中国におけるデータ越境移転に関する対応について

※本ニュースレターは、2023年2月28日に投稿された内容を加筆したものです。
先般、制定された弁法の本格適用や新しい弁法の公表等が行われ、お問い合わせも多く頂戴しておりますことから、更新版をお届けいたします。

中国では「サイバーセキュリティ法」、「データ安全法」、「個人情報保護法」の三法を中心として、デジタル化に対応したネットワークセキュリティ、データセキュリティ及び個人情報保護を中心とした情報セキュリティ体制が構築されており、中国でビジネスを実施する上で、当該法規制への遵守が求められます。実際の法律の適用や運用は関連する管理条例、ガイドライン、国家標準等も含めて規定されるため、これら関連する法規制も含めて対応することが必要です。

これらから生じる主な論点として「等級保護」、「データ越境移転」、「個人情報保護」の3つが挙げられ、当ニュースレターでもこれまで紹介していますが、今回は三法に共通する「データ越境規制」に関して内容をご紹介し、2023年6月1日より施行、2023年12月1日完全適用となる「個人情報越境移転標準契約弁法」についても解説いたします。

【過去のニュースレター】

• 中国におけるデータ安全法の施行
• 中国の個人情報保護法の概要および実務対応について

そもそも上記三法では、中国域内で生成される個人情報及び重要データは原則、中国域内で保存し、域外へ移転する場合は当局への対応が必要とされていますが、その場合の具体的な評価事項や手続きなどは詳細に定められていませんでした。しかし2023年3月1日より、「データ越境安全評価弁法」が完全適用されたことで、データ越境移転に関する安全評価制度が正式に実施されています。

また、今回新しく施行される「個人情報越境移転標準契約弁法」においては、個人情報についてより細かく規定され、より一層の実務上の対応が求められることになります。

適用範囲

データ越境移転とは、データ処理者が中国域内において業務上収集・生成した重要データまたは個人情報を、域外の組織または個人に提供することを指します。

この「域外」には日本はもちろんのこと、香港・マカオ・台湾も含まれます。また「提供」には、域内に保存されたデータを域外のサーバーへ転送することの他、域内の関係者が域外のサーバーにアクセスしデータを入力することや、域内のサーバーに域外からアクセスする場合等も含まれます。
 

1-1.安全評価の要求

データ処理者がデータを域外に提供するすべての場合に、画一的に制度が適用されるわけではありません。以下のいずれかに該当する場合には、その所在地の省級ネットワーク部門を通じて、国家ネットワーク情報部門(CAC)にデータ越境安全評価を申請することが求められます（データ越境安全評価弁法4条）。

【データ越境安全評価の申請が必要とされる場合】

上記1号の「重要データ」とは、その改竄・破壊・漏えい・不正取得・不正利用により、国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータとされています（同19条）。重要データに該当するかどうかの判断は、「データ安全法」において重要データの範囲とその判定基準について具体的な目録を作成・制定するとしていますが、現時点で一部の業種を除き確定されておらず具体的な指針の公表が待たれており、引き続き今後の立法動向に留意が必要です。

実務上はデータを域外に提供している場合に、重要データが含まれるかを早めに識別する必要がありますが、重要データの指針ついては「重要データ識別指針（意見募集稿）」（2022年1月13日）が公布されているため、一定程度参考にすることができます。

※クリックまたはタップして拡大表示できます

1-2.事前の自己評価実施

データ処理者は、データ越境安全評価を申請する場合、事前に、以下の事項を重点として、データ越境リスクについて自己評価の実施が必要です（同5条）。

【自己評価実施時の重点事項（同5条）】

1-3.データ越境関連の法的文書締結

また、上記5号にあるとおり、データ処理者は、データ越境前に、域外受領者とデータ越境移転契約その他法的拘束力のある文書（以下、「法的文書」とする）を締結する必要があります。法的文書の内容については、データ安全保護に関する責任義務を明確に定め、少なくとも以下に定める内容を含める必要があります（同9条）

【法的文書に少なくとも含めるべき事項（同9条）】

1-4. 安全評価合格後の対応

当局による安全評価に合格した場合、評価結果の有効期間は2年間となり、評価結果通知日から起算されます。有効期間内に、規程の状況変化（データ越境の提供目的、範囲等の変更、域外受領者が所在する国・地域におけるデータ安全保護政策・法規およびサイバーセキュリティ環境の変更等）があった場合は評価の再申請が必要です。また、評価の有効期間満了後もデータ越境を継続する必要がある場合は、当該有効期間満了日の60営業日前までに評価の再申請が必要となります（同14条）。

2-1.省級CACへの個人情報越境移転標準契約弁法に基づく登録

2023年6月1日より施行される「個人情報越境移転標準契約弁法」では、個人情報を域外に移転する場合に、個人情報保護影響評価、および標準契約の締結の上で、省級CACへの届け出・登録が求められており、施行日以降に届け出・登録が可能となります。（個人情報越境移転標準契約弁法4，7，13条）
個人情報保護影響評価は報告書としてまとめる必要があり、以下の内容を踏まえる必要があります。

【個人情報保護影響評価の内容（同5条）】

また標準契約書には以下の項目が含まれており、その内容は付録部分を除き、変更することはできません。

【標準契約書の内容（同付表）】

2-2.個人情報越境移転認証の取得

2022年11月18日、および同年12月16日に公表された個人情報越境移転認証要求、個人情報越境処理活動安全認証規範（V2.0）に基づき、認証機関による認証を得る方法で、上記「2-1. 省級CACへの個人情報越境移転標準契約弁法に基づく登録」との何れかを選択する制度となります。

一方で具体的な手続については2023年5月執筆時点において不確定な部分があることから、今後の公表が待たれます。

まとめ

中国における日系企業においても、例えば以下のようなケースにおいてデータ越境に該当する可能性があります。

• 現地基幹システムや各種管理システムに入力された重要データや個人情報を、日本のサーバーと同期
• マーケティング部門によって収集された顧客管理データを、日本にサーバーがあるCRMシステムに入力
• 重要データや個人情報は中国域内に保存されているが、日本本社など域外から当該情報にアクセス可能

本ニュースレターの内容は既に適用、または今後の施行が決まっているルールであることから、今後新たに収集する可能性のある重要データや個人情報についても、引き続きデータ越境移転に該当するか検討することが重要です。重要データや個人情報についての具体的な指針については、今後も様々な機関から順次公表されるため、関連する法令を自社で網羅的に収集することが難しい場合には専門家の助言も活用しつつ優先度の高いものから対応することが効果的です。

デロイト トーマツ グループでは、今回紹介したデータ越境への対応を含め、サイバーセキュリティ法、データ安全法、個人情報保護法対応を含めたデータ管理全般に係る総合的なコンプライアンスギャップ分析、改善支援等が可能です。詳しくは、デロイト トーマツのプロフェッショナルまでお問い合わせください。