ナレッジ

中国におけるデータ越境移転に関する対応について

APリスクアドバイザリー ニュースレター(2023年2月28日)

中国では「サイバーセキュリティ法」、「データ安全法」、「個人情報保護法」の三法を中心として、デジタル化に対応したネットワークセキュリティ、データセキュリティ及び個人情報保護を中心とした情報セキュリティ体制が構築されており、中国でビジネスを実施する上で、当該法規制への遵守が求められます。実際の法律の適用や運用は関連する管理条例、ガイドライン、国家標準等も含めて規定されるため、これら関連する法規制も含めて対応することが必要です。当ニュースレターでも、データ安全法や個人情報保護法について紹介していますが、上記三法に共通するデータ越境規制に関して、2022年9月1日より施行、2023年3月1日完全適用となる「データ越境安全評価弁法」(以下、「弁法」とする)に焦点を当てて解説させて頂きます。

【過去のニュースレター】


そもそも、上記三法では、中国域内で生成される個人情報及び重要データは原則、中国域内で保存し、中国域外へ移転する場合は当局への対応が必要とされていますが、その場合の具体的な評価事項や手続きなどは詳細に定められていませんでした。今回、データ域外移転に関する安全評価を規制する部門の部門規則として当該「弁法」が施行されたことに伴いデータ越境移転に関する安全評価制度が正式に実施されることになります。

適用範囲

まず、当弁法では、データ処理者が中国において業務上収集・生成した重要データまたは個人情報を域外に提供する場合における安全評価に適用されます。(弁法2条)域外への提供には、中国域内に保存されたデータを中国域外の機関・組織・個人がアクセスまたは利用する場合を含みます。また、「域外」には香港・マカオ・台湾を含むことに留意が必要です。
 

安全評価の要求

データ処理者がデータを域外に提供するすべての場合に、当弁法が適用されるわけではなく、以下のいずれかに該当する場合には、その所在地の省級ネットワーク部門を通じて、国家ネットワーク情報部門にデータ越境安全評価を申請しなければなりません(同4条)。

【データ越境安全評価の申請が必要とされる場合(同4条)】

1) データ処理者が重要データを域外に提供

2) 重要情報インフラ運営者または100万人以上の個人情報を取り扱うデータ処理者が域外に個人情報を提供

3) 前年1月1日から累計で10万人の個人情報または1万人の機微個人情報を域外に提供したデータ処理者が域外に個人情報を提供

4) 国家ネットワーク情報部門が規定するデータ越境安全評価の申請を必要とするその他の状況


上記1号の「重要データ」とは、当弁法において、その改竄・破壊・漏えい・不正取得・不正利用により、国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータとされています(同19条)。重要データに該当するかどうかの判断は、「データ安全法」において重要データの範囲とその判定基準について具体的な目録を作成・制定するとしていますが、現時点で一部の業種を除き確定されておらず具体的な指針の公表が待たれており、引き続き今後の立法動向に留意が必要です。一方で、実務上はデータを域外に提供している場合に、重要データが含まれるかを早めに識別する必要がありますが、重要データの指針ついては「重要データ識別指針(意見募集稿)」(2022年1月13日)が公布されているため、一定程度参考にすることができます。

事前の自己評価実施

データ処理者は、データ越境安全評価を申請する場合、事前に、以下の事項を重点として、データ越境リスクについて自己評価の実施が必要です(同5条)。

【自己評価実施時の重点事項(同5条)】

1) データ越境及び域外受領者による個人情報処理の目的、範囲、方法等の違法性、正当性、必要性

2) 越境データの規模、範囲、種類、機微の度合い、データ越境が国家の安全、公共の利益、個人または組織の正当な権利及び利益にもたらす可能性のあるリスク

3) 域外受領者が負う責任義務、責任義務を履行する管理的及び技術的措置、越境データの安全を保障する能力

4) データ越境時及び越境後の改竄、破壊、漏えい、紛失、移転や不正取得、不正利用等のリスク、個人情報の権利及び利益を保護する方法を容易に利用できるか

5) 域外受領者との間のデータ越境関連契約その他法的拘束力のある文書(以下、総称して「法的文書」と呼ぶ)においてデータ安全保護に関する責任義務が十分に取り決められているか

6) データ越境の安全性に影響を及ぼす可能性のあるその他の事項

データ越境関連の法的文書締結の必要性

また、上記5号にあるとおり、データ処理者は、データ越境前に、域外受領者とデータ越境移転契約その他法的拘束力のある文書(以下、「法的文書」とする)を締結する必要があります。法的文書の内容については、データ安全保護に関する責任義務を明確に定め、少なくとも以下に定める内容を含める必要があります(同9条)

【法的文書に少なくとも含めるべき事項(同9条)】

1) データ越境の目的、方法及びデータ範囲、域外受領者の処理データの用途、方法等

2) 域外におけるデータの保存場所、期間、保存期限に達した後、取決めの目的が達成された後、または法的文書が終了した後の越境データの処理措置

3) 域外受領者が越境データを他の組織または個人に再移転するための拘束力のある要件

4) 域外受領者の実質的支配権や業務範囲に実質的な変化が生じた場合、域外受領者の所在国もしくは地域のデータ安全の保障が困難となる不可抗力的状況が生じた場合に取るべき措置

5) 法的文書で取り決めたデータ安全保護義務違反に対する救済措置、違約責任及び紛争解決方法

6) 越境データについて改竄、漏えい、紛失、移転や不正アクセス、不正利用等のリスクが生じたときの、適切な緊急措置の要件及び個人情報の権利及び利益の保護を保障する方法及び手段


法的文書に関し、個人情報の越境については、「個人情報域外移転標準契約規定(意見募集稿)」(2022年6月30日)が公布されており、これに含まれる個人情報域外移転標準契約のひな型を参考にすることができます。また、上記契約は、安全評価申請の際に添付が必要となりますので中国語で作成するか、中国語の訳文提出が求められる可能性があります。また、安全評価の過程で法的文書の内容不備が指摘される可能性があるため、法的文書において、同文書はデータ越境安全評価に合格した後に始めて効力を有する旨や安全評価の指摘に従い内容を変更できる旨を規定しておくことが有用と思われます。

評価後の対応

当局による安全評価に合格した場合、評価結果の有効期間は2年間となり、評価結果通知日から起算されます。有効期間内に、規程の状況変化(データ越境の提供目的、範囲等の変更、域外受領者が所在する国・地域におけるデータ安全保護政策・法規およびサイバーセキュリティ環境の変更等)があった場合は評価の再申請が必要です。また、評価の有効期間満了後もデータ越境を継続する必要がある場合は、当該有効期間満了日の60営業日前までに評価の再申請が必要となります(同14条)。

まとめ

中国における日系企業においても、例えば以下のようなケースにおいてデータ越境に該当する可能性があります。

  • マーケティング部門によって収集された顧客管理データが日本にサーバーがあるCRMシステムに入力
  • 収集した個人情報を現地システムに入力、そのデータが海外のサーバーと同期
  • 従業員情報など個人情報が中国域内に保存されているが、日本本社など域外から当該個人情報にアクセス可能

当弁法は2023年3月1日に完全適用となりますが、今後新たに収集する可能性のある重要データや個人情報についても引き続きデータ越境に該当するか検討することが重要です。重要データや個人情報についての具体的な指針については、今後も様々な機関から順次公表されるため、関連する法令を自社で網羅的に収集することが難しい場合には専門家の助言も活用しつつ、優先度の高いものから対応することが効果的です。
 

デロイト トーマツ グループでは、今回紹介したデータ越境への対応を含め、サイバーセキュリティ法、データ安全法、個人情報保護法対応を含めたデータ管理全般に係る総合的なコンプライアンスギャップ分析、改善支援等が可能です。詳しくは、デロイト トーマツのプロフェッショナルまでお問い合わせください。

著者:矢内 隆一
※本ニュースレターは、2023年2月28日に投稿された内容です。
※本ユースレターにおける「データ越境安全評価弁法」の日本語はこちらの原文をもとにデロイトにて作成したものです。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?