ブログ
【中国】個人情報越境移転標準契約(中国版SCC)の正式公布~重要ポイントと実務対応~
2023.02.28
はじめに
2023年2月24日に、国家インターネット情報部門[1](以下「情報部門」といいます。)が「個人情報越境移転標準契約弁法[2](以下「本弁法」といいます。)」及びその別紙として「個人情報越境移転標準契約[3](以下「標準契約」といいます。)」の雛形を公布しました[4]。
2021年11月に施行された中国個人情報保護法(以下、単に「法」又は「個人情報保護法」といいます。)第38条第1項では、中国域内の個人情報取扱者が中国域外に個人情報を提供する場合の適法性要件として、①情報部門が定めるセキュリティ評価を経たこと(第1号)、②情報部門の規定に従って専門機構による個人情報保護認証を行ったこと(第2号)に加えて、③情報部門が作成した標準契約[5]に従い、域外の提供先と契約を締結し、双方の権利・義務を約定すること(第3号)が掲げられています。
①については、「データ越境移転セキュリティ評価弁法」(以下「セキュリティ評価弁法」といいます。)[6]が、②については、「個人情報保護認証実施規則」[7]が下位規則としてそれぞれ既に公布されています。③については、2022年6月に本弁法の意見募集稿が公表されていましたが、今回本弁法が正式に公布されたことによって、法で定められた個人情報の越境移転に関する適法性要件が全て明確になったといえます。
個人情報の越境移転は、中国の子会社と日本の親会社との間における顧客情報、従業員情報のやり取りやアクセスでも生じるものであり、中国でも事業を行っている多くの外資系企業でも対応が必要といえます。
標準契約の締結は、実務上、上記3つの個人情報越境移転適法性要件の中でも最も広く活用されることが予想され、その意味でも本弁法は非常に重要な立法といえます。以下では、本弁法及び標準契約の特に重要なポイントと実務対応について解説します。
適用対象
標準契約を締結する方法で個人情報を中国域外へ提供する場合、個人情報取扱者は、以下の条件をすべて満たす必要があります[8]。
①重要情報インフラ運営者ではないこと
②個人情報の取扱量が100万人未満であること
③前年の1月1日から現在までの個人情報の越境提供が累計10万人未満であること
④前年の1月1日から現在までのセンシティブ個人情報の越境提供が1万人未満であること
上記①から④のいずれかを満たさない場合は、情報部門によるセキュリティ評価に合格しなければならない場合であり[9]、この場合には、標準契約の締結による方法で越境移転を行うことはできず、所在地の省レベルの情報部門を通じて、国の情報部門に、データ越境移転セキュリティ評価を申告することが必要となります。
なお、本弁法上は明確には定義されていないものの、上記にいう個人情報の中国域外への提供、越境移転には、中国国内に保管されている個人情報に、中国国外からアクセスし、取り扱うことも含むものと解されます[10]。
個人情報保護影響評価(DPIA)
個人情報取扱者は、中国域外に向けて越境提供を行う前に、事前に個人情報保護影響評価(以下「影響評価」という。)を行う必要があります[11]。
中国個人情報保護法においても影響評価を行うべき項目が定められています[12]が、本弁法では個人情報の越境提供における影響評価の項目が若干追加され、以下のように詳細に規定されています。
- 個人情報取扱者及び域外の提供先による個人情報の取扱目的、範囲、方法等の適法性、正当性及び必要性
- 越境移転される個人情報の規模、範囲、種類、センシティブ度、個人情報の越境移転が個人情報の権益にもたらし得るリスク
- 域外の提供先が引き受けることを承諾した義務、及びその義務を履行するための管理及び技術措置、能力等により、越境移転された個人情報のセキュリティを保障できるか否か
- 個人情報の越境移転後の改竄、毀損、漏洩、喪失、違法利用等のリスク、個人情報の権益を保護するルートがスムーズであるか否か等
- 域外の提供先の所在国又は地域の個人情報保護政策・法規が標準契約の履行に与える影響
- 個人情報の越境移転のセキュリティに影響を及ぼす可能性のあるその他の事項
個人情報保護法上、個人情報の越境移転をする場合のほか、センシティブ個人情報の取り扱いや、個人情報取扱の委託・第三者提供をするような場合にも影響評価報告書を作成することを求めていますが、影響評価の具体的な方法やその他の評価項目については、別途、2021年6月1日から施行されている「個人情報セキュリティ影響評価指南(GB/T 39335-2020)[13]」を参考にすることになると考えられます。
また、個人情報保護法上、影響評価を実施した場合、影響評価報告書を3年間保存する義務が定められていますが[14]、本弁法では、個人情報の越境移転を行うに際して、標準契約と共に影響評価報告書の届出も義務付けられている点で、法に比べても要件が厳格化されているといえます。
影響評価は、越境提供される個人情報のマッピングやそのフローを整理した上で、セキュリティ措置の有効性や個人の権益への影響について検討を行いリスクについて総合的に評価するもので、複雑な分析を要しますので、その実施にあたっては外部の専門家を起用することも有用です。
届出手続
個人情報取扱者は、標準契約の効力発生日から10営業日以内に、所在地の省レベルの情報部門に対して、標準契約と個人情報保護影響評価報告書を届出しなければなりません[15]。
届出は事前の許認可の性質ではないため、個人情報取扱者は、届出の受理を待たずに、標準契約の効力発生後に、直ちに越境提供を行うことができます[16]。
また、標準契約の有効期間内に、①越境提供を行う目的、範囲、種類、センシティブ度、方法、保存場所又は域外の提供先の用途や方法に変化が生じた場合、又は個人情報の域外の保存期間が延長された場合、②域外の提供先の所在する国又は地域の個人情報保護政策・法規に変化等が生じ、個人情報の権益に影響する可能性がある場合、③個人情報の権益に影響する可能性があるその他の状況においては、個人情報取扱者は、改めて影響評価を行い、標準契約を補充、又は改めて締結し届出をしなければなりません[17]。意見募集稿では、改めて影響評価を実施することについては求められておりませんでしたが、本弁法では影響評価の再度の実施をすることが明確にされたといえます。
監督機関及びその職責
省レベル以上の情報部門が、個人情報の越境提供の監督機関として、届出の受理、苦情・通報の受理、監督・処罰の職責を担っています[18]。
省レベル以上の情報部門は、個人情報越境移転活動に比較的大きなリスクが存在することを発見した場合又は個人情報のセキュリティインシデントが発生した場合には、法に従い個人情報取扱者に対して事情聴取を行うことができ、個人情報取扱者は要求に従い潜在的なリスクを是正、除去しなければなりません[19]。
本弁法に違反した場合は、個人情報保護等の法律法規に基づいて処理され、犯罪を構成する場合には刑事責任が追及されます[20]。前述の届出手続及び影響評価は標準契約の効力発生の条件ではないものの、これを実施せず、また届出もせずに個人情報の越境移転をした場合には情報部門から処罰を受けるリスクがあるといえますので、十分留意が必要です。
標準契約(SCC)
標準契約の構成は以下のとおりとなっています。標準契約の詳細については、本稿では触れませんが、意見募集稿の段階から大幅な変更はなく、若干の加除修正がなされているにとどまります。
条文等 | 概要 |
第1条 | 定義 |
第2条 | 個人情報取扱者の義務 |
第3条 | 域外の提供先の義務 |
第4条 | 域外の提供先の所在する国又は地域の個人情報保護政策・法規の契約履行への影響 |
第5条 | 個人情報主体の権利 |
第6条 | 救済 |
第7条 | 契約解除 |
第8条 | 違約責任 |
第9条 | その他 |
附属文書一 | 個人情報越境移転の説明 (1)取扱目的、(2)取扱方法、(3)個人情報の規模、(4)個人情報の種類、(5)センシティブ情報の種類、(6)域外の提供先、(7)伝送方法、(8)保存期間、(9)保存場所、(10)その他の事項 |
附属文書二 | 双方が約定するその他の条項 |
附属文書一は、個人情報主体への告知事項に含めること、域外の提供先が標準契約で負う義務を定めること、再委託先の取扱範囲を定めるものとして利用することが予定されています[21]。
附属文書二において、個人情報取扱者は域外の提供先とその他事項を約定することができますが、標準契約の内容と齟齬がある規定を定めることはできません[22]。なお、本弁法に関する記者会見では、標準契約は本弁法の別紙として付されている標準契約に厳格にしたがうべきと回答されておりますので、その意味では当事者間で独自にフォーマットを作成して標準契約として扱うことは実際上難しいものと考えられます[23]。また、このような当局の姿勢からすれば、当局の方で中国語版以外の標準契約を公表することも考えにくく、そうすると、その場合には多言語版の契約は当事者間で別途用意することになるといえますが、その場合にも言語は中国語版を優先にすることが必要になると思われます。
また、標準契約における紛争解決方法は中国の人民法院での訴訟か、海外を含む仲裁機関での仲裁を選択することができますが、契約の準拠法は中国法によることが強制されており[24]、準拠法を当事者間の合意によって任意に設定することができないという点にも注意が必要です。
施行日
本弁法は、2023年6月1日から施行されますが、本弁法施行前に行われた個人情報越境移転活動が、本弁法の規定に適合しない場合は、本弁法施行の日から6カ月以内に是正する必要があると規定されています。
そのため、特に中国現地にてビジネスを行っており、日ごろ顧客情報や従業員情報の越境移転を行っている外資系企業においては、本弁法の施行に先立ち、随時影響評価や標準契約の締結を行っておくことが求められているといえます。もっとも、特に影響評価の実施に関しては、評価報告書のフォーマットも含め、実務上統一されたものが存在しないことから、今後本弁法の施行に伴って関連する指針やガイドライン等の下位法令が制定されることも予想されるといえ、引き続き立法動向にも注視しつつも、今後の対応については早急に検討をすることが必要といえます。
[1] 「国家互联网信息办公室」
[2] 「个人信息出境标准合同办法」
[3] 「个人信息出境标准合同」
[4] http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm
[5] 標準契約は、EUのGDPR(EU一般データ保護規則)のSCC(Standard Contractual Clause、標準契約条項)に相当するものとして、中国版SCCと呼ばれることがあります。
[6] 「数据出境安全评估办法」
[7] 「个人信息保护认证实施规则」
[8] 本弁法第4条
[9] 法第40条、セキュリティ評価弁法第4条
[10] セキュリティ評価弁法及び同評価申告ガイドライン上は、この点が明確にされています。
[11] 法第55条第4号
[12] 法第56条第1項
[13] 「个人信息安全影响评估指南」
[14] 法第56条第2項
[15] 本弁法第7条第1項
[16] 本弁法第6条第3項
[17] 本弁法第8条
[18] 本弁法第10条、第11条、第12条
[19] 本弁法第11条
[20] 本弁法第12条
[21] 標準契約第2条第2項、第3条第1項、第3条第9項
[22] 本弁法第6条第2項
[23] http://www.cac.gov.cn/2023-02/24/c_1678884829601935.htm
[24] 標準契約第9条第2項、第4項