重要データの識別を行う上での留意点、弁護士に聞く

中国政府は近年、データセキュリティー確保などの観点から、データの域外移転に関する法整備を進めている。2022年9月1日に施行された「データ域外移転安全評価弁法」では、重要データの域外移転に係る安全評価の申告手続きが明文化され、同評価への対応の必要性を判断するうえで、企業による重要データの識別作業が必須となった。

ジェトロは日系企業が重要データの識別を行う際の留意点などについて、北京市環球法律事務所の劉淑珺弁護士と鮑栄振弁護士に聞いた（1月29日）。主な内容は以下のとおり。

（問）データ域外移転安全評価における重要データの定義は。

（答）2023年1月時点で、法令上、重要データに関する明確な定義は定められていない。しかし、データセキュリティー法第21条（注）を踏まえると「改竄（かいざん」、破壊、漏洩（ろうえい）または不正取得、不正利用された場合における国家安全、公共利益または個人、組織の合法的権益が脅かされるデータ」に該当するものが重要データ、と読み解くことができる。

（問）重要データの識別を行う際に留意すべき点は。

（答）重要データの識別において、企業は「国家安全に影響を与えるか否か」という観点から検討する必要がある。意見募集稿の規定からとなるが、ここで述べる「国家安全に影響を与えうる重要データ」とは、例えば、中国の輸出禁止・輸出制限品目の設計原理、生産工程、製作方法などを表す情報およびソースコード、集積回路図などがある。また、大量の人口の診療および健康管理のデータ、疾病の防疫データなどが該当すると考えられる。一般企業の取り扱うデータが国家の安全に関わる可能性は低いが、重要データに該当するデータを取り扱う業界・分野は幅広く、一般企業も含まれる可能性がある。重要データの識別に当たっては、これまでに公表されている、特定の業界・分野向けの重要データに関する法令・ガイドラインなどを参考とすることができる。例えば、2021年10月1日に施行された「自動車データ安全管理についての若干規定（試行）」がある。

また、最初の識別において重要データに該当しないと判断したデータでも、データの量や用途、客観的状況の変化などにより、今後、重要データに該当する可能性もある。そのため、企業は取り扱う全てのデータに対して、定期的に、重要データの識別作業を実施し、確認していく必要がある。

（問）日系企業が重要データの識別を行うに当たっての実務的なアドバイスは。

（答）前述のとおり、重要データに該当するデータを取り扱う可能性のある業界・分野は幅広く、重要データの識別は全ての企業において重要な問題として考えなければならない。企業は、多少厳しめの基準をもって、重要データを識別するようにし、識別ができない場合は、自業界を主管する政府機関やインターネット情報機関に問い合わせることをお勧めする。

なお、ジェトロは2022年12月26日に調査レポート「中国の安全保障貿易管理に関する制度情報 専門家による政策解説（2022年11月）」を公開した。同レポートの中で、「重要データの識別・認定(435KB)」と題した解説記事を北京市環球法律事務所の協力を得て掲載している。

（注）「データセキュリティー法」第21条では、「国は、データ分類・等級付け保護制度を確立し、データの経済社会発展における重要度、および改竄、破壊、漏洩または不正取得、不正利用された場合における国家安全、公共利益または個人、組織の合法的権益が脅かされる程度に基づき、データに対し分類・等級付け保護を実行する。国家データセキュリティー業務協調メカニズムは、関係機関を統括・調整し、重要データ目録を制定し、重要データに対する保護を強化させる」と示されている。

（片小田廣大）