ブログ
【中国】個人情報越境移転標準契約届出ガイドライン(第一版)~重要ポイントと実務対応~
2023.06.05
はじめに
2023年5月30日、国家インターネット情報部門[1](以下「情報部門」といいます。)が、個人情報越境移転標準契約届出ガイドライン[2](第一版)(以下「本ガイドライン」といいます。)を公布しました[3]。
2021年11月1日に施行された中国個人情報保護法(以下、単に「法」又は「個人情報保護法」といいます。)第38条第1項では、中国域内の個人情報取扱者が中国域外に個人情報を提供する場合の適法性要件として、①情報部門が定めるセキュリティ評価を経たこと(第1号)、②情報部門の規定に従って専門機構による個人情報保護認証を行ったこと(第2号)に加えて、③情報部門が作成した標準契約[4]に従い、域外の提供先と契約を締結し、双方の権利・義務を約定したこと(第3号)が掲げられています。
①については、データ越境移転セキュリティ評価弁法(以下「セキュリティ評価弁法」といいます。)[5]が、②については、個人情報保護認証実施規則[6]が、③については、個人情報越境移転標準契約弁法[7](以下「本弁法」といいます。)がそれぞれ下位規則として施行されています[8]。
上記3つの適法性要件の中でも最も広く活用されることが予想されるのが、③の標準契約ですが、2023年2月に公布された本弁法では、標準契約による個人情報の越境移転をするには、関連当事者間で標準契約を締結することに加え、個人情報保護影響評価を実施のうえ、標準契約と個人情報保護影響評価報告書を当局へ届け出ることも要求しています。もっとも、届出の手順や方法、個人情報保護影響評価の形式等については明確にしていませんでした。
そのような中、本ガイドラインでは、標準契約の届出について、適用範囲、届出方法、届出の流れ、必要資料及び個人情報保護影響評価等の要求を明確にしました。
個人情報の越境移転は、中国の子会社と日本の親会社との間における顧客情報、従業員情報のやり取りやアクセスでも生じるものであり、中国で事業を行っている多くの日系企業でも対応が必要となりますので、本ガイドラインの理解は特に中国現地法人を持つ日系企業にとっても極めて重要なものといえます。
適用対象
個人情報取扱者は、標準契約を締結する方法で中国の域外へ個人情報を中国の域外へ提供する場合は、以下の条件をすべて満たす必要があります[9]。
①重要情報インフラ運営者ではないこと
②個人情報の取扱量が100万人未満であること
③前年の1月1日から現在までの個人情報の越境提供が累計10万人未満であること
④前年の1月1日から現在までのセンシティブ個人情報の越境提供が累計1万人未満であること
上記①から④のいずれかを満たさない場合は、情報部門によるセキュリティ評価に合格しなければならず[10]、この場合には、標準契約の締結による方法で越境移転を行うことはできず、所在地の省レベルの情報部門を通じて、国の情報部門に、データ越境移転セキュリティ評価を申告することが必要となります。
なお、個人情報保護法では、越境移転行為について明確に定義されていませんが、セキュリティ評価弁法及びこれに付随するデータ越境移転セキュリティ評価申告ガイドライン[11]において、中国域内の運営において収集・生成したデータを中国の域外へ伝送・保存することだけでなく、中国域内に保管されているデータに、中国域外からアクセスし取り扱うことも含むということが明確にされており[12]、本ガイドラインもこれを踏襲しています[13]。このため、日本の親会社、あるいはその他の海外拠点から中国子会社で保存されている個人情報へアクセスすることも越境移転に該当することに注意が必要です。
届出手続
(1)概説
標準契約の届出は、資料提出、資料検査、結果のフィードバック、補充・再届出の流れで行われます。
個人情報取扱者は、標準契約の効力発生日から10営業日以内に、資料のハードコピーに資料の電子版を添付して送達する方法により、所在地の省レベルの情報部門に対して、以下(2)の資料を届出しなければなりません[14]。届出は事前の許認可の性質を有するものではないため、個人情報取扱者は届出の受理を待たずに、標準契約の効力発生後に、直ちに越境提供を行うことができます[15]。
(2)資料提出
届出において提出すべき資料は、以下のとおりです。
番号 | 資料名称 | 要求 |
1 | 統一社会信用コード証書 | 会社印を押捺した写し |
2 | 法定代表者の身分証書 | 会社印を押捺した写し |
3 | 担当者の身分証書 | 会社印を押捺した写し |
4 | 担当者の授権委託書 | 原本 |
5 | 承諾書 | 原本 |
6 | 標準契約 | 原本 |
7 | 個人情報保護影響評価報告 | 原本 |
本ガイドラインでは4から7の資料について、フォーマットが添付されていますので、基本的には当該フォーマットに沿って書面を準備すればよいといえます。
(3)資料検査及び結果のフィードバック
省レベルの情報部門は資料を受け取った後、15営業日以内に資料検査を完成させ、かつ個人情報取扱者に届出結果を通知することとされています。
届出が通過した場合、省レベルの情報部門は個人情報取扱者に届出コードを付与します。届出が通過せず、資料の追加を要求された場合は、個人情報取扱者は10営業日以内に再提出しなければなりません。
手続の性質としては、許認可ではなく届出とされていますが、実際の届出手続においては、書面の形式審査だけではなく、個人情報の越境移転に係る実質的な審査が行われるものと想定され、そのため本ガイドライン上提出が要求されている前記の各書類以外にも、個人情報取扱規程や越境移転の同意書等を要求される可能性も否定はできません。その意味では、スムーズに届出手続きに対応するためには、個人情報の取扱いに関する規程類の整備も含め、引き続き今後の実際の実務運用に注目しておく必要があるといえます。
また、前述のとおり、届出をせずとも標準契約の締結と発効をもって個人情報の越境移転自体は行うことができるものの、万が一届出手続をなかなか通過することができなかった場合に、事後的に、過去に遡及して個人情報の越境移転が不適法と判断されるのか、といった付随的な問題も実際上は残ったままと思われます。
(4)補充、再届出
標準契約の有効期間内に、以下の状況の一つが発生した場合には、個人情報取扱者は、改めて影響評価を行い、標準契約を補充、又は再度締結して届出をしなければなりません[16]。
①越境提供を行う目的、範囲、種類、センシティブ度合、方法、保存場所又は域外受領者の用途や方法に変化が生じた場合、又は個人情報の域外の保存期間が延長された場合
②域外受領者の所在する国又は地域の個人情報保護政策・法規に変化等が生じ、個人情報の権益に影響する可能性がある場合
③個人情報の権益に影響する可能性があるその他の状況
個人情報取扱者が、標準契約の有効期間内に標準契約を補充した場合は、所在する省レベルの情報部門に補充資料を提出しなければならず、標準契約を再度締結した場合は、再度届出をしなければなりません。補充又は再届出の資料の検査期間は15営業日となっています。
個人情報保護影響評価(DPIA)
(1)概要
個人情報取扱者は、個人情報の越境移転を行う場合には、事前に個人情報保護影響評価(以下「影響評価」といいます。)を行って省レベルの情報部門に届出しなければなりません[17]。個人情報保護法、本弁法においては、影響評価の実施期限について特段明記しておりませんが、本ガイドラインの添付書類となっている、届出必要書類のうち「承諾書」において、影響評価を届出日前の3か月以内に完成させ、かつ届出の日までに重大な変化が発生していないことの表明をすることが要求されておりますので、実質的には届出前3か月以内の影響評価の実施、作成をすることが求められているといえます。
本ガイドラインにおいては、影響評価のフォーマットが添付されており、影響評価の検討・記載項目が以下のとおり明らかにされていますが、越境提供される個人情報やそのフローを整理した上で、セキュリティ措置の有効性や個人の権益への影響について検討を行いリスクについて総合的に評価するものですので、自社で行うことができる組織、企業等であればともかく、専門的な人員や組織が整っていない場合には外部の専門機関に依頼することも検討すべきと思われますし、影響評価のフォーマットにおいても外部への委託をすることも想定された記載があります。
(2)評価業務の概要
評価業務の実施状況、実施期間、組織状況、実施過程、実施方法等の内容を記載します。もし、第三者機関が評価を行う場合は、第三者機関の基本情報、評価への参加状況を記載し、関連内容のページ上に第三者機構の公印を押す必要があります。
(3)越境移転活動の全体状況
個人情報取扱者の基本情報、個人情報の越境移転に関わる業務や情報システム、個人情報の越境移転状況、個人情報取扱者の個人情報保護能力の情報、域外受領者の情報、個人情報の第三者提供の有無及び標準契約条項の履行がどのように確保されているかについて詳細に説明する必要があります。具体的には、以下のものが含まれます。
個人情報取扱者の基本情報 | 1.組織又は個人に関する基本情報 2.持株構造及び実質的支配者についての情報 3.組織構造に関する情報 4.個人情報保護機構に関する情報 5.業務及び個人情報の全体的な状況 6.域内外の投資に関する情報 |
個人情報の越境移転に関わる業務及び情報システムに関する情報 | 1.個人情報の越境移転に関わる業務の基本情報 2.個人情報の越境移転に関わる業務の個人情報の収集・利用に関する情報 3.個人情報の越境移転に関わる業務の情報システム 4.個人情報の越境移転に関わるデータセンター(クラウドサービスを含む)の情報 5.個人情報の越境移転リンクに関する情報 |
越境移転される個人情報に関する情報 | 1.個人情報取扱者及び域外受領者による個人情報の取扱目的、範囲、方法及びその適法性、正当性、必要性の説明 2.越境移転する個人情報の規模、範囲、種類、センシティブ度合、センシティブ個人情報の取扱い、自動意思決定のための個人情報の使用に関する説明 3.越境移転される個人情報が域内で保存されているシステムプラットフォーム、データセンター等の情報、及び越境移転後に保存される予定のシステムプラットフォーム、データセンター等に関する情報 4.個人情報の越境移転後の域外の他の受領者への提供についての情報 |
個人情報取扱者の個人情報保護能力 | 1.組織管理体系と制度の構築、管理の全過程、インシデント対応、個人情報の権益保護等の制度及び実施状況を含む個人情報セキュリティ管理能力 2.個人情報の収集、保存、利用、処理、伝送、提供、開示、削除等の全過程で講じたセキュリティ技術措置を含む個人情報セキュリティ技術能力 3.個人情報保護措置の有効性証明(例えば、個人情報保護認証、個人情報保護コンプライアンス監査、サイバーセキュリティ等級保護評価等。) 4.個人情報保護に関する法令の遵守状況 |
域外受領者に関する情報 | 1.域外受領者の基本情報 2.域外受領者のおける個人情報の利用目的及び取扱方法 3.域外受領者の個人情報保護能力 4.域外受領者の所在する国・地域の個人情報保護に関する政策・法規の情報 5.域外受領者による個人情報の取扱いの全過程の説明 |
個人情報取扱者が説明するために必要と認めるその他の情報 |
(4)越境移転活動の影響評価状況
以下の事項について、影響評価の状況を説明し、特に発見された問題やリスク及び対応する是正措置とその有効性について重点的に説明する必要があります。
- 個人情報取扱者及び域外受領者による個人情報の取扱目的、範囲、方法等の適法性、正当性及び必要性
- 越境移転される個人情報の規模、範囲、種類、センシティブ度合、個人情報の越境移転が個人情報の権益にもたらし得るリスク
- 域外受領者が引き受けることを承諾した義務、及びその義務を履行するための管理及び技術措置、能力等により、越境移転された個人情報のセキュリティを保障できるか否か
- 個人情報の越境移転後の改竄、毀損、漏洩、喪失、違法利用等のリスク、個人情報の権益を保護するルートがスムーズであるか否か等
- 域外の提供先の所在国又は地域の個人情報保護政策・法規が標準契約の履行に与える影響
- 個人情報の越境移転のセキュリティに影響を及ぼす可能性のあるその他の事項
(5)結論
以上の影響評価と是正状況を総合的に考慮し、理由と根拠を説明して、個人情報の越境移転活動に対する影響評価の客観的な結論を出します。
本ガイドラインが公布される以前は、2021年6月1日から施行されている個人情報セキュリティ影響評価指南(GB/T 39335-2020)[18]を参照して影響評価を実施している例が多かったと思われますが、今後は本ガイドラインの形式及び内容を基準として影響評価を実施することになるものと思われます。同ガイドラインも引き続き参照は可能と思われる一方、実際に当局がどういった影響評価の記載内容を要求しているのかという点については、今後も実務動向を見ながら対応していくことが求められるといえます。
今後の対応
特に中国現地にてビジネスを行っており、日ごろ顧客情報や従業員情報の越境移転を行っている外資系企業においては、標準契約の届出に向けて、以下の流れで対応していくことが考えられます。
①越境移転する個人情報の内容やデータのフローを整理する
②個人情報取扱規程の修正や越境移転の同意取得等の必要な是正対応を行う
③影響評価を実施する
④標準契約を作成し、域外受領者と標準契約を締結する
⑤提出資料を揃え、届出を行い、当局からのフィードバックに対して対応を行う
⑥届出が終わった後も、補充や再提出が必要となった場合に対応を行う
本弁法は、2023年6月1日から施行されていますが、本弁法施行の日から6カ月の猶予期間(2023年11月30日まで)が規定されています。しかし、各フェーズにおいて対応すべき事項が多いため、6か月の猶予期間に関わらずなるべく早めに対応する必要があるといえる一方、引き続き当局の実務運用の動向を注視することも必要といえます[19]。
また、標準契約や影響評価報告を作成するために、域外受領者からさまざな情報(データを保存するプラットフォームやデータセンター等)をヒアリングしたり、域外受領者と標準契約を締結しなければなりませんが、特に域外受領者が取引先等、自社の関係会社以外の主体であるような場合には、域外受領者が情報提供や標準契約の締結を拒絶する場合もあり、対応が順調に進まない可能性もありますので、この側面からも特にグループ企業間以外での個人情報の越境移転を行っているような個人情報取扱者においては、早めの対応をすることが望ましいといえます。
[1] 「国家互联网信息办公室」
[2] 「个人信息出境标准合同备案指南(第一版)」
[3] http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm
[4] 標準契約は、EUのGDPR(EU一般データ保護規則)のSCC(Standard Contractual Clause、標準契約条項)に相当するものとして、中国版SCCと呼ばれることがあります。
[5] 「数据出境安全评估办法」
[6] 「个人信息保护认证实施规则」
[7] 「个人信息出境标准合同办法」
[8] 本弁法に関しては、別途弊所ブログ「個人情報越境移転標準契約(中国版SCC)の正式公布~重要ポイントと実務対応~」をご参照ください。
[9] 本弁法第4条、本ガイドライン第1条第1項
[10] 法第40条、セキュリティ評価弁法第4条
[11] 「数据出境安全评估申报指南」
[12] データ越境移転セキュリティ評価申告ガイドライン第1条第2項
[13] 本ガイドライン第1条第4項
[14] 本弁法第7条第1項、本ガイドライン第2条
[15] 本弁法第6条第3項
[16] 本弁法第8条
[17] 本弁法第7条第1項第2号
[18] 「个人信息安全影响评估指南」
[19] なお、2023年6月2日時点で北京市の情報部門が「北京市個人情報越境移転標準契約届出ガイド」(北京市个人信息出境标准合同备案指引)を公布しており、今後も各都市の情報部門が、その都市に応じた個別のガイドラインを公布することが想定されます。したがって、中国国内の複数の都市に現地法人を持ち、現地法人ごとに個人情報の越境移転がなされる場合には、その都市に応じたガイドラインも参照することが必要です。