中国国内で取得した情報・データの国外移転制限について(下)
長島・大野・常松法律事務所
弁護士 鹿 は せ る
3. 保存義務
ネットワーク運営者が中国国内で取得及び作成した情報等は、原則中国国内で保存する必要があり、業務の必要から国外移転が必要な場合には、安全評価を経る必要がある(評価弁法2条)。
まずここのポイントは、「国外から情報等を閲覧すること」も国外移転に含まれることである(ガイドライン3.7(b))。日系企業を含む外資企業にとって、インターネットを通じて現地子会社が中国国内で取得した情報を、本部が位置する外国から閲覧することは、これまで日常的に行われてきたと思われるが、これも今後、インターネット安全法の制約に服することになる。
次に、情報等の国外移転に際して、個人情報については当該個人に対する説明と同意が要件となり(評価弁法4条)、重要データについては国外移転の必要性、リスク等についての安全評価が必要とされる(同7条)。
重要データの安全評価は、原則ネットワーク運営者自身が行うが、一定の場合には行政部門が行うべきとされている(同9条)。その一定の場合とは、①50万人以上の個人情報を含む場合、②データ量が1,000GBを超える場合といった量的基準によるものと③核施設、化学生物、国防軍事、人口健康等の領域に関するデータ、大型工事、海洋環境等の地理情報データが含まれる場合といった質的基準によるものがあるが(同9条各号参照)、「その他国家安全と社会公共利益に影響を与える可能性があり、行政部門が評価を必要と認める場合」(同9条6号)というキャッチオール条項が置かれていることから、その範囲はいまだに明確ではない。保守的に考えれば、企業は、該当性が明らかでない情報等については、行政部門に対し、同部門による安全評価が必要かを確認することが求められるであろう。
ここで重要な問題となるのは、安全評価の実施と、情報等の国外移転とのタイミングである。評価弁法7条は、「ネットワーク運営者は、データの国外移転前に、自らデータの国外移転に関し安全評価を行い、評価結果について責任を行う」と規定している。これを素直に読めば、データの国外移転が可能となるのは、安全評価の実施後となるはずである。そして、行政部門による安全評価が行われる場合、その期間は60営業日以内と規定されているため(同10条)、仮に安全評価を終えてからでないと国外移転ができないとすれば、(範囲が不明確であるがゆえに実質的には)かなり広範な情報等について、取得及び生成から約3ヵ月間、中国国外から閲覧することすらできないという事態が発生し、日系を含む外資企業の業務に与えるインパクトは、相当大きいのではないかと予想される。
評価弁法及びガイドラインはなお立案中であり、2018年末に正式に公布・施行される予定と言われているが、それまでに法案の文言に変化があるか、注意深く見守る必要がある。