第68回　中国での個人情報の国外提供における個人情報越境標準契約の届出及び最新の動向

概要

2023年6月1日に施行された個人情報越境標準契約弁法に基づき、個人情報を国外提供する場合、個人情報保護影響評価報告書及び個人情報越境標準契約の届出が義務化されました。施行前に同義務を果たしていない場合、同年11月30日までの是正も求められています。本稿では、個人情報越境標準契約の届出に関する規定及び最新の動向等について概説します。

1.はじめに

「個人情報越境標準契約弁法」¹（以下、「本弁法」）が2023年2月22日に公布され、同年6月1日に施行されました。本弁法により、個人情報取扱者が個人情報を中国国外へ提供する場合、個人情報保護影響評価（以下、「PIA」）報告書及び個人情報越境標準契約の届出を行うことが義務化されました。また、本弁法施行前においてすでに個人情報の国外提供を行っており、届出を行っていない個人情報取扱者は、同年11月30日までに是正しなければならない旨が規定されています。本稿では、本弁法を含む個人情報越境標準契約の届出に関する規定及び最新の動向等について概説致します。

2.中国法における個人情報の国外提供に関する規定

（1）各法令の規定
ア　個人情報保護法
「個人情報保護法」²が2021年8月20日に公布され、同年11月1日に施行されました。同法第38条は、個人情報取扱者が国外に個人情報を提供する必要がある場合、次に掲げる条件の1つを満たさなければならないと規定しています。
①国のネットワーク情報部門が手配するセキュリティ評価に合格していること
②国のネットワーク情報部門の規定に従い専門機構による個人情報保護認証を受けていること
③国のネットワーク情報部門の制定した標準契約に従い国外受領者と契約を締結し、双方の権利及び義務を約定していること
④法律、行政法規又は国のネットワーク情報部門の定めるその他の条件

なお、同法第40条は、「重要な情報インフラの運営者及び取り扱う個人情報が国のネットワーク情報部門の定める数量に達する個人情報取扱者」が国外に個人情報を提供する場合については、上記のうち①を満たさなければならないとしています。

イ　データ越境セキュリティ評価弁法
その後に公布された「データ越境セキュリティ評価弁法」³第4条では、次に定めるデータ取扱者がデータを国外へ提供する場合に、国のネットワーク情報部門にデータ越境セキュリティ評価を申請すべきことが明記されました。
①重要な情報インフラの運営者
②100万人分以上の個人情報を取り扱うデータ取扱者
③前年1月1日からの累計で10万人分以上の個人情報を国外に提供したデータ取扱者
④前年1月1日からの累計で1万人分以上の機微な個人情報を国外に提供したデータ取扱者

なお、同弁法では、上記のデータ取扱者は、データ越境セキュリティ評価申請前にデータの越境リスクに関する自己評価を実施し（同弁法第5条）、データ越境セキュリティ評価申請時にデータの越境リスクに関する自己評価報告書を所在地の省レベルのネットワーク情報部門を通じて国家ネットワーク情報部門に提出すべき、とされています（同弁法第6条）。

ウ　個人情報越境標準契約弁法
さらに、本弁法第4条では、「データ越境セキュリティ評価弁法」に規定されるデータ越境セキュリティ評価の基準（上記イ①～④）に達しない個人情報の国外提供であっても、個人情報越境標準契約の届出を行うべきことを規定しています。

具体的には、個人情報の国外提供前にPIAを実施し（本弁法第5条）、国外の個人情報受領者と個人情報越境標準契約を締結し（個人情報保護法第38条）、PIA報告書及び個人情報越境標準契約を所在地の省レベルのネットワーク情報部門に提出する必要があるとしています（本弁法第7条）。なお、本弁法の施行に伴い、「個人情報越境標準契約の届出ガイドライン」⁴が2023年5月30日に公布され、同年6月1日に施行されています。

（2）個人情報の国外提供手続の小括
個人情報取扱者が個人情報を国外へ提供する場合、重要な情報インフラの運営者についてはデータ越境セキュリティ評価を行う必要があります。他の個人情報取扱者についても、取り扱う個人情報が規定数量に達するときはデータ越境セキュリティ評価、規定数量に達しないときは個人情報越境標準契約の届出が必要ということになります。また、データ越境セキュリティ評価、個人情報越境標準契約の届出のいずれの手続においても個人情報取扱者がPIAを実施し、報告書を当局へ提出する必要があります。

3.個人情報越境標準契約の届出の概説

（1）個人情報の国外提供の方法
個人情報の国外提供の主な方法としては、中国国内で収集した個人情報を国外へ転送して保存する、中国国内で収集した個人情報を中国国外から閲覧する、取り寄せる、ダウンロードするなどがあります。

（2）個人情報越境標準契約の届出プロセス
ア　PIA
個人情報取扱者は、個人情報を国外へ提供する前に、PIAを実施し、次の事項を重点的に評価しなければなりません（本弁法第5条）。
①個人情報取扱者及び国外受領者が個人情報を取り扱う目的、範囲、方式等の適法性、正当性、必要性
②国外に移転する個人情報の規模、範囲、種類、機微の程度、個人情報の越境により個人情報権益にもたらされるおそれのあるリスク
③国外受領者が負担することを承諾した責任・義務、並びに責任・義務の履行にかかる管理措置及び技術的な措置、能力等が国外に移転するデータのセキュリティを保障できるか否か
④個人情報が越境後に改ざん、破壊、漏洩、紛失、不正利用される等のリスク、個人情報権益を守るためのルートが円滑であるか否か等
⑤国外受領者の所在する国又は地域の個人情報保護政策及び法令が個人情報越境標準契約に与える影響
⑥その他の個人情報の越境において安全に影響を及ぼす可能性のある事項

PIAにおいては、上記評価項目ごとに評価を行い、発見した問題を是正、改善し、国外へ提供される個人情報の安全を保障しなければなりません。

イ　個人情報越境標準契約の締結
国家インターネット情報弁公室が作成した指定の「個人情報越境標準契約」の雛形を使用して、中国国外の個人情報受領者と契約を締結する必要があります（本弁法第6条第1項）。なお、「個人情報越境標準契約」に関連記載事項を入力したり、当事者間で特別な約定をしたりすることはできますが、「個人情報越境標準契約」と矛盾してはなりません。

ウ　個人情報越境標準契約の届出手続
個人情報越境標準契約が発効した日から10業務日以内に、個人情報取扱者の所在地における省レベルのインターネット情報弁公室に届出を行わなければなりません。提出資料として、PIA報告書及び個人情報越境標準契約並びに手続資料（個人情報取扱者の営業許可書の写し、法定代表者の本人確認証明書の写し、手続担当者の本人確認証明書の写し、指定委任状、指定誓約書）を提出することになります。

届出の申請の方法は、各地によって手順が異なります。例えば、上海市と北京市では、まず電子版の資料を当局の専用アドレスに電子メールで提出し、審査を通過した後、現地で紙の資料を提出する必要があります。広東省では、当局の審査は市レベルと省レベルの2つの段階に分かれ、市レベルでの事前審査に合格した後、省レベルで最終審査が行われます。

4.個人情報越境標準契約の届出に関する最新の動向

（1）政策・地方規定
国家インターネット情報弁公室が2023年9月28日に「国を跨ぐデータ移動の規制と促進規定（意見募集稿）」⁵（以下、「本募集稿」）を公布しました。本募集稿において最も注目される点は、本募集稿第5条において、国外に提供する個人情報が1年間で1万人分未満と予想される場合には、データ越境セキュリティ評価の申請、個人情報越境標準契約の締結、個人情報保護認証を受けることは不要としている点です。本募集稿に対する意見フィードバックの締め切り日（2023年10月15日）はすでに過ぎていますが、執筆日時点において正式な公布はありません。

2023年12月10日には「粤港澳大湾区（内地、香港）個人情報越境移動標準契約実施ガイドライン」⁶が公布され、同日に施行されています。同ガイドラインによれば、Guangdong-Hong Kong-Macao Greater Bay Area内の中国大陸と香港の間において、個人情報越境標準契約を締結して個人情報を提供する場合、PIAを行う必要はあるものの（同ガイドライン第5条）、当局への届出においては、個人情報越境標準契約を提出すればよくPIA報告書を提出する必要はないとしています（同ガイドライン第8条）。

（2）実務動向
日系企業では個人情報越境標準契約の届出の手続を積極的に行っているケースが多くなってきています。特に、2023年11月30日が個人情報越境標準契約の届出期限であったため、同年11月に手続を行っている企業が少なくありません。本弁法の施行から間もないため、提出される個人情報越境標準契約、及びPIA報告書の内容について、当局は細かく書面審査、確認を行っているようです。

5.終わりに

中国各地の国家インターネット情報弁公室が個人情報越境標準契約の届出を受理し、審査を行い始めています。Guangdong-Hong Kong-Macao Greater Bay Areaを除き、他の地域では届出においてPIA報告書を提出する必要があります。本募集稿の動向も注視されるところではありますが、個人情報の国外提供を行っている在中国の日系企業においては、本弁法に基づく届出を行う必要があることを前提に準備、検討を進めておくことが適切であると考えます。

********************************************************************************
1：中華人民共和国国家インターネット情報弁公室令第13号、2023年2月22日公布、同年6月1日施行
2：中華人民共和国主席令第91号、2021年8月20日公布、同年11月1日施行
3：中華人民共和国国家インターネット情報弁公室令第11号、2022年7月7日公布、同年9月1日施行
4：中華人民共和国国家インターネット情報弁公室、2023年5月30日公布、同日施行
5：中華人民共和国国家インターネット情報弁公室、2023年9月28日公布。意見フィードバックの締め切りは2023年10月15日まで、本稿執筆日2023年12月26日時点で発効版の公布はない
6：国家インターネット情報弁公室及び香港創新科技・工業局、2023年12月10日公布、同日施行

（2023年12月26日作成）

＊本記事は、一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談ください。

*本稿は、三菱UFJ銀行会員制情報サイト「MUFG BizBuddy」（2024年1月掲載）からの転載です。