中国:個人情報越境移転のための標準契約等の公表(2)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
弁護士 今 野 由紀子
2 本規定案の主な内容
本規定案の主な内容は以下のとおりである。
⑴ 適用範囲
標準契約に依拠して個人情報を域外移転できる者は、以下の条件を満たす個人情報取扱者に限定されている(4条)[1]。
- ①重要情報インフラ運営者に該当しない場合
- ②処理する個人情報が100万人未満である場合
- ③前年1月1日から起算して、域外への個人情報の提供が累計10万人未満である場合
- ④前年1月1日から起算して、域外への個人センシティブ情報[2]の提供が累計1万人未満である場合
その結果、たとえば、中国域内に100万人以上のユーザーを持つeコマース事業者や、中国域内に1万人以上の従業員を抱え、グローバルに人事データ(健康情報や口座情報が含まれる結果、個人センシティブ情報に該当する場合が多いと思われる)を管理している企業にとっては、標準契約を越境移転の適法化根拠として利用することが難しいと予想されるなど、標準契約に依拠できない範囲に留意が必要である。
また、本規定案の付属文書である標準契約は、「個人情報取扱者」(GDPRにおけるcontroller、管理者に相当する)が個人情報を域外に移転する場合を想定しているように読めることから、受託者(GDPRにおけるprocessor、処理者に相当する)が域外に移転する際、この標準契約を利用できるかどうかは明らかではない。
⑵ 個人情報保護影響評価
個情法では、個人情報取扱者は、個人情報を域外に提供する場合を含む一定の場合に、個人情報保護影響評価を実施することとされている(個情法55条、56条)。本規定案では、このうち越境移転にあたり事前に実施することが求められる個人情報保護影響評価の重点評価項目として次の内容が示されている(本規定案5条)。
- ①個人情報取扱者及び域外の受領者の個人情報処理の目的・範囲・方式等の適法性、正当性、必要性
- ②越境移転する個人情報の数量・範囲・種類・機微の程度、個人情報の越境移転が個人情報の権益にもたらす可能性があるリスク
- ③域外の受領者が負うことを約束した責任・義務、並びに責任・義務を果たすための管理及び技術的措置、能力等が越境移転する個人情報の安全を確保することができるか否か
- ④個人情報の越境移転後の漏えい、毀損、改ざん、濫用等のリスク、個人による個人情報の権益の保護が円滑に行われるか否か等
- ⑤域外の受領者の所在国又は地域の個人情報保護政策法規が標準契約の履行に与える影響
- ⑥個人情報の越境移転の安全に影響する可能性のあるその他の事項
⑶ ガバメントアクセスを含む移転先国の個人情報保護法規の収集及び評価
上記(2)⑤における「域外の受領者の所在国又は地域の個人情報保護政策法規」は、「個人情報の提供に係る要求又は公共機関への個人情報アクセス権限付与に係る規定も含む」とされており(付属の標準契約雛型4条1項参照)、いわゆる政府による民間個人データへのアクセス(ガバメントアクセス)に関する法規を意識したものと思われる[3]。特に、付属の標準契約では、双方の当事者に対し、こうした移転先国の関連法規を把握できない場合には、域外の受領者による本契約に定める義務の履行を阻止することへの保証を求めており(同雛型4条1項)、近時のガバメントアクセスに対する懸念の高まりを反映したものと思われる。中国から日本への移転に関してこの点が問題とされる可能性はそれほど高くないと思われるものの、企業が移転先国のガバメントアクセスに関する法規をどの範囲で収集し、それをもとにどのように評価を行うべきかについては不透明なままであり、当局からのガイダンスや運用の状況等、今後の動向を注視する必要がある。
⑷ 標準契約及び個人情報保護影響評価報告書の事前提出義務(7条)
個人情報取扱者は、標準契約の効力発生日から10営業日以内に、所在地の省級ネットワーク情報部門に届出を行わなければならず、届出においては、標準契約及び個人情報保護影響評価報告書を提出しなければならない(7条)。そのため、標準契約は、中国語で締結することが想定されるが、このほかに外国語で締結して中国語訳を提出することが許容されるか現時点で明確ではない。なお、事後報告で足りることから、届出の有無は域外移転の効力に影響を及ぼさないと考えられるが、届出義務違反の場合には是正命令の対象となり、是正命令に応じない場合は個人情報越境移転活動の停止命令の対象となる(12条)。
⑸ 標準契約の主な内容
本規定案には、標準契約雛型が付属文書として添付されている。標準契約は、GDPRのSCCを参考にしたと思われる条項が多くみられる。例えば、標準契約は全9条からなるが、個人情報の主体を第三者受益者として契約上に位置づけており、GDPRと同様に個人情報の主体に多くの権利を与えている(雛型第5条)。他方、独自の点も多く存在する。代表例を挙げると、①そもそも適用対象事業者が限定されていること(上記第2.1参照)、②移転者・受領者の属性に応じたモジュールに分かれていないため、受託者(GDPRにおけるprocessor、処理者)が域外移転する際にも利用可能か否か明らかでないことなどが挙げられる。
標準契約の準拠法は中国法とされている(標準契約第9条5項)。なお、標準契約で規定される条項と矛盾しないものの、追加的な内容を含めることができるかどうかについては明確にされていない。
3 まとめ
本規定案の公表により、中国から中国域外へ個人情報を移転する企業にとっては、標準契約に基づく個人情報越境移転の方法にある程度見通しが立ったといえる。また、標準契約は、GDPRのSCCを参考にしたと思われる規定が多く存在し、SCCに準拠している企業にとってはなじみがあると思われる。しかし、中国独自の条項も多く存在するほか、標準契約に依拠できる範囲が限定されているなど、実際に利用するにあたっての課題がなお残されている。
本規定案とは別に、今年7月7日に一定の個人情報及び重要データを域外移転する場合に求められる安全評価に関する「データ越境移転安全評価弁法」の最終版が公表され、9月から施行予定であるなど[4]、中国データ関連法令を巡る動きは今後益々活発化していくと考えられるため、今後の動向を注視する必要がある。
以 上
[1] これらの水準は、国家ネットワーク情報部門による安全評価が義務づけられる場合として、今年9月に施行予定の「データ越境移転安全評価弁法」に定められた内容を反映したものであり、同弁法の内容を踏襲したものとなっている。
[2] 個人センシティブ情報は、「ひとたび漏えいするか、違法に使用すると、自然人の人格の尊厳を侵害し、人身、財産に危害を及ぼしやすい個人情報」をいい、生体識別情報、宗教・信仰、特定の身分、医療健康、金融口座、行動歴等の情報、並びに14歳未満の未成年の個人情報が含まれる(個情法28条)。
[3] この要件は「データ越境移転安全評価弁法」で要求される自己評価の項目に含まれていないなど、弁法・規定間でも矛盾が見られる。
この他のアジア法務情報はこちらから
(かわい・まさのり)
長島・大野・常松法律事務所上海オフィス一般代表。2011年中国上海に赴任し、2012年から2014年9月まで中倫律師事務所上海オフィスに勤務。上海赴任前は、主にM&A、株主総会等のコーポレート業務に従事。上海においては、分野を問わず日系企業に関連する法律業務を広く取り扱っている。クライアントが真に求めているアドバイスを提供することが信条。
(こんの・ゆきこ)
2005年慶應義塾大学経済学部卒業、2008年中央大学法科大学院修了。2015年コロンビア大学ロースクール(LL.M)卒業。クロスボーダーを中心とする企業法務一般のほか、国内外の個人情報・データプロテクションその他データにまつわる様々な法律問題を中心に幅広い分野を取り扱っている。
長島・大野・常松法律事務所 http://www.noandt.com/
長島・大野・常松法律事務所は、500名を超える弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。
当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。
詳しくは、こちらをご覧ください。