概要

データのやり取りは、多国籍企業を正常に運営していくうえでの重要な条件であるが、あまりにも自由すぎるやり取りは、データのセキュリティ上、潜在的なリスクをもたらすことがある。この点、中国では「サイバーセキュリティ法」が、国境を越えるデータ伝送について原則的な規定を行っており、重要情報インフラ運営者（「CIIO」）に対し、当地での保存及びセキュリティ評価を求めている。「個人情報及び重要データの域外持ち出しセキュリティ評価弁法」においては、法令遵守義務者がCIIOからインターネット運営者にまで拡大されており、多くの在中国外資企業に影響することは必至である。

本文

■データの国境を越える伝送に関する中国の法規制体系

データに関する中国での現行の遵法体制は「サイバーセキュリティ法」をベースに構築されたものであるが、「サイバーセキュリティ法」の漠然とした規定だけでは法令執行の実務面で不都合がある。これについて、国の関連部門が相前後して、「個人情報及び重要データの域外持出セキュリティ評価弁法（意見募集案）」（「評価弁法」）及び「データ域外持出セキュリティ評価ガイドライン（意見募集案）」（「ガイドライン」）を公表した。よって、企業は、「サイバーセキュリティ法」に基づく国境を越えるデータ伝送に関する要求に従うほか、これから公表され、発効されるであろう「サイバーセキュリティ法」関連法規にも引き続き注意を払っていかなければならない。

■法規制の対象となるものは？

「サイバーセキュリティ法」も、「評価弁法」及び「ガイドライン」も、規制対象はいずれも個人情報及び重要データである。「個人情報の保護に関する法律に違反してはいませんか？——『個人情報セキュリティ規範』に関するFAQ」では、個人情報の範囲及びよくある事例を詳しく解説した。重要データは、つねに国の安全、経済発展及び社会の公共利益と緊密にかかわるものである。「ガイドライン」付録A-重要データ識別ガイドラインでは、重要データの分類及び主管部門について詳しく例を挙げており、企業はこの識別ガイドラインを参照しながら係るデータが重要データに該当するどうかかを判断することができる。また、地図データ、人口・健康情報、個人金融情報などのように一部の業界におけるデータは、すでに個々の関連法規で域外への持出が明確に禁止されている。

■法令遵守義務者となるのは誰か？

「評価弁法」では、法令遵守義務者が「インターネット運営者」にまで拡大されているほか、「～に準じて実施する」との要求も提起しているため、如何なる形態の企業も「評価弁法」における法令遵守義務者になり得る。「評価弁法」がひとたび発効すれば、それが企業にとってのコンプライアンス上の大きなプレッシャーとなることは間違いない。

■CIIOとは誰か？

現時点で、「重要情報インフラ識別ガイドライン」はまだ制定段階にあり、また、現行の法律法規におけるCIIOの定義は広範すぎて、はっきりしない。しかしながら、一部重要業界の運営者（例えば、金融機構）はCIIOに該当することがすでに確定している。現在、企業は自身の特徴を踏まえ、以下の基準を参考にし、自身がCIIOに該当するかどうかを判断するとよい。

後編に続く