要旨

個人情報保護認証は、個人情報を越境移転させるための前置要件の一つとして[1]、かねてより多国籍会社が関心を払っていた。2022年12月に公布された「個人情報越境取扱活動安全認証規範V2.0」（以下「認証規範」という）をベースとして、今年3月16日、全国情報セキュリティ標準化技術委員会は「情報セキュリティ技術 個人情報越境伝送認証要求(意見募集案)」を公布した。国家市場監督管理総局及びインターネット情報事務室が共同で発布した「個人情報保護認証の実施に関する公告」を踏まえ、個人情報保護認証制度がさしあたり形成されることとなった。本文では、Q&Aの形式をもって現在の個人情報保護認証制度を考察する。

本文

Q1．個人情報保護認証とは何か？

 A1   個人情報保護認証とは、具体的には、第三者認証機関が企業による個人情報の取扱（収集、保存、使用、加工、伝送、提供、公開、削除及び越境移転など）について全面的に審査し、法律規則の要求を満たすかどうかを判断し、要求を満たす場合に認証証明書を発行することをいう。

個人情報保護認証の範囲は個人情報の「越境提供」だけに限定されないため、企業が個人情報保護認証を申請する場合は、通常、越境認証だけについて単独で申請することはできず、個人情報のトータルライフサイクルでの取扱活動（即ち、個人情報の初期収集から、最終的な削除まで）について一括して認証する必要がある。

注意すべき点として、認証は「具体的な場面」に対して実施される。企業が個人情報を取扱う場面は非常に多いことが考えられ、例えば、従業員個人情報の取扱い、消費者個人情報の取扱い、サプライヤーの窓口担当者個人情報の取扱いなどが含まれる。企業は、全ての個人情報の取扱い場面について認証する必要はなく、自社の必要に応じて、一部の場面を選択し認証を行うことができる。

Q2．どのような企業が、個人情報保護認証を個人情報の越境移転の前置要件とすることができるのか。

 A2   まず、「データ越境移転安全評価弁法」によると、国家インターネット情報部門に対し安全評価を申告しなければならない企業は、個人情報保護認証を選択することができない。

但し、B 2 B企業の立場からみると、通常、国家インターネット情報部門によって実施される安全評価を申告しなければならない場面には該当しないことから、原則として、個人情報保護認証を個人情報の越境移転の前置要件とする条件を具備している。

次に、「認証規範」の規定によると、個人情報保護認証は主に多国籍会社、国内外の関連会社間における個人情報の越境移転及び中国域外の実体が国内の自然人の個人情報を直接に収集する状況（例えば、中国域外のA社がある種のアプリを開発し、このアプリが中国国内のユーザー向けものである場合、ユーザーがアプリを使用する過程で、ユーザーの個人情報が中国域外にあるA社のサーバーに直接に伝送され、A社は中国国内に実体がなくても、中国国内のユーザーの個人情報を直接に収集することになる）に適用されるとしている。ただし、筆者が認証機関に確認のための問い合わせを行って得られた情報によれば、実際には、非関連会社間での個人情報の越境移転の認証申請は、通常、認められている。

また、中国域外の実体が国内の自然人の個人情報を直接に収集する状況に関しては、認証には現場審査が必要となることから、中国域外の実体の立場から見ると、実施までのハードルは高く、現時点ではまだ運用可能性に欠けると言える。

Q3． 個人情報保護認証は強制的なものかどうか。

A3  強制的なものではない。

企業にもしも個人情報の越境移転の必要がある場合、中国域外受領者との間で標準契約を締結することもできる。当然ながら、安全評価の適用状況に該当する場合は、安全評価を強制的に申告しなければならない。

Q4．第三者認証機関とは何者か。認証作業は既に開始されているのか。認証に費用を支払う必要があるのか。認証完了までにどれくらいの期間を要するのかか。

A4  第三者認証機関は中国サイバーセキュリティ審査技術認証センター（CCRC）であり、市場監督管理総局の直属事業組織である。CCRCは現在すでに個人情報保護認証申請システム[2]を開設し、認証申請書も発行しており、認証作業はすでに始動されている。筆者が把握している情報によれば、現在すでに申請を行っている企業がある。

安全評価や標準契約とは異なり、認証を申請する際に、CCRCからは認証費用が徴収される。CCRC公式サイトが公表している料金基準によると、申請費は1万8千元、評定登録料は2万4千元、年間継続料は5万元/年である。また、個人情報の取扱い場面の複雑さに応じて、CCRCは1日あたり1人につき6千元の基準で審査/検証費を徴収する。差し当たりの予測では、1回の認証完了までにかかる費用は15万元以上となる。

また、企業はその後も年を追うごとに年次審査、年間継続料の納付を行い、審査・検証費を改めて納付するが必要であり、毎年の年次審査費用は10万以上になると見込まれる。

CCRC内部の制度によると、認証は通常、申請を受理してから110営業日以内で完了することになっている（企業が改善に要する時間は含まれない）。

Q5．認証の有効期間はどれくらいか。

A5  認証証書の有効期間は 3年である。有効期限の満了後は、認証機関が審査を行い、認証要求を満たせば、新たな証書が発行される。

また、有効期間内に認証機関がさらに年次審査を実施するよう求めることもある。

Q6．認証の根拠は何か。

A6   「個人情報保護認証の実施に関する公告」によると、現在の主な認証根拠は、推奨性国家基準である「情報セキュリティ技術・個人情報セキュリティ規範」及び「認証規範」である。また、現在制定が進められている「情報セキュリティ技術・個人情報越境伝送認証要求」も、認証の根拠の一つとなるであろうと見られている。

Q7．標準契約と比べた場合の認証のメリットは何であるか。

A7  認証を通過すれば、企業の個人情報取扱活動のコンプライアンスにおいて国家認定機関による認可が得られたことを意味し、より高い「権威性」を有することになり、係る法執行、検査などに遭遇した際にも、法執行機関から認可されやすくなると考えられる。

企業間の契約条項と比べてみても、クライアント（個人情報の主体）の立場から見た場合、認証は通常、より高い信頼性を有することになる（この点、B 2 C企業にとって、より魅力があるものと思われる）。

一般的に、標準契約は双方の契約当事者にしか適用されないが、認証であれば、原則として、この方面での制限はなく、1度の認証で、中国域内企業1社を含む複数の中国域外の企業に対し個人情報を越境伝送する状況を網羅できるものと見られる。

終わりに

 現在までのところ、「個人情報保護法」における個人情報を越境移転させるための3つの「チャネル」に関する付帯制度はいずれもすべて公布され、しかも相対的に明確な操作要求も出されており、個人情報を越境移転させる必要のある企業は、なるべく早く自社の状況と必要に応じて、適切な越境移転の「チャネル」を選択し、かつ相応の準備作業を着実に行い、コンプライアンスとの溝を明確にしたうえで、遅滞なく是正するようにすべきであろう。

（作者：里兆法律事務所 丁志龍、陳暁鳴）

 

[1] 「個人情報保護法」第38条によると、企業が中国域外に個人情報を提供する際に、以下のいずれかの前置要件を満たす必要がある。（1）国家インターネット情報部門によって実施される安全評価を通過すること（2）国家インターネット情報部門の規定に従い、専門機関を通じて個人情報保護認証を行うこと。又は（3）中国域外受領者との間で国家インターネット情報部門が制定した標準契約を締結すること。

[2] 詳しくはhttps://data.isccc.gov.cn/#/pip/login参照のこと。