2022年7月7日、中国の「データ越境移転セキュリティ評価弁法」(以下「弁法」という)が公布され、同年9月1日から施行されている。本弁法は、データ処理者に対しての個人情報および重要データを含むデータの越境移転に関し、当局によるセキュリティ評価を要する場合と評価の申請、審査等を定めたものとなる。
本稿では、本弁法の2023年2月時点までの実施状況をまとめている。
1.セキュリティ評価が要求される対象
本弁法では、データを中国国外に提供する場合であって以下(1)~(4)のいずれかに該当するときは,所在地における省レベルのインターネット情報部門を通じ、国家インターネット情報部門にデータ越境移転セキュリテ評価を申請しなければならない。(第4条)
(1) データ処理者が重要データを中国国外に提供する場合
(2)重要情報インフラ運営者または100万人分以上の個人情報を取扱っているデータ処理者が中国国外に個人情報を提供する場合
(3)前年1月1日以降の累計で10万人分以上の個人情報または1万人分以上のセンシティブな個人情報を国外に提供したデータ処理者が個人情報を国外に提供する場合
(4)その他、国家インターネット情報部門が定めるデータ越境移転セキュリティ評価申請を必要とする場合。
一般的に、日系企業は重要情報インフラ運営者に該当する可能性が低いが、個人情報を含むデータを越境移転することはよくあることである。特に、BtoCの事業を営む企業であれば、上記(2)、(3)の条件を満たすことは容易であると言われている。
これ以外に、日本本社の集中管理によりデータ越境移転が発生する場合も多い。例えば、日本本社が中国国内子会社に統一的な人事管理システムの使用を要求し、国内従業員の個人情報を国外に移転または保管することがある。または、日本本社がERPやCRMシステムを通じて中国国内子会社が業務中に収集した顧客やサプライヤーの連絡先などの個人情報にアクセスすることも法律上のデータ越境移転に該当する。データが一定数に達すれば、当局によるセキュリティ評価を受ける必要性がある。
2.セキュリティ評価の実施状況
(1)各地の実施状況
①北京市インターネット情報弁公室の実施現状
2023年1月18日、北京市インターネット情報弁公室情報弁公室は、1月18日までの実績を公開している。
問い合わせ電話: 700通
問い合わせ企業社数: 270社
正式に申請した企業:16社(マスメディア、医療、金融、自動車、民用航空等)
仮申請に通過した企業:10社
本申請に通過した企業:2社
②上海市インターネット情報弁公室の実施現状
2023年2月1日、上海市インターネット情報弁公室は、1月31日までの実績を公開している。
問い合わせ電話: 1300通
正式に申請した企業:67社(医療、金融、自動車等)
仮申請に通過した企業:35社(仮申請審査中17社)
本申請に通過した企業:0社
(2)本申請に通過した企業の状況紹介
| 事例1 | 事例2 |
| 業界:医療 中国側:首都医科大学附属北京友誼病院 外国側:オランダのアムステルダム大学医療センター 目的:国際的な医学研究協力の促進 | 業界:航空 申請者:中国国際航空株式会社 |
3.まとめ
現時点までの公表内容から見ると、セキュリティ評価合格の事例は2件のみ、その内外資企業の合格事例は0件である。同時に、北京と上海以外の地域の申請状況も不明確な状況である。しかし、本弁法第20条では、本弁法施行までに行われたデータの越境移転が本弁法の規定に適合しない場合、猶予期間となる6カ月間内(2023年3月1日まで)に是正しなければならないとしている。現時点ですでに上記の猶予期間が過ぎている為、今後は申請件数が増加すると予想される。
日系企業も早めの対応が必要となる。上記の本弁法第4条の内容に照らし合わせて、先ずは自社のセキュリティ評価申請の必要性を判断する必要がある。セキュリティ評価を申請する必要があると判断した場合、越境移転するデータの詳細やデータの受信側(日本本社または他の国外受信者)におけるデータの取扱方法等の本弁法関連事項を一通り整理した上で申請の手続きを進める必要がある。
本弁法では、データの送信側(中国現地法人)だけではなく、データの受信側(日本本社または他の国外受信者)にも関連する法律で定められているデータ保護レベル要求に達することを求めている。本弁法には単独の罰則が設けられていないが、セキュリティ評価を実施しない等の違反があった場合、上位法であるサイバーセキュリティ法、データセキュリティ法、個人情報保護法等の規定に基づいて処罰が行われることになる。
北京市の実施現状(北京市インターネット情報弁公室のWeChat公式アカウント、中国語)
https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g
