企業は、中国国内にサーバを構えるクラウドサービス提供者を選定しなければならない。

2.セキュリティ評価。

規定によると、企業が業務上の必要から、国外にある機構、組織、個人に個人情報及び重要データを提供する必要がどうしてもある場合、セキュリティ評価を行わなければならないとされている。「弁法草案」を参照する場合、データのタイプ別に異なる主体がセキュリティ評価を行い、異なる手続きが適用される。本稿では、以下の通り簡潔に紹介する。

▶　一般的なデータの国外持ち出しであれば、企業は自らセキュリティ評価を手配し、評価結果について責任を負うだけでよい。

▶　「弁法草案」第九条の規定に合致する各種のデータ（例えば、50万人以上又は累計して50万人以上の個人情報を含むもの、データ量が1,000GBを超えるもの、重要情報インフラの脆弱性、セキュリティ保護などのネットワーク・セキュリティ情報が含まれるものなど）は、企業が業界主管部門又は監督管理部門に報告し、セキュリティ評価の手配を申請する必要がある。

▶　データの受け手が変更され、データを国外に持ち出す目的、範囲、数量、型などにやや大きな変化が生じ、データの受け手又は国外に持ち出すデータに重大なセキュリティ事件が発生した場合、企業はセキュリティ評価を速やかに改めて実施しなければならない。

▶　データの国外持ち出しの必要性がある企業は、業務の発展及びネットワークの運営状況を踏まえ、データの国外持ち出しについて、毎年、少なくとも1回はセキュリティ評価を行わなければならず、またそれと同時に、評価状況を速やかに業界主管部門又は監督管理部門に報告する必要がある。

■　推奨される措置

1.経営過程にて収集したデータを現地で保存する

上述規定の実施により、企業による経営活動の展開に影響が生じることが予想され、とりわけ外商投資企業にとってみれば、中国国内で収集したデータを日常的に国外の関連企業に伝送する必要があり、今後、このような企業は経営過程で収集した個人情報及び重要データを中国国内にあるサーバで保管するようにし、なるべく国外のサーバから隔てて取り扱い、余計な面倒が生じてしまうことがないように気をつけなればならない。

2.国外に個人情報を提供する場合、個人情報の持ち主の同意を得た上で行われなければならない

新規定が実施された後、企業が海外に個人情報を提供する際には、必ず個人情報の持ち主又はその後見人の同意を得なければならず、企業が上述規定に違反した場合、「サイバーセキュリティ法」違反により、係る行政責任を負うことになるおそれがある。また、企業が国外へ個人情報を伝送する際には、リスクマネジメントの意識を高め、個人情報に対しては、マスキング処理を極力行い、個人情報の安全が保障されるようにしておくことが望ましい。

3.従業員に対する内部監督管理を強化する

企業は、データを違法に国外へ伝送することにより、主管機関から警告、過料、営業停止・整頓、営業許可証の取り上げなどの処罰を受けるおそれがあり、従業員がデータを無断で違法に国外へ伝送するなどして、企業に悪影響がもたらされないよう、企業は、データの分類管理を実施し、それぞれ管理権限を設定し、従業員の職務履行、又はサービスの提供にあたり、法に依拠して個人情報又はその他重要データの獲得、利用、保存、国外への伝送方法について、具体的で実行可能な運用ガイドライン及び内部統制制度を制定し、従業員への研修や教育を強化し、不祥事を未然に防ぐようにしなければならない。

■　まとめ

「サイバーセキュリティ法」は、データ保存及び国境を越えるデータ伝送の基本的原則を確立するものであるが、具体的に実施するためには、「弁法草案」などの詳細化した規定が必要である。先頃パブリックコメントを募集していた「弁法草案」は、その規定が「サイバーセキュリティ法」よりも厳しく、ひいては、「サイバーセキュリティ法」で確立された基本的原則の枠をやや超えており、「上位の法に反する」疑いがあると言える。例えば、以下の通りである。

▶　「サイバーセキュリティ法」第三十七条によれば、「重要情報インフラの運営者」が行う国境を越えたデータ伝送だけを制限しており、すべてのインターネット運営者を制限対象としているわけではない。また、立法体系の観点からみると、「サイバーセキュリティ法」第三十七条を第三章「ネットワーク運用におけるセキュリティ」の「重要情報インフラの運行の安全」にもってきていることも、規制される主体が重要情報インフラの運営者に限られることを意味している。しかしながら、「弁法草案」では、対象を全てのインターネット運営者にまで拡大し、上位法の適用主体の範囲に対する制限を拡大した。

▶　「弁法草案」第九条では、セキュリティ評価を行う必要のある国境を越えて伝送されるデータを列挙しているが、同条規定に列挙されるデータの型は「サイバーセキュリティ法」で限定している範囲を逸脱してしまっているおそれがある。例えば、「50万人以上又は累計して50万人以上の個人情報を含むもの」又は「データ量が1,000GBを超えるもの」は、必ずしも「サイバーセキュリティ法」にいう「重要データ」と同様に扱うことができるとは限らない。

以上から、国境を越えるデータ伝送に関する関係規定が公表されるまでは、「サイバーセキュリティ法」第三十七条が企業の中国での経営にどこまで影響をもたらすのか、一定の不確実性がある。なお、筆者の推測では、正式に公布される関係規定は「弁法草案」よりも厳しい内容になることはないであろうと思われる。従って現時点では、企業は「弁法草案」を参考にしながら、予め長期的な計画を立てておくのがよいであろう。

（里兆法律事務所が2017年7月7日付で作成）

（※1）ただし、前述したその他の物理的記憶媒体を通じて、個人情報などのデータを国外に伝送する場合、「公民個人情報侵害刑事案件を取り扱う際の法律適用に係る若干の問題に関する最高人民裁判所、最高人民検察院による解釈」第三条の規定によると、「情報を収集される者の同意を得ずして、適法に収集した公民の個人情報を他人に提供する」行為は、「刑法」第二百五十三条の一に規定される個人情報侵害罪を構成する可能性があり、この点についても注意が必要である。