2022年7月7日、国家インターネット情報弁公室は「データ越境移転セキュリティ評価弁法」を公布した。データの越境移転に際し実施が必要なセキュリティ評価の具体的なルールを定めており、2022年9月1日より施行されている。
本弁法の施行前に既に実施されているデータ越境移転については、本弁法の規定に沿わない事項を施行日から6カ月以内に是正するよう求めており、該当する事業者は対応が必須となる。
本稿では、日本語参考訳をつけて要点を抜粋整理し、最後に日系企業への影響についてまとめている。
セキュリティ評価の申請が必要となるケース
データ処理者が中国国内における業務の過程で収集・生成した重要データおよび個人情報を国外に提供する際のセキュリティ評価について本弁法を適用する。(2条)
データ処理者が国外にデータを提供し、次のいずれかの事項に該当する場合は、所在地の省レベルのインターネット情報部門を通じて、国家インターネット情報部門にデータ越境移転セキュリティ評価を申請しなければならない。(4条)
- 重要データを国外に提供する。
- 重要情報インフラ施設運営者および100万人以上の個人情報を取り扱うデータ処理者が個人情報を国外に提供する。
- 前年の1月1日以降の累計で10万人の個人情報または1万人のセンシティブな個人情報を国外に提供しているデータ処理者が、国外に個人情報を提供する。
- 国家インターネット情報部門が規定するその他のデータ越境移転セキュリティ評価の申請が必要なケース。
データ処理者はデータ越境移転セキュリティ評価を申請する前に、次の事項を重点に越境移転リスクの自己評価を行わなければならない。(5条)
- 越境移転および受取者のデータ処理の目的、範囲、方式等の合法性、正当性、必要性。
- 越境移転するデータの数量、範囲、種類、センシティブ度、およびデータの越境移転が国家の安全、公共の利益、個人または組織の合法的な権益に及ぼすリスク。
- 海外の受取者が負う責任と義務、およびその責任と義務を果たすための管理、技術的手段、能力が、越境移転するデータのセキュリティを保障できるか。
- データの越境移転中および移転後にデータが改ざん、破壊、漏洩、転送、不正アクセス、不正利用されるリスク、および個人情報の権益を保護するための円滑な手段が用意されているか。
- 海外の受取者と締結したデータ越境移転に関する契約またはその他の法的効力を持つ文書等(以下、あわせて「法律文書」という)において、データのセキュリティ保護の責任と義務が適切に合意されているか。
- データの越境移転に影響を及ぼすその他の事項。
本弁法は2022 年 9 月 1 日から施行する。本弁法の施行前に既に行われているデータ越境移転で本弁法の規定に合わないものは、本弁法の施行日から6カ月以内に是正しなければならない。(20条)
セキュリティ評価の申請と評価作業
データ越境セキュリティ評価の申請には、次の資料を提出しなければならない。(6条)
- 申告書
- 越境移転リスクの自己評価報告書
- データ処理者と海外の受取者の間で締結した法律文書
- セキュリティ評価作業に必要なその他の資料
省レベルのインターネット情報部門は、申請資料を受付した日から5営業日以内に確認し、不備がなければ申請資料を国家インターネット情報部門に提出し、不備があれば、データ処理者に返却して必要な追加資料を一度に通知しなければならない。国家インターネット情報部門は、申請資料を受付した日から7営業日以内に、受理するかどうかを決定し、データ処理業者に書面で通知しなければならない。(7条)
データ越境移転セキュリティ評価は、主に次の項目を重点としてデータ越境移転が国家の安全、公共の利益、および個人または組織の正当な権益に及ぼすリスクを評価する。(8条)
- 越境移転の目的、範囲、方法等の合法性、正当性、必要性。
- 国外の受取者が所在する国・地域のデータセキュリティに関連する政策・法令、およびネットワークセキュリティ環境が越境移転するデータのセキュリティに与える影響。国外の受取者のデータセキュリティ水準が中国の法律、行政法規および強制性国家標準の要件を満たしているか。
- 越境移転するデータの数量、範囲、種類、センシティブ度、移転中および移転後にデータの改ざん、破壊、漏洩、紛失、転送または不正アクセス、不正利用等が行われるリスク。
- データのセキュリティおよび個人情報の権益が十分かつ有効に保障されるか。
- データ処理者と国外の受取者との間で締結された法律文書において、データのセキュリティ保護に関する責任と義務が適切に合意されているか。
- 中国の法律、行政法規、部門規則の遵守状況。
- 国家インターネット情報部門が評価する必要があると判断したその他の事項。
データ処理者は、国外の受取者との間で締結する法律文書において、データセキュリティ保護に関する責任と義務について少なくとも次の内容を含めた上で明確に合意しなければならない。(9条)
- 越境移転の目的、方法、範囲、並びに国外の受取者によるデータ処理の用途および方法等。
- データの国外での保存場所、期限、および保存期限に達した後、合意した目的が完了した後、または法律文書が終了した後のデータの取り扱い。
- 国外の受取者が越境移転されたデータを他の組織または個人に再移転する場合の拘束力のある要件。
- 国外の受取者の実質的支配権や経営範囲に大きな変化が生じた場合、または受取者の所在する国・地域のデータセキュリティに関連する政策・法令、およびネットワークセキュリティ環境の変化、その他の不可抗力的状況が生じてデータセキュリティの確保が困難となった場合に、当該受取者がとるべきセキュリティ対策。
- 法律文書で合意したデータセキュリティ保護義務違反に対する救済措置、契約違反に対する責任、および紛争解決方法。
- 越境移転したデータが改ざん、破壊、漏洩、紛失、転送、不正アクセス、不正利用等のリスクがある場合、適切な緊急対応の要件および当該個人情報を有する個人の権益を保護するための手段と方法。
国家インターネット情報部門は、データ処理者に受理通知書を発行した日から45営業日以内に、データ越境移転セキュリティ評価を完了しなければならない。状況が複雑で、資料の追加または資料の修正を必要とする場合、データ処理者に延長予定期間を通知することができる。評価結果は文書で通知される。(12条)
データ処理者が評価結果に不服がある場合、評価結果を受け取ってから15営業日以内に国家インターネット情報部門に再評価を申請することができ、再評価の結果を最終結論とする。(13条)
セキュリティ評価の有効期限と再申請
評価結果の有効期限は2年とし、有効期限中に次のいずれかの状況が発生した場合は、セキュリティ評価を再申請しなければならない。有効期限の満了後もデータの越境移転を継続する必要がある場合、期限満了の60営業日前までに再度セキュリティ評価の申請が必要となる。(14条)
- 越境移転するデータの目的、方法、範囲、種類、および国外の受取者のデータ処理の用途、方法の変更がデータセキュリティに影響を及ぼすか、あるいは個人情報および重要データの国外での保存期間を延長する場合。
- 国外の受取者が所在する国・地域におけるデータセキュリティに関連する政策・法令およびネットワークセキュリティ環境の変化、その他の不可抗力的な状況、データ処理者または国外の受取者の実質的支配権の変化、データ処理者と国外の受取者との間で締結した法律文書の変更が、データ越境移転のセキュリティに影響を与える場合。
- データ越境移転のセキュリティに影響を与えるその他の事態が発生した場合。
国家インターネット情報部門は、セキュリティ評価に合格したデータ越境移転が、実際のデータ処理過程においてセキュリティ管理要件を満たさなくなったと判断した場合、データ処理者に書面により越境移転の停止を通知する。データ処理者がデータ越境移転を継続する必要がある場合、要求に従って状況を是正し、是正完了後にセキュリティ評価を再申請しなければならない。(17条)
法的責任
本弁法の規定に違反した場合、サイバーセキュリティ法、データセキュリティ法、個人情報保護法等の規定に基づいて処分する。犯罪に該当する場合、刑事責任を追及する。(18条)
本弁法に対する見解
本弁法は2021年10月に意見募集稿が公表されていたものである。今回の正式施行にあたって一部の文言の見直しが行われたほか、国家インターネット情報部門が行うセキュリティ評価に関して、状況が複雑な場合に「通常は60営業日を越えることはない(意見募集稿11条)」としていたが、この目安となる日数が削除された。さらに再評価の申請に関する規定が追加されているが、大筋では意見募集稿の通りであり、日系企業に大きな影響を与えるような注目すべき変更点はないと考える。
本弁法4条の事項に該当する事業者は、5条の規定に照らして自社評価を行った上で、当局によるセキュリティ評価に合格しなければ越境移転を行うことができない。当局に無断でデータの越境移転を行った場合には罰則が設けられており、違法行為を見つけたら通報するよう求める規定もある。中国政府はこの数年特に情報セキュリティ管理に厳しい態度で挑んでおり、また米中間の緊張も一層高まっていることから、今後外資系企業をターゲットにした恣意的な取り締まりが行われる可能性も懸念される。
なお国家インターネット情報弁公室の担当者は会見で、セキュリティ評価の申請タイミングについて、国外の受取者と法律文書を締結する前に申請する方がよいと回答している。法律文書の締結が申請より先になるのであれば、セキュリティ評価に合格しなかった場合に損失が発生しないよう、法律文書に「セキュリティ評価を通過した場合にのみ発効する」との文言を入れることを推奨するとも発言している。担当者がこのような具体的なアドバイスをしていることからも、当局でのセキュリティ評価は申請すれば合格するようなものではなく、厳格な審査を伴うものであることが伺われる。
また、個人情報保護法38条では、個人情報を越境移転する条件として本弁法で定めるセキュリティ評価に合格する以外に、個人情報保護認証の取得または標準契約書の利用を認めている。個人情報保護認証の取得は、国外にある親会社等へのデータ越境移転といった要件を満たす場合に限られ、標準契約書の利用は4条の事項に該当しないデータ越境移転の場合に利用できる方法であるが、こちらも省レベルのインターネット情報部門への届出が必須となる。
データ越境移転セキュリティ評価弁法(中国語)
「データ越境移転セキュリティ評価弁法」の実施状況(2023年3月28日公開)
データ越境移転に関わるセキュリティ評価弁法の概要と今からできる対策 (2022年1月11日公開)
