データ域外移転の安全評価における実務上の留意点、弁護士に聞く

中国政府は、近年、データセキュリティー確保などの観点からデータの域外移転に関する法整備を進めている。2021年に施行された「データセキュリティー法」および「個人情報保護法」では、重要データや個人情報の域外移転に対する安全評価の義務が明文化された。これを受け、国家インターネット情報弁公室は2022年7月7日に、安全評価の適用範囲や手続きなどについて定めた「データ域外移転安全評価弁法」（以下、「評価弁法」）を公布している。

ジェトロは10月27日、中国に進出する日系企業がデータ域外移転の安全評価を行う際の留意点などについて、北京市環球法律事務所の劉淑珺弁護士と鮑栄振弁護士に聞いた。主な内容は以下のとおり。

（問）データ域外移転安全評価における域外移転の定義は。

（答）国家インターネット情報弁公室は、データの域外移転と見なされる活動について「データ取扱者が、中国国内の運営において収集および発生したデータを域外に伝達し、保管すること」、また「データ取扱者が､中国国内の運営において収集および発生したデータを中国国内に保管し、域外の機構や組織、個人によるアクセスまたは使用が可能な状態になっていること」が含まれるとしている。

（問）安全評価の申告が必要か否かを判断する際の注意点は。

（答）適用対象として「評価弁法」第4条で示されているいずれかの状況（注1）に該当する場合、国家インターネット情報機関にデータ域外移転安全評価を申告しなければならない。特に、日系企業は（1）「重要情報インフラ運営者」に該当するか否か、（2）「100万人以上の個人情報を取扱っているデータ取扱者」に該当するか否か、（3）過去に域外移転を行った個人情報および機微な個人情報をどれくらい有しているかといった点に注意すべきだ。（1）と（2）に該当する場合は、域外移転する個人情報の数量を問わず、データの域外移転時に申告が必要となる。また（3）を確認した結果、前年の1月1日から累計で10万人分以上の個人情報または1万人分以上の機微な個人情報の域外移転を行っている事業者は（重要情報インフラ運営者か否かにかかわらず）申告が必要になる点にも考慮が必要だ。

（問）日系企業が安全評価を行うにあたっての実務的なアドバイスは。

（答）まず、個人情報を移転する予定があれば、「個人情報保護影響評価」（注2）を実施し、合わせて域外移転するデータの詳細や域外移転先におけるデータの取扱方法などの事項を一通り整理すると良い。そうすれば安全評価の申告要否についても初歩的な判断が可能となり、その評価結果を活用することで、データ域外移転リスク自己評価報告書（安全評価申告時の必要書類の一つ）もスムーズに作成することができる。

なお、ジェトロは9月20日に調査レポート「中国の安全保障貿易管理に関する制度情報 専門家による政策解説（2022年8月）」を公開。同レポートの中で、「『データ域外移転安全評価弁法』に関する解説および実務対応(355KB)」と題した解説記事を北京市環球法律事務所の協力を得て掲載している。

（注1）「評価弁法」第4条では、安全評価の申告が必要な状況について、(1)データ取扱者が重要データを域外に提供するとき、(2)重要情報インフラ運営者および100万人以上の個人情報を取扱っているデータ取扱者が個人情報を域外に提供するとき、(3)前年の1月1日から累計で10万人以上の個人情報または1万人以上の機微な個人情報を域外に提供しているデータ取扱者が個人情報を域外に提供するとき、(4)国家インターネット情報機関が定めるデータ域外移転安全評価の申告を必要とするその他の事由があるとき、と定めている。

（注2）個人情報保護法における「個人情報保護影響評価」については「『個人情報保護法』の実務上のポイント～中国の安全保障貿易管理に関する制度情報専門家による政策解説～(586KB)」を参照。

（片小田廣大）