概要

 「個人情報保護法」では、国境を越える個人情報の取扱いの監督管理について3つの手段を定めている。その中で、個人情報保護認証の実施は、企業が非常に注目している手段（「認証手段」）である。認証手段の関連規範として、2022年6月下旬に公布された「国境を越える個人情報取扱認証技術規範」（「認証規範」）は、国境を越える個人情報の取扱いに対する認証（「認証」）の実施に関するガイドラインである。本文では「認証規範」に基づき、企業が関心を払っていると思われる認証に関する事項についてQ&A形式で解説する。

本文

Q1：認証の適用範囲はどうなっているか？誰が認証を申請すべきか？

 A 1：認証は、主に以下の2通りの国境を越える個人情報の取扱いに適用される。

（1）関連企業間での国境を越える個人情報の取扱い

具体的には、多国籍会社又は同一経済、事業体の傘下子会社又は関連会社間の国境を越える個人情報の取扱い（例えば、中国域内に設立された外商投資企業が収集した中国域内の自然人の個人情報を、国境を越えて中国域外の親会社又は関連会社に提供する等）を指す。この場合、域内の実体（例えば、前述の「中国域内に設立された外商投資企業」）が認証を申請することができる。

（2）域外の実体が中国域内の個人情報を直接に取扱うもの

具体的には、「個人情報保護法」第3条第2項に規定された中国域外の個人情報取扱者が域外において域内の自然人の個人情報を取扱うこと（例えば、中国域外の会社は中国域内の自然人に製品又はサービスを提供することを目的として、中国域内の個人消費者の個人情報を収集し、中国域外において保存し、使用する等）を指す。この場合、中国域外の個人情報取扱者が中国域内に設立した専門機構又は指定された代表者が認証を申請することができる。

Q 2：認証は強制的なものなのか？

A 2：「認証規範」は、認証が国が推奨する自由参加認証であることを明確にし、条件に合致する国境を越えた個人情報取扱の関係者が自ら認証を申請することを奨励するものであり、すなわち、認証は強制的なものではない。しかし、認証手段を選択しない場合は、ほかの2つの手段（すなわち、国家インターネット情報部門が制定した標準契約を締結し、又は国家インターネット情報部門に個人情報域外移転安全評価の実施を申請する）のいずれかを選択しなければならない。

Q 3：認証の申請にはどのような準備が必要となるのか？

 A 3：「認証規範」によると、国境を越える個人情報の取扱いに参与する関係者（個人情報取扱者と域外受領者を含む）は、組織管理、個人情報保護の影響評価、契約の締結、規則の制定という4つの方面から認証の準備を行う必要がある。

認証の要求	主な内容
組織管理	国境を越える個人情報の取扱いに参与する関係者は、個人情報保護機構を設立し、且つ個人情報保護責任者を指定する必要がある。   その中で、個人情報保護機構は、主に以下の職能を発揮する。 a)法に基づいて国境を越える個人情報の取扱いに関する計画を制定し、実施する。 b) 個人情報保護の影響評価を実施する。 c) 本組織機構が個人情報取扱規則に従い、国境を越えた個人情報の取扱いを監督する。 d) 個人情報主体の要求及びクレームを受理し、対処する。   個人情報保護責任者は、主に以下の職能を発揮する。 a) 個人情報保護作業の主要目標、基本要求、作業任務、保護措置を明確にする。 b) 本組織機構の個人情報保護作業に人的、経済的、物的保障を提供し、利用可能な必要資源を確保する。 c) 関係者が本組織機構の個人情報保護作業を実施するうえで指導し、支援し、個人情報保護作業が所期の目標を達成できるよう保障する。 d) 本組織機構の主要責任者に個人情報保護作業の状況を報告し、個人情報保護作業の持続的な改善を推進する。
個人情報保護の影響評価	国境を越える個人情報の取扱いに参与する関係者は、国境を越える個人情報の取扱いについて、個人情報保護の影響評価を実施しなければならない。
規則の制定	国境を越える個人情報の取扱いに参与する関係者は、国境を越える個人情報取扱規則を制定し、当該規則の遵守を持続しなければならず、その規則には少なくとも以下の事項が含まれていなければならない。 a) 国境を越える個人情報の取扱いの基本状況（個人情報の数量、範囲、種類、機微度などを含む）。 b) 国境を越えて個人情報を取扱う目的、方法、範囲。 c) 個人情報の域外保存の開始時期と終了時期及び期限満了後の取扱い方法。 d) 国境を越えて個人情報を取扱う際に経由する国又は地域。 e) 個人情報主体の権益（例えば、個人からの個人情報の照会、複製、訂正の要請）を保障するために必要な資源及び講じる措置。 f)  個人情報安全性事件（例えば、個人情報の漏洩、改竄、不正アクセスなど）の賠償、対処規則。
契約の締結	国境を越える個人情報の取扱いに参与する関係者は、契約又は類似文書を締結しなければならない。契約又は類似文書は少なくとも以下の内容を明確にしなければならない。 a) 国境を越えて個人情報を取扱うことになる関係者。 b) 国境を越えて個人情報を取扱う目的及び個人情報の類別、範囲。 c) 個人情報主体の権益保護措置。 d) 域外受領者は、同一の個人情報取扱規則を承諾及び遵守し、かつ個人情報保護水準が中国の個人情報保護に関する法律、行政法規に規定された基準を下回らないよう確保する。 e) 域外受領者は認証機関の監督を受けることを承諾する。 f)  域外受領者は中国の個人情報保護に関する法律、行政法規の管轄を受けることを承諾する。 g) 中国域内で法的責任を負う組織機構を明確にする。 h) その他遵守すべき法律、行政法規に規定された義務。

Q 4：誰に認証を申請すべきか？

 A 4：「認証規範」では認証の受理機関を明確にしていないが、「認証規範」では技術支援組織が中国インターネットセキュリティ審査技術認証センターであることを明確にしている。当該認証センターが認証の受理機関となる可能性があるものと筆者は推測する。

Q 5：認証の流れはどのようになっているか？認証にはどのくらいの時間を要するか？認証は有料なのか？

 A 5：「認証規範」では、認証を申請する企業がどのような準備をする必要があるかについて多く言及されており、認証の流れと認証の所要時間はまだ明確にしていない。「個人情報保護法」の規定によると、認証の具体的な規定は国家インターネット情報部門が制定することになっている。これにより、認証の流れと所要時間は国家インターネット情報部門の後続規定を待たなければならない。

「サイバーセキュリティ法」におけるサイバーセキュリティ等級保護評価と同様に、筆者の理解では、認証は有料であり、具体的な料金基準は、認証機関が後続で明確にするものと考える。

終わりに

「認証規範」では認証の適用範囲、認証の性質、認証申請に必要な準備を明確にしているが、認証の受理機関、認証の流れ、所要時間と費用などはまだ明確になっていない。そのため、短期間のうちに企業が認証をもって、国境を越える個人情報取扱いの手段として選択するのはあまり現実的ではないと言え、企業は認証の関連法規の制定状況に関心を払うようにするとよい。

（作者：里兆法律事務所 丁志龍 陳暁鳴）