中国の個人情報域外移転手続き選択時の留意点、認証取得の最新法令動向を弁護士に聞く

中国の「個人情報保護法」では、個人情報の域外移転の要件として、個人情報主体への告知と個別の同意の取得に加え、（ア）安全評価への合格（注1）、（イ）標準契約の締結、（ウ）専門機関による認証取得、（エ）その他のいずれかの手続きを必要とする旨を定めている。うち、（ウ）については、2022年6月24日に発表された「安全認証規範」の改正版（以下、「安全認証規範V2.0」）が12月16日に、「認証実施規則」が11月18日に発表された。ジェトロは（ウ）の下位規則の直近の制定を踏まえ、これら手続きに関する留意点について、西村あさひ法律事務所の野村高志弁護士に聞いた（1月29日時点）。主な内容は以下のとおり。

（問）（ウ）について、下位規則の改正や新たな規則発表で、変更された点や明確になった点は。

（答）当初の「安全認証規範」では、適用対象が「多国籍企業または同一経済実体・事業実体の子会社もしくは関連会社間の個人情報の域外移転」など特定の場合に限定されていた。一方、「安全認証規範V2.0」では、適用対象について、「個人情報取扱者が域外移転処理活動を行う場合」という特定の場合に限定しない包括的な表現に修正された。

「認証実施規則」では、認証の有効期間が3年間と規定されたほか、認証取得の手続きの流れが示された。

（問）（ア）～（ウ）の手続きの選択・検討における留意点について、前回2022年10月24日に解説いただいた（2022年10月25日記事参照）。その後の（ウ）に関する法令制定を踏まえ、（ア）の適用対象とならない場合（注2）に、（イ）（ウ）のどちらの手続きを選択すべきか、検討する際のポイントは。

（答）（イ）では、認証取得のような認証機関の審査は不要であるため、手続き面での費用負担、業務負担などは相対的に軽くなることが予想される。ただし、（イ）に関する「標準契約規定（草案）」は、依然として確定稿の公表が待たれる段階。特に、前回の解説で触れた域外の情報受領者に課される義務がどのように規定されるかなどを、注意深くみていく必要がある。

一方、（ウ）では、認証機関による認証を受けることから、当事者間の契約に基づく（イ）に比べると、後々当局から違反を指摘されるリスクが少ないと考えられる。また、認証マークの取得によって、消費者や顧客企業の信用が得やすいというメリットが挙げられる。ただし、認証実施機関の具体名や認証の基準、手続きの所要時間など不明な点が残ることから、さらなる細則などの発表が待たれる。

このように、いずれの手続きも不確定な部分が残る中で、各社における選択に当たっては、引き続き実務動向をもう少し見極めて判断する必要がある。

なお、ジェトロは1月18日に調査レポート「中国の安全保障貿易管理に関する制度情報 専門家による政策解説（2022年12月）」を公開した。同レポートの中で、「個人情報の域外移転に関する下位規則制定の最新動向(446KB)」と題した解説記事を西村あさひ法律事務所の協力を得て掲載している。

（注1）安全評価への合格の詳細については、2022年10月28日記事および調査レポート「『データ域外移転安全評価弁法』に関する解説および実務対応(355KB)」参照。

（注2）データ域外移転安全評価弁法により、以下のいずれかに該当する場合は「ネットワーク情報部門による安全評価への合格」が必要とされる。

1. 重要データを域外に提供する場合
2. 重要情報インフラ運営者または100万人分以上の個人情報を取り扱うデータ取扱者が、個人情報を域外に提供する場合
3. 前年1月1日から起算し累計で10万人分以上の個人情報または1万人分以上の機微な個人情報を域外に提供したデータ取扱者が、個人情報を域外に提供する場合
4. その他、国家ネットワーク情報部門の定める他の事由がある場合

（小林伶）