要約と結論
2022年7月7日に施行された「データ越境移転セキュリティ評価弁法」(以下「弁法」という)により、中国から国外へのデータ移転には一定条件下で当局の審査が必要となった。
現時点では審査通過事例は極めて少なく、特に外資企業の通過実績は確認されていない。今後は申請増加が見込まれ、日系企業も早期対応が求められる。
セキュリティ評価が要求される対象
本弁法では、中国国外へデータを提供する場合、以下のいずれかに該当するときはセキュリティ評価の申請が必要となる(第4条)。
(1) データ処理者が重要データを国外に提供する場合
(2) 重要情報インフラ運営者、または100万人分以上の個人情報を扱う事業者が個人情報を国外に提供する場合
(3) 前年以降の累計で
- 10万人以上の個人情報
- または1万人以上のセンシティブ個人情報
を国外提供した事業者が、さらに提供する場合
(4) その他、当局が指定するケース
一般的に日系企業が「重要情報インフラ運営者」に該当するケースは多くないが、個人情報の越境移転は実務上非常に発生しやすい。
例えば:
- 日本本社による人事データの集中管理
- ERP・CRMを通じた顧客・取引先データの共有
こうしたケースも法的には「越境移転」に該当するため注意が必要である。
セキュリティ評価の実施状況
北京市 および 上海市の状況
北京市 および 上海市 のインターネット情報弁公室が公開している実績は下記の通りで、申請数に対して通過数は極めて少ないのが現状といえる。
①北京市(2023年1月18日までの実績)
- 問い合わせ:700件
- 申請企業:16社
- 仮申請通過:10社
- 本申請通過:2社
②上海市(2023年1月31日までの実績)
- 問い合わせ:1300件
- 申請企業:67社
- 仮申請通過:35社
- 本申請通過:0社
通過事例
本申請に通過した下記のような企業例もあるが、いずれも限定的な用途での例外的ケースであるといえる。
- 医療分野:
中国側:首都医科大学附属北京友誼病院
外国側:オランダのアムステルダム大学医療センター
目的:国際的な医学研究協力の促進 - 航空分野:
業界:航空
申請者:中国国際航空株式会社
現状と今後の対応ポイント
現時点では、
- 審査通過事例は極めて少数(特に外資はゼロ)
- 地域による運用差も大きい
- 実務の不透明性が高い
という状況にある。
一方で、本弁法では施行前の既存データ移転にも是正義務(猶予6ヶ月)が課されており、すでに猶予期間は終了している。
そのため今後は:
- 申請件数の増加
- 監督強化
- 違反リスクの顕在化
が進むと見られる。
日系企業が取るべき対応
特に重要なのは以下の3点:
- 自社が対象かの判定(第4条)
- 越境移転データの棚卸し
- 受信側(日本本社等)の管理体制整備
また本弁法は、送信側(中国法人)だけでなく受信側(日本本社)にも責任が及ぶ点が大きな特徴である。
なお、本弁法自体に直接の罰則はないが、違反時には:
- サイバーセキュリティ法
- データセキュリティ法
- 個人情報保護法
に基づき厳しい処分が科される可能性がある。
情報元:
北京市の実施現状(北京市インターネット情報弁公室のWeChat公式アカウント、中国語)
https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g
中国の法規制対応に課題をお持ちの方へ
本記事では、「データ越境移転セキュリティ評価弁法」の実施状況をご紹介しました。中国におけるデータ規制は頻繁にアップデートされており、正確な理解と適切な対応が求められます。
当社では、中国における各種法規制への対応について、実務に即したアドバイザリーサービスを提供しています。制度理解から対応方針の整理まで、ぜひお気軽にご相談ください。
▶ 中国法規制アドバイザリーの詳細はこちら
https://consulting.clara.jp/service/legal/
▶ お問い合わせはこちら
https://consulting.clara.jp/inquiry/
