概要

個人情報保護法では、個人情報越境移転の規制について3つの経路を提供しているが、「安全評価」はその中で最も厳しい手段である。安全評価の付帯性規範として、「データ越境移転安全評価弁法」（「評価弁法」）は今年7月7日に正式に公布され、且つ今年の9月1日から正式に施行される。本稿では「評価弁法」に基づき、企業が関心を持つであろう安全評価及び個人情報の域外移転に関する問題についてQ&A形式で回答する。

主文

Q1：どのような場合に安全評価を申告しなければならないのか。

A1：主体という視点から見ると、重要情報インフラ事業者（「CIIO」）に該当する企業（データ処理者をいい、以下同じ）は安全評価を申告しなければならない。現在、CIIOは主管部門より認定され、且つ企業に対してその通知がなされる。企業がCIIO認定通知をまだ受けていない場合、ひとまず非CIIOとして取り扱うことができる。

越境データの種類に着眼すると、越境データにいずれかの重要データが含まれる場合、安全評価を申告しなければならない。重要データとは、ひとたび改ざん、破損、漏洩又は不正取得、不正利用等がなされた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全が脅かされるおそれのあるデータをいう。現在、国は「情報安全技術　重要データ識別規則」を制定しており、その後は各業界の主管部門、各地域ごとに本業界、本地域の重要データ目録が公布され、企業ははその時になってから、前記の識別規則と目録を踏まえて越境データが重要データに該当するかどうかを判断することができる。

取り扱われるデータの数量に着眼すると、①企業が100万人以上の個人情報を取り扱う場合（例えば、企業が100万人以上の個人情報を把握している等）、又は②前年の1月1日から累計10万人以上の個人情報又は1万人以上の機微な個人情報を域外に移転する場合、安全評価を申告しなければならない。

なお、ひとたび企業が上記の安全評価を申告しなければならない状況に合致した場合、「標準契約の締結」又は「個人情報保護認証の実施」という2通りの個人情報域外移転の経路について自ら選択することはできなくなることに注意したい。

Q2：安全評価は誰に対して申告するか。所要時間はどれくらいか。

A2：企業が所在する地域の省レベルのネットワーク情報部門を通じて申告しなければならない。省レベルのネットワーク情報部門は材料を受領してから5営業日以内に申告材料が完備されてるかどうかを審査する。審査を通過した場合、国家ネットワーク情報部門に送付して安全評価が行なわれ、国家ネットワーク情報部門は審査の過程で、状況に応じて、国務院の関連部門、省レベルのネットワーク情報部門、専門機関等と共同で安全評価を行う。国家ネットワーク情報部門は、申告資料を受領した日から7営業日以内に、受理するかどうかを決定し、且つ企業に書面にて通知を行う。

原則として、国家ネットワーク情報部門は書面による受理通知書を発行した日から45営業日以内に安全評価を完成させなければならない。状況が複雑である場合は、評価期間を適切に延長することができる。具体的にどれだけ延長するかは、国家ネットワーク情報部門が決め、具体的な基準はない。

したがって、安全評価をどれくらいで完成させることができるのか、企業側はコントロールすることはできない。

Q3：安全評価の申告にどのような書類を提出しなければならないか。

A3：まず、安全評価を申告する前に、企業はデータ越境リスクの自己評価を自ら行い、自己評価報告書を作成しなければならず、当該自己評価報告書はネットワーク情報部門に提出しなければならない。

次に、企業は域外受領者と法律文書（例えば、契約等）を締結し、双方のデータ保護責任を明確にしなければならない。当該法律文書も申告材料としてネットワーク情報部門に提出しなければならない。筆者の理解では、当該法律文書は企業が自ら作成することもでき、必ずしもネットワーク情報部門が公開したテンプレート（標準契約など）を採用しなければならないものではない。

また、企業は申告書を提出しなければならない。中国企業の国外上場時のサイバーセキュリティ審査を参照し、国家関係部門は「サイバーセキュリティ審査申告書」を制定した。筆者の理解では、ネットワーク情報部門は、企業が参考にできるよう、データ越境移転安全評価の申告書テンプレートを作成する可能性もあると思われる。

最後に、ネットワーク情報部門は企業に他の材料を提出するよう求める可能性もある。

Q4：安全評価では、どのような内容を評価するのか。

A4：主に以下の事項を評価する。

（1）データ越境移転の目的、範囲及び方法等の適法性、正当性、必要性。

（2）域外受領者の所在国又は地域のデータ安全保護政策及び法規並びにネットワーク安全環境が越境移転データの安全に及ぼす影響、域外受領者のデータ保護水準が中国の法律、行政法規の規定及び強制的な国家基準の要求を満たしているか。

（3）越境移転データの規模、範囲、種類、機微性の度合、越境移転過程及び越境移転後にデータの改ざん、破損、漏洩、紛失、転送又は不正取得、不正使用等が行われるリスク。

（4）データセキュリティおよび個人情報の権益が完全かつ有効に保障されるか。

（5）データ処理者と域外受領者との間で締結した法律文書において、データ安全保護に関する責任義務が十分に取り決められているか。

（6）中国の法律、行政法規、部門規則の遵守。

（7）国家ネットワーク情報部門が評価する必要があると判断したその他の事項。

Q5：安全評価を通らなかった場合はどうしたらよいか。

A5：安全評価が通らなかった場合、データの域外移転はできない。もしも企業が国家ネットワーク情報部門の評価結果について異議がある場合、評価結果の受領後15 営業日以内に国家ネットワーク情報部門に再評価を申告することができ、再審査結果が最終結論となる。

Q6：評価の有効期間はどのくらいか。

A6：データ越境移転安全評価を通過した結果の有効期間は2年間であり、評価結果が発行された日から計算する。有効期間内において、企業は評価結果の中で明確にされたデータ範囲、方式、目的などに基づいて、域外にデータを移転することができる。有効期間内において、データの取扱いに重大な変更が発生した場合（例えば、データ越境移転の目的、範囲、方式などの変更により越境移転データの安全に影響が及んだ場合）、企業は評価を再申告しなければならない。

Q7：域外から域内に保存されている個人情報にリモートでアクセスすることは、個人情報の域外移転に該当するか。

A7：該当する。

企業が収集、生成したデータが域内に保存され、域外の機関、組織、又は個人がこれにアクセスし又は調達使用することは、個人情報の域外移転に該当する。

Q8：中国の香港、マカオ、台湾地区に個人情報を移転させることは、個人情報の域外移転に該当するか。

A8：該当する。

筆者の理解では、域外とは、中国香港、マカオ及び台湾地区が含まれ、香港、マカオ及び台湾地区の個人情報保護の要求は中国大陸とは一致しているとは限らない。そのため、一定の前置条件（例えば、安全評価、標準契約の締結、個人情報保護認証の実施）を設定することにより、香港、マカオ、台湾地区の受領者には、中国大陸法下で同等の保護を提供させなければならない。

同時に、「中華人民共和国出入国管理法」第89条では、「越境」を定義しており、越境とは、中国内地からその他の国若しくは地域に赴くこと、中国内地から香港特別行政区、マカオ特別行政区に赴くこと、中国大陸から台湾地区に赴くことを指す、としている。これは、域外には、中国の香港、マカオ、台湾地区が含まれていることを間接的に証明している。

終わりに

このところ、個人情報の越境移転に関する法規が公布されるスピードは著しく早まり、個人情報保護認証に関する「個人情報の越境移転取扱いの安全認証規範」は今年6月下旬に正式に公布され、標準契約に関する「個人情報越境標準契約規定（意見募集稿）」も6月末に公布された。大方の企業は安全評価を行わなければならない程度には達していないかもしれないが、安全評価が必要ないということは、個人情報域外移転のための他の前置条件を履行しなくてもよいということにはならない。現段階では、企業は域外の第三方に個人情報を移転する状況を整理し、その後は安全評価、標準契約の締結、個人情報保護認証の実施に備えなければならない。同時に、域外受領者と事前に意思疎通をしっかりと行い、中国のデータ越境移転監督管理制度が間もなく正式に施行されることを相手方に伝え、急場に臨んで手遅れとなってしまわぬよう、標準契約の締結、個人情報保護認証の実施、安全評価の申告の実行可能性を共同で検討しておかなければならない。

（作者: 里兆法律事務所  丁志龍、陳暁鳴）