中国の個人情報域外移転手続きの選択・検討における留意点、弁護士に聞く

中国の「個人情報保護法」では、個人情報の域外移転の要件として、個人情報主体への告知と個別の同意の取得に加え、（ア）安全評価への合格、（イ）標準契約の締結、（ウ）専門機関による認証取得、のいずれかの手続きを必要とする旨を定めている。ジェトロは10月24日、直近の下位規則の制定動向を踏まえたこれら手続きに関する留意点について、西村あさひ法律事務所の野村高志弁護士に聞いた。主な内容は以下のとおり。

（問）それぞれの手続きについて、下位規則の整備状況は。

（答）（ア）に関しては、手続きの詳細を規定した「データ域外移転安全評価弁法」が9月1日に施行された（注1）。

また、（イ）に関しては、6月30日に「個人情報域外移転標準契約規定」の意見募集稿（以下、本草案）が公表され、手続きの流れや契約書のひな型案などが示された。（ウ）に関しては、6月24日に「ネットワーク安全標準実践指南 個人情報域外移転処理活動安全認証規範」（以下、本規範）が公表された。

（問）（ア）～（ウ）の手続きを選択・検討するうえでの留意点は。

（答）重要データや規定数を超える個人情報を取扱う場合には、（ア）を選択する必要が生じる。（ア）は、政府主管部門が自ら安全評価を行うことから、（イ）（ウ）と比較し厳格な手続きとなるものと捉えられる。

一方、（イ）は、個人情報の取扱者と域外の受領者との間で契約を締結するかたちとなるため、（ア）～（ウ）の中で最も任意に選択しやすい方法となるとの見方もされてきた。しかし、本草案では、届け出の手続き（注2）が必要とされ、かつ、域外の受領者が中国政府機関の監督管理を受けることに同意する必要性などの規定も含まれる。これらが実行に移されるならば、当初の想定と比較すると、企業にとっての負担は必ずしも軽くないとも捉えられる。

（ウ）に関しては、本規範が定める適用対象の１つに「多国籍企業または同一経済実体・事業実体の子会社もしくは関連会社間の個人情報の域外移転」が含まれる。したがって、中国の子会社から日本の親会社への個人情報の域外移転時などに選択しうる手続きとしても注目される。しかし、本規範では認証取得に関する具体的な申請方法や、認証の有効期間など、手続きの詳細について記載されておらず、細則の公表が待たれる部分が多く残る。

（問）（イ）または（ウ）の手続きを想定する場合、現段階で取りうる対応は。

（答）（イ）に関する本草案は、意見募集稿の段階ではあるものの、（ウ）に関する本規範に比べ、より具体化されている。したがって、まずは本草案を参照しながら、正式公布を見据えて準備しておくことが一案。他方で、（ウ）についても細則に関する情報収集を続け、両にらみで検討を進める対応が望ましい。

なお、ジェトロは9月20日に調査レポート「中国の安全保障貿易管理に関する制度情報 専門家による政策解説（2022年8月）」を公開。同レポートの中で、「個人情報の域外移転に関する下位規則制定の最新動向(422KB)」と題した解説記事を、西村あさひ法律事務所の協力を得て掲載している。

（注1）詳細は、「『データ域外移転安全評価弁法』に関する解説および実務対応」(355KB)を参照。

（注2）「個人情報保護影響評価」を実施した後、標準契約の効力発生日から10営業日以内に所在地の省レベルのネットワーク情報部門に届け出を行う必要があるとされている。

（小林伶）