概要

データのグローバル化を背景に、多国籍企業が海外で事業を展開する過程においては、どうしても各国のデータ法規の監督管理を受けることになる。本稿では、中国が最近公布したかかるデータ監督管理法規に基づき、中国進出企業（即ち、中国国外の投資家が中国国内で投資し、設立した企業）の視点から、中国の国家安全及びデータコンプライアンス常態化の背景の下で、中国進出企業が直面する個人情報の越境伝送リスクを論理的にまとめ、総括し、順法の視点からコメントを提供する。

 本文

 現在、中国では、「データセキュリティ法」、「サイバーセキュリティ法」、「個人情報保護法」という三大法律に基づいたデータ監督管理システムがすでに形成されている。この三大基礎法律をさらに貫徹し、データ法律及び企業データ管理の実践への橋渡し機能を構築するために、中国は一連の附帯法規の制定に着手している。例えば、国家インターネット情報弁公室は、2021年10月29日に「データ国外移転セキュリティ評価弁法（意見募集案）」（以下、「弁法」という）を公表し、2021年11月14日には「ネットワークデータセキュリティ管理条例（意見募集案）」（以下「条例」という）を公表した。上述の法規はいずれもデータの越境伝送について相応の規定を設けているが、中国進出企業は、親会社又は一部の業務が国外にあることから、日常業務においてデータの越境伝送問題は避けて通ることはできず、重点的に関心を払わねばならない。

なお、監督管理対象となるデータの種類から言えば、中国において現在、重点監督対象となり、中国進出企業に関係してくるものは、個人情報及び重要データの越境伝送であると思われる。「条例」等の規定によれば、重要データとは、ひとたび改ざん、破壊、漏洩され、又は不法に取得、不法に利用された場合に国の安全、公共利益を脅かし得るデータをいう。重要データの具体的な範囲は、国、地域、業種ごとの目録において具体的に定められる。現在、かかる目録はまだ作成段階にあり、一定の不確実性が存在しているが、個人情報の関連規定は現在、相対的に明確になってきていることから、本稿では、個人情報の越境伝送に着眼する。

■　個人情報の越境伝送の考えられ得る状況の紹介

個人情報の越境伝送とは、通常、中国国内で収集、形成された個人情報を国外の機構、組織、個人に提供する行為を指す。実務取扱においてよく見られるのは、主に次の2つの状況である。

（1）中国進出企業が経営業務上の必要から、国外の第三者（国外の親会社及び関連会社を含む）に個人情報を提供するもの。

（2）中国進出企業が内部管理（人的資源の一元化管理等）上の必要から、国外の第三者（通常、国外の親会社、関連会社又はグループ内で共用している第三者サービス機構）に中国国内の個人情報を提供するもの。

当然ながら、やや特別なケースもいくつかあり、それは例えば、「国外保存」といった状況などである。具体的には、中国進出企業は、自己が国内で収集した個人情報を、海外のIT企業から提供されるクラウドサービス（AmazonのAWSやマイクロソフトのOffice 365海外版）を利用して保存を行うが、これらのクラウドサービスのサーバーは海外にある。

なお、上記の状況は、中国進出企業が自ら進んで開始した越境伝送であるが、実際には、場合によっては受け身的に行われる国外向け伝送行為もここにいう「越境伝送」に該当することがある。例えば、中国進出企業は個人情報を中国国内に保存しているが、海外の第三者（特に海外の親会社や関連会社）が中国国内に保存されている個人情報にリモートでアクセスすることを認める等である。

■　個人情報の越境伝送に関する主な規制

 「個人情報保護法」では、個人情報の越境伝送について一定の規制を行っている。具体的には、少なくとも次のいずれか1つの前提条件[i]を満たしていなければならない。

（1）インターネット情報部門が実施するセキュリティ評価を通過しなければならない。

（2）専門機構による個人情報保護認証を経なければならない

（3）インターネット情報部門が公表する標準契約を国外受領者と締結しなければならない。

まず、注意すべきこととして、セキュリティ評価及び個人情報保護認証は、中国進出企業が独自に行う自己評価や自己認証ではなく、国家インターネット情報弁公室の要求に適合しなければならない。セキュリティ評価については、先頃国家インターネット情報弁公室が公布した「弁法」で、一定のガイドラインを示しており、今後の立法の進捗に注目する必要がある。個人情報保護認証については、現在、国家インターネット情報弁公室はかかる政策・ガイドライン等をまだ公布しておらず、引き続き注意を払う必要がある。

次に、「弁法」第4条において、インターネット情報弁公室のセキュリティ評価を必要とする4とおりの越境伝送のパターン^[ii]が規定されているが、個人情報については、次の2点に注目すべきである。

（1）主体の視点から：個人情報の取り扱い総量が100万人に達する企業が国外に個人情報を伝送する際には、セキュリティ評価を実施しなければならない。つまり、実際に国外に伝送される個人情報の具体的な数とは関係なく、中国進出企業が100万人以上の個人情報を保有している場合には越境伝送行為が発生した時点でセキュリティ評価が必要になる。

（2）越境伝送：企業が累計で国外に伝送した個人情報の数が10万人以上、又は機微な個人情報の数が1万人以上に達した場合、国外へ個人情報を伝送する際に、セキュリティ評価が必要となる。つまり、受領者及び提供者の主体の類型とは関係なく、実際に国外に伝送される個人情報の種類及び数量に注目することになる。

全体的に見てみると、中国進出企業にとっては、セキュリティ評価にしても、認証にしても、相対的に複雑になってくるはずであるため、法律で認められる範囲内で、国外受領者と標準契約を締結する方法を採用したほうが一層便利である。現在、国家インターネット情報弁公室は、まだ相応の標準契約書式を公表していないが、「弁法」では、個人情報境伝送契約の主な内容^[iii]についても一定の規定を行っており、事前にそれを把握しておくとよい。

■　個人情報越境伝送に関するその他の注意点

（1）了知及び個別同意の要求

「個人情報保護法」の要求によれば、国外に個人情報を提供する場合、個人情報主体に対して国外受領者の名称又は氏名、連絡先、取扱目的、取扱方法及び取り扱う個人情報の種類、個人が境外受領者に対し法律・法規に定める権利を行使する方式及び手順等を告知し、且つ個人情報主体の個別の同意を得なければならないとされている。

「条例」では、初めて「個別の同意」について定義を行っており、即ち、「個別の同意」とは、データ取扱者が具体的なデータ取扱活動を行う際に、個人情報ごとに個人の同意を得ることを指す（複数の個人情報、複数の取扱活動に対する一括同意は含まない）。当該要求を厳格に解釈したならば、現在よく見られる複数の個人情報を国外に向けて伝送することについて一括して同意を得るのではなく、中国進出企業は1件1件の個人情報について国外に向けて伝送する際に、都度、個人情報主体の同意を得なければならない可能性があり、これは、中国進出企業にとって大きなコンプライアンス上の負担となる。もちろん現在、「条例」はまだ意見募集案であるため、正式案では、個別の同意に関する要求が緩和される可能性もあり得る。

（2）現地保存に関する要求

「個人情報保護法」によれば、「重要情報インフラストラクチャーの運営者及び個人情報の取扱数量が所定の数量以上に達した個人情報取扱者は、個人情報を中国国内で保存しなければならない。どうしても国外に提供する必要がある場合には、インターネット情報部門のセキュリティ評価を経なければならない。」とされている。

筆者の認識としては、上述の個人情報現地保存の判断における数量基準は、おそらく「弁法」における個人情報の国外向け伝送セキュリティ評価の数量基準と一致しているものと考える。つまり、中国進出企業が取り扱う個人情報の総量が100万人に達した、又は中国進出企業が国外に伝送する個人情報の数量が10万人を超えた、又は機微な個人情報の数量が1万人を超えた場合、まずは中国国内において個人情報を保存することが要求される。

（3）自己評価及び取扱記録に関する要求

「個人情報保護法」によれば、国外へ個人情報を伝送する前に、個人情報保護影響評価を行い、且つ取扱状況について記録を行わなければならないとされている。評価の内容には、個人情報の取扱目的、取扱方式等が適法、正当、必要であるか、個人権益への影響及びセキュリティリスク、講じる保護措置が適法、有効であり、且つリスクの度合と釣り合っているか等が含まれることになる。評価を経た後は、企業が国外に個人情報を伝送する際に、越境伝送の状況を記録しなければならない。評価報告及び記録は、少なくとも3年間は保存しなければならない。従って、中国進出企業が個人情報の越境伝送を行う場合も、上述の要求を満たす必要がある。

（4）セキュリティ報告書の作成要求

「条例」は、「個人情報保護法」をベースにして、国外向け伝送セキュリティ報告書の作成要求を新規追加し、データの国外向け伝送に対する動態監督管理を強化した。企業は、毎年1月31日までにデータの国外向け伝送に関するセキュリティ報告書を作成し、前年度において企業が国外に提供した個人情報の状況[iv]を市級インターネット情報部門に報告しなければならないと定めている。もし条例が可決されれば、中国進出企業が個人情報の越境伝送を行う際にも、同様に当該要求を満たさなければならないことになる。

■　外国事業体が中国国外において中国国内の個人情報を直接収集し、取り扱うことについての説明

表面的に見た場合、個人情報の越境伝送とやや相似しているのは、外国事業体（例えば、中国進出企業の国外にある親会社や関連会社）が国内にいる自然人の個人情報を直接収集するケースである（同様に、「個人情報」が中国国内から中国国外に流れる事実を伴う）。

しかし、外国事業体が直接に国内の自然人の個人情報を収集することと、個人情報の越境伝送とでは大きな違いがあり、前者の情報の提供主体は個人情報主体であるが、後者は、個人情報を取り扱う主体（個人情報取扱者）である。

なお、「個人情報保護法」によれば、外国事業体が国内自然人に対し製品やサービスを提供したり、国内の自然人の行為を分析・評価したりする過程において個人情報を取り扱う場合、外国事業体も国内の個人情報取扱主体と同様に、「個人情報保護法」の規制を受けることになる（いわゆる「域外適用」である）。

■　中国進出企業に対するデータコンプライアンスに関するアドバイス

中国におけるデータコンプライアンスシステムが絶えず整備されている現段階において、中国進出企業は中国でビジネスを展開するには、必然的にデータコンプライアンスのより大きな試練に直面することになり、中国のデータ越境伝送に関する各種の法律規制に注目していく必要がある。個人情報の越境伝送については、中国進出企業の参考に資するため、以下のとおり助言を行う。

1. 中国進出企業が中国国外に個人情報を伝送することになる様々なケースをまとめておくようにする。
2. セキュリティ評価及び現地保存基準を見比べてみて、中国進出企業がこれらの基準の適用対象に該当するかどうかを判断する。もしもこれらの基準の適用対象に該当している場合には、中国進出企業は、セキュリティ評価の関連規定に重点的に注目し、事前にセキュリティ評価の準備をしっかりと行っておかなければならない。もしもこれらの基準の適用対象に該当していないならば、中国進出企業は、標準契約、個人情報保護認証の係る立法作業の進捗に注意を払うようにし、速やかに措置を講じて、個人情報越境伝送の前置条件を満たすようにしておく。
3. 個人情報越境伝送の状況について個人情報保護評価を行い、越境伝送の状況を遅滞なく記録していく。

（作者：里兆法律事務所  丁志龍、陳暁鳴）

 

[i] 「個人情報保護法」第38条：個人情報取扱者は、業務上の必要性から、中華人民共和国国外に個人情報を提供する必要がある場合は、以下のいずれかの条件に該当する必要がある。

（一）本法第四十条の規定に基づき、国家インターネット情報部門が組織するセキュリティ評価に合格すること。

（二）国家インターネット情報部門の規定に従い、専門機構による個人情報保護認証を経ること。

（三）国家インターネット情報部門が制定した標準契約に従い、国外の受領者と契約を締結し、両当事者の権利と義務を規定すること。

（四）法律、行政法規、又は国家インターネット情報部門によって規定されたその他の条件。

中華人民共和国が締結した又は参加している国際条約、協定において、中華人民共和国国外への提供個人情報の提供条件等に関する定めがある場合には、その規定に従うことができる。個人情報取扱者は、国外受領者の处理個人情報取扱活動が本法に定める個人情報保護基準に達することを保障するために、必要な措置を講じなければならない。

[ii] 第四条 データ取扱者が国外にデータを提供し、次のいずれかの状況に該当する場合には、所在地の省級インターネット情報部門を通じて、国家インターネット情報部門にデータの国外向け伝送セキュリティ評価を申告しなければならない。

（一）重要情報インフラストラクチャーの運営者が収集し、発生した個人情報お及び重要データ。

（二）越境伝送の対象データには、重要データが含まれる場合。

（三）個人情報の取扱数量が100万人に達した個人情報取扱者が国外に個人情報を提供する場合。

（四）国外に提供した個人情報の数量が累計で10万人以上に達した、又は国外に提供した機微な個人情報の数量が1万人以上に達した場合。

（五）国家インターネット情報部門が規定しているその他のデータの国外向け伝送セキュリティ評価の申告が必要な場合。

[iii] 「データ国外移転セキュリティ評価弁法（意見募集案）」第9条：データ取扱者と国外受領者が締結した契約では、データセキュリティ保護責任義務を十分に約束しなければならない。それには、以下の内容が含まれるが、それらに限定されない。

（一）データの国外向け伝送の目的、方式及びデータの範囲、国外受領者のデータ取扱の用途、方式等。

（二）データの国外における保存場所、保存期間、及び保存期間の満了、約定された目的の達成、又は契約終了後に国外に伝送されたデータの取扱措置。

（三）国外受領者が国外に伝送されたデータをその他の組織、個人に再移転することを制限するための拘束条項。

（四）国外受領者が実際の支配権又は経営範囲に実質的な変化が発生した、又は所在国や地域の法律環境が変化し、データのセキュリティを保障することが困難になった場合、講じるべき安全措置。

（五）データセキュリティ保護義務に違反した場合の違約責任及び拘束力があり、且つ執行可能な紛争解決条項。

（六）データ漏洩などのリスクが発生した場合には、適切な緊急対処を行い、個人情報権益を円滑に守ることができるルートを保障する。

[iv] 「ネットワークデータセキュリティ管理条例（意見募集案）」第40条：国外に個人情報及び重要データを提供するデータ取扱者は、毎年1月31日までに、データの国外向け伝送セキュリティ報告書を作成し、区を設けた市級インターネット情報部門に前年度における以下のデータの国外への伝送状況を報告しなければならない。

（一）すべてのデータ受領者の名称、連絡先。

（二）国外へ伝送するデータの類型、数量及び目的。

（三）データの国外での保存場所、保存期間、使用範囲及び方式。

（四）国外へのデータ提供に関するユーザーの苦情申立て及び取扱状況。

（五）発生したデータセキュリティ事件及びその対処状況。

（六）データの国外向け伝送後の再移転の場合。

（七）国外へのデータ提供の際に報告しなければならないと国家インターネット情報部門が明確に定めるその他の事項。