概要

2023年2月、国家インターネット情報弁公室は正式版「個人情報越境伝送標準契約」（「標準契約」）を対外的に公布した。外資企業について見た場合、国内子会社は通常、人事管理の必要から従業員の個人情報を国外の関連会社に提供する必要があり、又は業務管理の必要から国内提携先の連絡担当者の個人情報を国外に提供する必要があり、これらのケースについて標準契約を締結する必要があると思われる。以下Q&Aの形式をもって、標準契約の応用及び注意点について、指摘し、説明する。

本文

 Q1：標準契約はどのような企業に適用されるのか？

 A1：国内企業が以下の4つの条件を同時に満たす場合、国内企業は国外に個人情報を提供するケースについて、国外の受け手と標準契約を締結することができる。

（1）国内企業が重要情報インフラ事業者ではないこと。
（2）国内企業が取扱う個人情報が100万人分に満たないこと。
（3）前年の1月1日から起算し、国外に提供する個人情報が累計10万人分に満たないこと。
（4）前年の1月1日から起算し、国外に提供する機微な個人情報が累計1万人分に満たないこと。

第（1）項の条件について、重要情報インフラ事業者は、主に公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術工業などの重要な業界と分野に位置している。重要情報インフラ事業者は、一旦破壊され、機能を失い、又はデータが漏洩すると、国家の安全、国家の経済と人々の暮らし、公共の利益に深刻な危害を及ぼし得るという特徴を有しており、ほとんどの外資企業は重要情報インフラ事業者には属していない。

第（2）項乃至第（4）項の条件は主に一部の大手B2C企業（例えば、中国のインターネット会社、大手多国籍消費財企業など）を対象としている。これらの企業はすでに100万人分以上の中国人ユーザーの個人情報を保有している可能性があり、あるいは前年の1月1日から累計10万人分の個人情報や1万人分の機微な個人情報を国外に提供しており、標準契約を選択することはできずに、個人情報の越境伝送について国家インターネット情報部門に安全評価を申告しなければならない。

このことから、標準契約は主にB2B企業、あるいはいくつかの小型B2C企業に適用され、これらの企業が取扱う個人情報の数は限りがあり、国外に提供する個人情報の数も特別に多いものではない。

 

Q2：標準契約の締結は強制的な義務なのか？

A2：上記標準契約の適用条件を満たす国内企業は、国外に個人情報を提供するうえで、国外の受け手と標準契約を締結することを選択する以外に、一般的には個人情報保護認証の方法を通して国外に個人情報を提供することもできる。

とはいえ、個人情報保護認証のプロセスはかなり煩雑であり、時間もかかり、企業は認証機関に認証費用を支払う必要もある。それに比べると、標準契約を利用する方が簡便であり、政府部門に費用を支払う必要もないため、企業が国外に個人情報を提供するうえでの第一候補である。

標準契約の適用条件を満たす企業が標準契約に締結しておらず、個人情報保護認証も行っていない場合、国外に個人情報を提供することは違法行為となってしまい、インターネット情報部門は「個人情報保護法」に依拠して罰金を科し、違法所得を没収することができる。

 

Q3：遅くともいつまでに標準契約の締結を完成させておかなければならないか？

 A3：標準契約制度は2023年6月1日から正式に施行される。企業は締結後の標準契約をインターネット情報部門に届け出る必要がある。インターネット情報部門は企業に6か月の猶予期間を与えていることから、企業は遅くとも2023年11月30日までに標準契約の締結と届出を完成させておかねばならない。

 

Q4：届出にはどのような資料を提出する必要があるか？

 A4：締結後の標準契約及び個人情報保護影響評価報告を提出する必要がある。届出を実際に手続きする際には、いくつかの手続上の書類を提出する必要があり、それは例えば、申請書、委任状、営業許可証のコピー等である。筆者の理解では、今後、インターネット情報部門が具体的な届出のガイドラインを公布し、そこで届出の流れ及び必要書類について詳細に紹介されるはずである。

 

Q5：個人情報保護影響評価報告とは何か？

 A5：企業が個人情報の越境伝送の状況について、個人情報保護影響評価を実施し、個人情報の越境伝送のリスク及び個人の権益にもたらす影響を評価し、且つ評価報告を形成しておく必要がある。評価報告は標準契約届出に必須の資料である。筆者の推測では、インターネット情報部門は今後、企業の参考に資するため、評価報告の見本書式を公布するであろうと思われる。評価報告には、以下の内容が含まれていなければならない。

（1）個人情報取扱者及び国外の受け手が個人情報を取扱う目的、範囲、方式等の適法性、正当性、必要性。
（2）越境伝送する個人情報の規模、範囲、種類、機微度、個人情報の越境伝送により個人情報の権益にもたらし得るリスク。
（3）国外の受け手が負うことを承諾する義務、及び義務を履行する管理及び技術的措置、能力等が越境伝送する個人情報の安全を保障できるかどうか。
（4）個人情報の越境伝送後に改ざん、破壊、漏洩、紛失、不正利用等に遭うリスク、個人情報権益保護のチャネルに障害がないかどうかなど。
（5）国外の受け手の所在する国又は地区の個人情報保護政策及び法規が標準契約の履行に与える影響。
（6）個人情報の影響伝送の安全に影響し得るその他の事項。

 

Q6：届出の有効期間はどれくらいか？

 A6：現時点では届け出の有効期間は明確にされていない。筆者の理解では、届出の有効期間は、個人情報の越境伝送後における国外での保存期間と関係がある。もしも個人情報の国外での保存期間を延長する場合、改めて届出を行わなければならない。

また、もしも国外に個人情報を提供する目的、範囲、種類、機微度、方法、保存場所又は国外の受け手の個人情報取扱の用途、方式に変化が生じ、又は国外の受け手の所在する国又は地区の個人情報保護政策及び法規に変更が生じたこと等により個人情報の権益に影響し得る場合も、改めて届出をし直さなければならない。

とりわけ説明すべきは、日常的な個人情報の越境伝送行為について、その都度、届出を行う必要があるわけではない。日常的な個人情報の越境伝送ケースについての届出が完了した後、その届出した範囲内でその後に個人情報の越境伝送を行う場合、改めて届出を行う必要はない。例を挙げるならば、会社が人的資源管理の目的で本社に個人情報を提供するケースについてすでに届出済みであるならば、その後は本社に従業員個人情報を提供する状況が届出範囲を超えていない限り（取扱目的、取扱方式、提供する個人情報の種類、国外での保存期間、国外での保存場所等に変化が生じないことなど）、通常、改めて届出を行う必要はない。

 

Q7：現段階では、国内企業は何をしなければならないか？

 A7：筆者の認識では、現段階では以下の準備作業に着手できる。

• 国外の受け手に個人情報を提供する状況について調査を行っておき（例えば、国外に個人情報を提供する目的、数量、種類、国外での個人情報保存場所と保存期間など）、今後、標準契約を迅速に記入できるようにしておく。
• 国外の受け手と標準契約の締結について前もってしっかりと話し合っておく。正式版標準契約を国外の受け手に送付し、双方は標準契約の内容を遵守できるかどうか、ほかにどのような準備が必要となるかを判断する。
• 国外の受け手と、個人情報についてどのような保護措置を講じることになるかを確認しておく。保護措置は、標準契約及び個人情報保護影響評価のどちらにもかかわってくる内容であり、個人情報の安全を保障するための有効な手段でもある。したがって、まずは、国外の受け手と個人情報保護の制度があるかどうか、暗号化措置を講じることになるかどうか、個人情報に接触する者に研修を実施するかどうか、個人情報の漏洩に対処するための事前対策及びフローがあるかどうか、国外の受け手の所在する国にどのような個人情報保護の法律があり、所在する国に個人情報保護監督管理機構があるかどうか、所在する国は個人情報保護の地域性又はグローバルな個人情報保護組織に加入しているかどうかを確認しておくとよい。

 

終わりに

 中国の標準契約制度は間もなく実施され、中国企業が国外に個人情報を提供することは制限され、企業の運営に新たな挑戦がもたらされる可能性があり、個人情報の越境伝送が必要となる企業は、上記の注意点を参照し、事前に準備を整え、標準契約の締結をスケジュールに組み込んでおくとよい。同時に、企業は政府部門が今後発布するであろう標準契約の締結と届出に関するガイドラインに関心を払い、標準契約の締結と届出を適宜完成させるようにしたい。

（作者：里兆法律事務所 董紅軍、陳暁鳴）