2021年10月29日、国家インターネット情報弁公室は「データ越境移転セキュリティ評価弁法(意見募集稿)」を公表し、同年11月28日まで意見募集を行いました。これはデータセキュリティ法31条で、別途国家インターネット情報部門と国務院の関連部門が制定すると定めていた“重要情報インフラ運営者以外のデータ処理者による越境移転のセキュリティ管理”についての詳細規定にあたるものと考えられます。
サイバーセキュリティ法の規定のうち、日系企業への影響が大きいと考えられるデータの越境移転に関わる内容となっており、仮に本意見募集稿を元に正式施行に至った場合は、多くの日系企業で対応が必要となることが想定されます。
本稿では同意見募集稿の概要を整理し、正式施行となる前の段階からできる対策についてまとめています。
1. サイバーセキュリティ法が定めるデータの越境移転とは
サイバーセキュリティ法では、事業者等がインターネットを通じて中国国内で収集・生成した個人情報や重要データを越境移転(海外へ持ち出す)することに制限を設けています。しかし、すべてのデータの越境移転を禁じているわけではありません。個人情報と重要データに限り、越境移転する前に自社または当局でセキュリティ評価を実施すれば越境移転は可能となります。
本意見募集稿は、この「自社で行うセキュリティ評価」と「当局が行うセキュリティ評価」について、詳細を定めています。
2. 自社で行うセキュリティ評価とは
これは事業者等が自ら自主的に実施するセキュリティ評価作業です。越境移転にまつわるリスクを社内で把握しておくことが目的で、本意見募集稿が定めているチェック項目について、一つ一つ基準を満たしているか、要求内容に合致しているかを確認しなければなりません。
(1) 実施が義務付けられる事業者
データの越境移転を行うすべての事業者等に実施が義務付けられています。データの総数がごくわずかだったり、越境移転する回数が年に1回しかなかったり、あるいは顧客やユーザーの個人情報は扱っておらず社員の個人情報を日本の本社に送るだけであったとしても、セキュリティ評価を実施しなければなりません。
(2) セキュリティ評価のチェック項目
セキュリティ評価は、データを越境移転する前に実施する必要があります。本意見募集稿では、具体的に次の事項を重点に自社評価を実施するよう求めています。
- データの越境移転およびデータ受け取り側(日本の本社、米国に所在するマーケティング会社等)のデータ処理の目的、範囲、方式等の合法性、正当性、必要性
- 越境移転するデータの数量、範囲、種類、センシティブ度、およびデータの越境移転が国家の安全、公共の利益、個人または組織の合法的な権益に及ぼすリスク
- データの越境移転のプロセスにおけるデータ処理者の管理上および技術上の対策や能力が、データの漏洩や破壊等のリスクを防止できるか
- 海外のデータ受け取り側が負う責任と義務、およびその責任と義務を果たすための管理、技術的手段、能力が、越境移転するデータのセキュリティを保障できるか
- 越境移転および再移転された後のデータの漏洩、破壊、改ざん、誤用等のリスクと、個人が個人情報の権益を保護するための方法が用意されているか等
- 海外のデータ受け取り側と締結したデータの越境移転に関する契約において、データのセキュリティ保護の責任と義務が適切に合意されているか
3. 当局が行うセキュリティ評価とは
特定の条件に該当する場合に限り、 自社でセキュリティ評価を実施した上で、さらに当局によるセキュリティ評価を受けなければなりません。 当局によるセキュリティ評価は、現地法人等が所在する地域の省レベルのインターネット情報部門を通じて申請します。
(1) 実施が義務付けられる事業者
次にあげる情状のうちいずれかに該当する場合は、当局によるセキュリティ評価の実施が必要となります。
- 重要情報インフラ運営者が収集・生成する個人情報や重要データを越境移転する
- 越境移転するデータに重要データが含まれる
- 取り扱う個人情報が100万人に達するデータ処理者が国外に個人情報を提供する
- 累計で10万人以上、または1万人以上のセンシティブな個人情報を国外に提供する
- 国家インターネット情報部門が規定するその他の申告が必要なケース
(2) 当局によるセキュリティ評価のチェック項目
当局が実施するセキュリティ評価では、データの越境移転が国家の安全、公共の利益、個人や組織の正当な権益に及ぼす可能性のあるリスクについて、具体的に次の事項に重点を置いて評価が行われます。
- 越境移転の目的、範囲、方法等の合法性、正当性、必要性
- 国外のデータ受け取り側が所在する国・地域の情報セキュリティ政策に関連する法律、およびネットワークのセキュリティ環境が越境移転するデータのセキュリティに与える影響。国外のデータ受け取り側のデータセキュリティ水準が中国の法律、行政法規および強制性国家標準の要件を満たしているか
- 越境移転するデータの数量、範囲、種類、センシティブ度、移転中および移転後にデータの漏洩、改ざん、紛失、破壊、転送または不正アクセス、不正使用等が行われるリスク
- データセキュリティおよび個人情報の権益が完全かつ有効に保障されるか
- データ処理者と国外のデータ受け取り側との間で結ばれた契約において、データのセキュリティ保護に関する責任と義務が適切に合意されているか
- 中国の法律、行政法規、部門規則の遵守状況
(3) セキュリティ評価にかかる期間
当局でのセキュリティ評価が完了し、越境移転が了承されるまで、事業者等はデータの越境移転を行うことはできません。
当局でのセキュリティ評価は、事業者等が所在地の省レベルのインターネット情報部門に評価の申請を行った後、当局が申請の受理を通知してから45営業日以内に完了します。特に情状が複雑な場合は期間が延長されることもありますが、通常は60営業日を越えることはないと規定されています。なお、評価の結果は書面にて通知されます。
(4) セキュリティ評価の有効期限
当局が行った評価結果には2年の有効期限があります。有効期限後も継続して越境移転を行う場合は、期限の60営業日前までに所在地の省レベルのインターネット情報部門を通じて再度セキュリティ評価の申請を行わなければなりません。
4. 違反時の罰則
本弁法には罰則が設けられています。セキュリティ評価を実施しない等の違反があった場合、上位法であるサイバーセキュリティ法、データセキュリティ法、個人情報保護法等の規定に基づいて処分が行われます。また単なる違反ではなく、犯罪行為であることが認められた場合には、刑事責任も追及されることになります。
今からできる対策とは
サイバーセキュリティ法37条では、重要情報インフラ運営者が越境移転する場合にセキュリティ評価の実施を義務付けていました。しかし本意見募集稿では重要情報インフラ運営者に該当しなくても、データの越境移転を行うのであればセキュリティ評価の実施が必要だと規定しています。
まだ正式施行には至っていませんが、データの越境移転を行っている事業者では、本意見募集稿で挙げられているチェック項目を確認し、評価実施報告書のような形で結果を整理しておくとよいでしょう。
越境移転したデータを日本の本社ではなく、マーケティング会社等の第三者に提供している場合には、データの取り扱いや情報セキュリティにまつわる契約を見直す必要が生じる可能性もあるため、早めの対応が必要となります。データを受け取る側にも中国の関連法規を順守するよう求めており、万が一、情報漏洩などの事故が発生したり、関連法規の違反があればその責任を代わって追及される可能性があります。
また、自社でのセキュリティ評価に加えて、当局によるセキュリティ評価の実施も必要となるケースでは、当局の了承が出るまでは越境移転ができません。事実上、数カ月に渡って通常業務に支障をきたすことが考えられますので、ビジネスへの影響を最小限にする方策を検討することも欠かせません。
越境移転のセキュリティ評価については、サイバーセキュリティ法が制定されて以降、2017年に2件、2019年に1件の意見募集稿を発表していますが、いずれも正式な公布には至っていませんでした。しかし本意見募集稿は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法というデータの取り扱いを定める3法が出揃った状況下で、これらの下位法令として検討が進められてきていますので、早々に正式公布となる可能性が考えられます。
データ越境移転セキュリティ評価弁法(意見募集稿) (中国語)
