はじめに

多国籍製薬企業が中国で設立された機構（以下「多国籍企業の在中国機構」という）は、その日常業務において、個人健康医療データの国外（例えば、国外の親会社など）への転送に関与することが多くある。個人健康医療データの越境移転は、中国の法執行機関による規制が厳しく、個人健康医療データの越境移転時によくある質問とその回答、アドバイスを以下の通りまとめる。

本文

Q1: 個人健康医療データを国外に越境移転することができるのか？

A1: できる。個人健康医療データは機微な個人情報であるが、中国の関連法規はこれらのデータの国外への転送を完全に禁止しているわけではない。規制上の要件を満たせば、多国籍企業の在中国機構は、中国国内で収集した個人健康医療データを国外に提供することができる。
但し、中国の法律は、多国籍企業の在中国機構が、国家機密に関わる個人健康医療データなど、特定の種類の個人健康医療データを国外に転送することを禁止している。

さらに、ある種類の個人健康医療データは、重要データとして見なされることがあり、重要データの国外への転送はより厳しい規制を受ける（例えば、転送前にデータ越境移転安全評価の実施が求められる）。しかしながら、現時点では、関連部門はどのような個人健康医療データが重要データに該当するかを明確に定義していない状況である。今後の記事においても、この点についての最新情報を注目しながら、継続的に情報を更新する予定である。

Q2: 個人健康医療データの越境移転に関連する一般的なシナリオとは？

A2: 個人健康医療データの越境移転における一般的なシナリオには、以下のようなものが含まれるが、これらに限定されるものではない。

（1） 国際多地域の方法での医薬品臨床試験の実施
多地域臨床試験（Multi-Regional Clinical Trial、以下「MRCT」という）は、同一計画における複数の地域で実施される臨床試験のことであり、時間コストを節約し、臨床試験の重複を避けることを目的としている。複数地域間での治験結果を共有するため、その過程において、個人健康医療データの越境移転に関わることがある。
（2） 国外での新薬登録の申請
多国籍企業の在中国機構が中国国内で新薬の臨床試験を実施した後、国外に新薬登録を申請する場合、通常、国外の規制機関に臨床試験段階で収集された資料やデータを提供する必要がある。
（3） 市場販売データ
多国籍企業の在中国機構が国外の親会社などに中国市場の販売や市場活動について報告する場合にも、個人健康医療データの越境移転が関わることがある。
（4） 薬物有害反応情報
薬剤有害反応（Adverse Drug Reaction、以下「ADR」という）が発生した後、多国籍企業の在中国機構は、国外の関連法規（もしあれば）に基づき、国外の親会社またはその他の第三者にADR 情報を提供することがあり、その際に個人健康医療データが関わることがある。

Q3: 個人健康医療データを国外に転送する前に、どのような前提条件が必要なのか？

A3: 個人健康医療データは機微な個人情報であり、「個人情報保護法」の関連規定により、データ処理者である多国籍企業の在中国機構は、これらのデータを国外に転送する前に、情報主体に通知し、その個別の同意を得て、個人情報保護影響評価を行わなければならない。

さらに、国外に提供される個人健康医療データの種類と数量に応じて、データ処理者は、情報を国外へ転送する前に、「越境移転安全評価」、「個人情報保護認証」を実施するか、または国外受領者と「個人情報越境移転標準契約」を締結しなければならない。詳細につき、Q4 を参照する。

Q4: 個人健康医療データの越境移転にはどのような経路があるのか？

A4: 個人健康医療データの越境移転には、主に「安全評価」、「個人情報保護認証」、「個人情報越境移転標準契約」の3 つの経路がある。以下は、3 つの経路の具体的な比較についてまとめたものである。

	データ越境移転安全評価	個人情報保護認証	個人情報越境移転標準契約
適用状況	① データ処理者が重要 データを国外に提供する場合 ② 重要情報インフラ運営者および個人情報の取扱量が 100 万人以上のデータ処理者が個人情報を国外に提供する場合 ③ 前年 1 月 1 日以降に国外に提供した個人情報の累計が 10万人以上、またはセンシティブ個人情報の累計が 1 万人以上のデータ処理者が個人情報を国外に提供する場合 ④ 国家インターネット情報部門がデータ越境移転安全評価を必要と定めるその他の場合	個人情報処理者が個人情報越境移転を行う場合	① 非重要情報インフラ運営者であること ② 取り扱う個人情報が100 万人未満の場合 ③ 前年 1 月 1 日以降に国外に提供した個人情報の累計が 10 万人未満、または前年 1 月 1 日以降に国外に提供したセンシティブ個人情報の累計が 1 万人未満である場合
有効期間	2 年	3 年	契約に基づく
実施主体	国家インターネット情報部門	特定の認証機関 （例えば、中国インターネット安全審査技術と認証センター）	個人情報処理者および国外受領者

Q5: 個人健康医療データの越境移転に関する規定に違反した場合、どのような結果が生じるのか？

A5: 関連法規により、個人健康医療データの越境移転に関する規定に違反した場合、以下のような結果が生じる可能性がある。

（1） 民事責任
違法行為が情報主体の個人情報権益に対して損害を与え、個人情報処理者が自分に過失がないことを証明できない場合、損害賠償などの権利侵害責任を負わなければならない。
（2） 行政処分
a) 是正命令、警告、違法所得の没収
監督管理部門から是正命令、警告、違法所得の没収を受けることがある。
b) 罰金
違法行為の是正を拒否した場合、100 万人民元以下の罰金が科される。また、状況が深刻な場合、罰金は 5000 万人民元以下、または前年度の年間売上の 5％以下まで引き上げられることがある。
c) 業務の一時停止または営業停止
違法行為が重大な場合、監督管理部門から関連業務の一時停止または営業停止を命じられることがある。
d) 業務許可または営業許可書の取り消し
違法行為が重大な場合、関連業務許可または営業許可書が取消されることがある。
e) 主管人員または直接責任者への処罰
違法行為が重大な場合、企業の主管人員やその他の直接責任者は、10 万人民元以上100 万人民元以下の罰金を科されることがある。監督管理部門は、これらの者に対して、一定期間において、関連企業の取締役、監査役、上級管理者及び個人情報保護責任者に就任することを禁止することを決定することができる。
（3） 刑事責任
違法行為が犯罪に該当する場合は、法令に基づいて刑事責任を追及される。

Q6：中国政府による個人健康医療データの越境移転に対する規制の動向は？

A6：2023 年9 月28 日、国家インターネット情報弁公室は、「データの越境移転の規範化及び促進に関する規定（パブリックコメント）」（以下「パブリックコメント」という）を公布した。
内容的には、「パブリックコメント」において、企業がデータの越境移転を行う際に必要のあるコンプライアンスコストが全体的に低減されている。例えば、「パブリックコメント」では、「年間で個人情報の越境提供が 1 万人未満と予想される場合、データ越境移転安全評価の申告、個人情報越境移転標準契約の締結、個人情報保護認証の取得は不要である」と明記されている。

「パブリックコメント」は現在公開意見募集の段階にあるが、データの越境移転の規制を「緩和」するという中国政府の意向が反映されている。正式稿が発表された際には、データの越境移転に関する政策環境がより緩和されることを期待している。また、中国政府による個人健康医療データの越境移転に関する規制の動向を引き続き追跡し、今後の記事で最新情報を提供する予定である。

終わりに
本稿は、個人健康医療データの越境移転に関するよくある問題をQ&A の形で、多国籍製薬企業の中国におけるコンプライアンス実務に役立つ参考情報を提供することを目的としている。
中国におけるデータの越境移転の規制が徐々に改善される中、企業はデータの越境移転が法令に準拠していることを確保するため、社内のコンプライアンスポリシーを常に更新する必要がある。企業としては、中国の規制動向に注目し、そのデータ管理と越境移転の戦略を適時に調整し、日々の事業運営をよりよくサポートすることを推奨する。また、私どもは、関連する法規と法執行実践を継続的に注視し、企業に対してタイムリーで正確なコンプライアンスアドバイスを提供する。

（作者：北京市中倫（上海）法律事務所 邱靖弁護士）