第64回　「データ越境安全評価弁法」の概要

概要

中国の「データ越境安全評価弁法」（以下「本弁法」といいます）が2022年9月1日から施行されました。本弁法では、データの取扱者等が海外へ重要データ又は個人情報を提供する場合にデータ越境の安全評価を行わなければならない旨を規定しています。本稿では、本弁法が規定するデータ越境安全評価の対象、評価手続、提出資料等について概説します。

1.はじめに

国家インターネット情報弁公室が2022年7月7日に「データ越境安全評価弁法」¹（以下「本弁法」といいます）を公布し、本弁法は2022年9月1日より施行されています。本弁法は、その名称のとおり、中国から海外へのデータ越境時に実施しなければならない安全評価について規定しています。中国に進出している日系企業においては、日常的に日本の親会社等との間でデータのやり取りを行っていることも少なくないと思われます。本稿では、本弁法の概要、具体的にはデータ越境安全評価の対象、評価手続、提出資料等について概説します。

2.データ越境安全評価の対象

（1）対象に関する規定
データ取扱者がデータを国外に提供する場合において、次に掲げる状況のいずれかに該当するときは、所在地の省クラスのネットワーク情報部門を通じて国家ネットワーク情報部門にデータ越境安全評価を申告しなければなりません（本弁法第4条）。
1）データ取扱者が重要データを国外に提供するとき
2）重要な情報インフラの運営者及び100万人分以上の個人情報を取り扱うデータ取扱者が個人情報を国外に提供するとき
3）前年1月1日からの累計で、10万人分の個人情報又は1万人分の機微な個人情報を国外に提供したデータ取扱者が個人情報を国外に提供するとき
4）国家ネットワーク情報部門の定める、データ越境安全評価を申告する必要があるその他の状況

（2）対象に関連する定義
ア　重要データ
重要データとは、ひとたび改ざん、破壊、漏えい又は不正取得、不正利用等が行われると、国の安全、経済の運営、社会の安定、公衆衛生及び公共の安全等が脅かされるおそれのあるデータを指します（本弁法第19条）。
本弁法には重要データに関するより詳細な規定はありませんが、「工業・情報化分野データ安全管理弁法（試行）」²及び「自動車データ安全管理若干規定（試行）」³には、各業界の重要データに関する規定が設けられています。

まず、「工業・情報化分野データ安全管理弁法（試行）」では、データを一般データ、重要データ、核心データの3つに分類し、そのうち、重要データと核心データの越境においては、データ越境安全評価を行う必要があるとしています。
同弁法第10条によれば、危害の程度が次に掲げる条件のいずれかに該当するデータが重要データとされています。
1）政治、国土、軍事、経済、文化、社会、科学技術、電磁、ネットワーク、生態、資源、原子力安全等に対して脅威を構成し、海外の利益、生物、宇宙、極地、深海、人工知能等国の安全に関係する重点分野に影響を与えるデータ
2）工業・情報化分野の発展、生産、運営及び経済利益等に対して深刻な影響をもたらすデータ
3）重大なデータ安全事象又は生産安全事故をもたらし、公共の利益又は個人、組織の適法な権益に対して深刻な影響をもたらし、社会に大きなマイナスの影響を及ぼすデータ
4）誘発するカスケード効果が顕著であり、影響を及ぼす範囲が多くの業界、エリア又は業界内の多くの企業にわたり、又は影響の継続期間が長く、業界の発展、技術の進歩及び産業生態等に対して深刻な影響をもたらすデータ
5）工業・情報化部の評価により確定されたその他の重要データ

また、同弁法第11条によれば、危害の程度が次に掲げる条件のいずれかに該当するデータが核心データとされています。
1）政治、国土、軍事、経済、文化、社会、科学技術、電磁、ネットワーク、生態、資源、原子力安全等に対して深刻な脅威を構成し、海外の利益、生物、宇宙、極地、深海、人工知能等国の安全に関係する重点分野に深刻な影響を与えるデータ
2）工業・情報化分野及びその重要な中核企業、重要な情報インフラ施設、重要資源等に対して重大な影響をもたらすデータ
3）工業生産運営、電気通信ネットワーク及びインターネット運営サービス、無線通信業務の実施等に対して重大な損害をもたらし、これにより広範囲の操業停止・生産停止、広面積の無線通信業務の中断、大規模なネットワークとサービスの麻痺状態、大量の業務処理能力の喪失等を生じさせるデータ
4）工業・情報化部の評価により確定されたその他の核心データ

次に、「自動車データ安全管理若干規定（試行）」第3条では、重要データには次のものが含まれるとしています。
1）軍事管理区、国防科学技術工業組織及び県クラス以上の党・政府の機関等重要な敏感エリアの地理情報、人員の流量、車両の流量等のデータ
2）車両の流量、物流等経済の運営状況を反映するデータ
3）自動車充電網の運営データ
4）顔情報、ナンバープレート情報等が含まれる車外の映像、画像データ
5）関係する個人情報主体が10万人を超える個人情報
6）国のネットワーク情報部門及び国務院の発展改革、工業・情報化、公安、交通運輸等の関係部門が確定する国の安全、公共の利益又は個人、組織の適法な権益を脅かすおそれのあるその他のデータ

イ　個人情報及び機微な個人情報
個人情報とは、電子的又はその他の方式により記録される、すでに識別されている自然人又は識別可能な自然人に関する各種情報であり、匿名化が施された情報は含まれません（「個人情報保護法」⁴第4条）。

また、機微な個人情報とは、ひとたび漏えいしたり、不正に使用されたりすると、自然人の人格の尊厳が侵害を受け、又は人身、財産の安全が害されやすい個人情報であり、生体認証、宗教信仰、特定の地位、医療・健康、金融口座、行動履歴等の情報、並びに14歳未満の未成年者の個人情報が含まれます（「個人情報保護法」第28条）。

なお、「情報安全技術　個人情報安全規範」⁵において、個人情報及び機微な個人情報の例示がなされており（同規範表A.1「個人情報例示」及び表B.1「機微な個人情報例示」）、参考に値します。

ウ　重要な情報インフラの運営者
重要な情報インフラとは、公共の通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業界及び分野の、並びにひとたび破壊され、機能を喪失し又はデータが漏えいすると、国の安全、国の経済と国民の生活、公共の利益に深刻な危害をもたらすおそれのある重要なネットワーク施設、情報システム等を指します（「重要な情報インフラ安全保護条例」⁶第2条）。そして、こうした施設の運営者が重要な情報インフラの運営者となります。

3.データ越境安全評価の手続

データ越境安全評価には、主に、国外のデータ受領者との契約等法的文書の締結、データ取扱者のリスク自己評価及びデータ越境安全評価の申告という3つの重要なステップが含まれています。

（1）データ取扱者と国外受領者との法的文書の締結
データ取扱者は、国外受領者と締結予定の法的文書において、少なくとも次の内容を含むデータ安全保護責任・義務を明確に取り決めなければなりません（本弁法第9条）。
1）データ越境の目的、方式及びデータの範囲、国外受領者がデータを取り扱う用途、方式等
2）国外におけるデータの保存場所、保存期間、及び保存期限到来後、取り決めた目的の完了後又は法的文書の終了後における、越境データの取扱・措置
3）国外受領者が越境データをさらに他の組織、個人に移転することに対する拘束的な要求
4）国外受領者の実質的支配権もしくは経営範囲に実質的な変化が発生したことにより、又は所在国、所在地域におけるデータ安全保護政策・法規及びサイバーセキュリティ環境に変化が発生したこと及びその他不可抗力の状況が発生したことにより、データの安全を保障することが困難となった場合に講じなければならないセキュリティ措置
5）法的文書において取り決めたデータ安全保護義務に違反した場合の救済措置、違約責任及び紛争解決方式
6）越境データが改ざん、破壊、漏えい、紛失、移転又は不正取得、不正利用等のリスクに見舞われた場合における、応急処置を適切に実施することに対する要求及び個人によるその個人情報権益の保護を保障するための手段及び方式

個人情報の越境に関してデータ取扱者と国外受領者が締結予定の法的文書（契約）について、国家インターネット情報弁公室は2022年6月30日に「個人情報越境標準契約規定（意見募集稿）」7を公表しており、データ取扱者は当該規定中の標準契約を参考にして契約を締結することができます。なお、重要データの越境についてはまだ標準契約は指定されていません。

（2）データ越境リスク自己評価
データ取扱者は、データ越境安全評価を申告する前に、データ越境リスク自己評価を実施しなければならず、自己評価は国家インターネット情報弁公室の指定するテンプレート（「データ越境安全評価申告ガイドライン（第1版）」⁸（以下「本ガイドライン」といいます）の付属文書）を使用して、次の事項を重点的に評価します（本弁法第5条）。
1）データ越境及び国外受領者によるデータ取扱の目的、範囲、方式等の適法性、正当性、必要性
2）越境データの規模、範囲、種類、機微の程度、データの越境により国の安全、公共の利益、個人又は組織の適法な権益にもたらされるおそれのあるリスク
3）国外受領者が負担することを承諾した責任・義務、並びに責任・義務の履行にかかる管理措置及び技術的な措置、能力等が越境データの安全を保障できるか否か
4）データ越境中及び越境後に改ざん、破壊、漏えい、紛失、移転又は不正取得、不正利用等に見舞われるリスク、個人情報権益を守るためのルートが確立しているか否か等
5）国外受領者と締結予定のデータの越境に関する契約又は法的効力を有するその他の文書等において、データ安全保護責任・義務を十分に取り決めているか否か
6）データ越境の安全に影響を与えるおそれのあるその他の事項

（3）データ越境安全評価
上記（1）（2）の手続の完了後、所在地の省クラスのネットワーク情報部門を通じて国家ネットワーク情報部門に対してデータ越境安全評価を申告します（本弁法第6条）。

4.データ越境安全評価申告時の提出資料等

（1）申告の流れ
データ取扱者によるデータ越境安全評価の申告は、所在地の省クラスのネットワーク情報弁公室を通じて行わなければなりません。申告方式は、書面の申告資料の送達と資料の電子版の添付とされています（本ガイドライン2.）。

（2）提出資料
データ取扱者はデータ越境安全評価の申告において、次の資料を提出しなければなりません（本ガイドライン3.）。
1）統一社会信用コード証明書の写し
2）法定代表者の本人確認証明書の写し
3）担当者の本人確認証明書の写し
4）担当者の授権委任状
5）データ越境安全評価申告書
6）国外受領者と締結予定のデータの越境に関する契約又は法的効力を有するその他の文書の写し
7）データ越境リスク自己評価報告書
8）その他、関連証明資料

このうち、担当者の授権委任状、データ越境安全評価申告書、データ越境リスク自己評価報告書は、本ガイドラインの付属文書のテンプレートを使用することとなります。

5.終わりに

本弁法第20条では、本弁法の施行前においてすでに実施されているデータ越境活動についても、本弁法の規定に適合しない場合、本弁法の施行日から6か月以内に改善を完了しなければならないものとしています。このため、今後発生するデータ越境活動だけでなく、既存のデータ越境活動についても、そのデータ越境活動の内容（データの種類等）を確認の上で、データ越境安全評価の要否について遅滞なく検討を行うことをお勧めします。

********************************************************************************
1：国家互聯網信息弁公室令第11号、2022年7月7日公布、同年9月1日施行
2：工信部網安［2022］166号、2022年12月8日公布、2023年1月1日施行
3：国家互聯網信息弁公室、中華人民共和国国家発展及び改革委員会、中華人民共和国工業及び信息化部、中華人民共和国公安部、中華人民共和国交通運輸部令第7号、2021年8月16日公布、同年10月1日施行
4：中華人民共和国主席令第91号、2021年8月20日公布、同年11月1日施行
5：GB/T35273-2020、2020年3月6日公布、同年10月1日施行
6：国務院令第745号、2021年7月30日公布、同年9月1日施行
7：http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm
8：2022年8月31日公布、同年9月1日施行

（2023年1月17日作成）

＊本記事は、一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。具体的な法律問題についての法的助言をご希望される方は当事務所にご相談ください。

*本稿は、三菱UFJ銀行会員制情報サイト「MUFG BizBuddy」（2023年1月掲載）からの転載です。