中国:個人情報国外移転安全評価弁法(意見募集案) (上)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
いわゆる「ビッグデータ社会」の到来により、各企業が保有するデータの価値が高まっている。中国では、サイバーセキュリティ分野において全面的な枠組みを定めた法律であるネットワーク安全法が2017年6月1日から施行され、データの取扱いについても規定がなされている。ネットワーク安全法は基本法的な性格を有しており、各分野については個別の法制の整備が待たれているところであるが、このたび個人情報の国外移転に関するものとして、国家インターネット情報弁公室が2019年6月13日付で「個人情報国外移転安全評価弁法(意見募集案)」(以下「本弁法案」という。)を公布し、2019年7月13日を期限としてパブリックコメントが募集されている。本弁法案では、2017年4月11日に公開されその後立法作業に進捗がみられなかった「個人情報及び重要データの国外移転における安全評価規則(意見募集案)」(以下、「2017年草案」)における個人情報に関する規定に関し、個人情報の保護を強化するかたちで大幅な変更が加えられている。本弁法案に従うと、ネットワーク運営者が個人情報を国外移転する場合には、あらゆる場合に例外なく国家インターネット情報弁公室による承認が必要とされるなど、グローバル事業を展開する企業にとって多大な影響がある内容となっている。本稿では、本弁法案の主な内容を紹介することとする。
1. 背景
ネットワーク安全法では、「重要インフラ運営者」が、中国国内で収集又は発生した「個人情報」および「重要データ」を中国国内に保存することを義務付け、国外に提供する場合には、安全評価を行わなければならないとされている(ネットワーク安全法第37条)。「重要インフラ運営者」とは、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府などの重要な産業および分野、並びにひとたび機能の破壊、喪失又はデータの漏えいが生じた場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラの運営者を指すとされているため、上記規制の対象は、通信業者や金融機関等の一部の事業者に限定されると考えられていた。
ところが、2017年草案においては、「重要情報インフラ運営者」に限らず、ネットワークを利用するほぼ全ての事業者が該当しうる「ネットワーク運営者」を対象に、中国国内で収集・発生した「個人情報」及び「重要データ」の国外提供に関する規制が及ぶ旨が規定されていた。この点については、円滑なデータ移転を阻害するものとして主にグローバルに事業展開をする企業から大きな反発を受けていたところであるが、安全評価の方法としては原則として自己評価で足り、政府部門へ申告が義務づけられる状況は個人情報の数やデータ量が一定の基準を超える場合等に限定されていた。
これに対し、本弁法案は、2017年草案と同様に「ネットワーク運営者」に国外移転に関する規制が及ぶことを確認するのみならず、「ネットワーク運営者」が個人情報を国外移転する場合には例外なく管轄政府機関による事前承認が必要とされるなど個人情報を一層手厚く保護する内容となっており、企業経営に多大な影響を与える内容となっている。なお、本弁法案は2017年草案のうち「個人情報」に関してのみ規定するものであり「重要データ」に関する規定はなく、今後は「個人情報」と「重要データ」は異なる規定に従い管理されることになるものと思われる。
2. 個人情報の国外移転に伴う規制
まず、本弁法案においては、2017年草案と同様に「重要インフラ運営者」に限らず、すべての「ネットワーク運営者」が個人情報を国外移転する際に、安全評価義務を負うことが明確されている。
次に、2017年草案では、ネットワーク運営者による安全評価の方法として原則として自己評価で足り、政府部門への申告が義務づけられる状況は、海外移転される個人情報 の(ⅰ)数が50万件を超える場合、(ⅱ)データ量が1,000GBを超える場合又は(ⅲ)内容が国防や健康等の特定の制限分野に関する場合等に限定され、それ以外の場合は自己評価をすれば足りるとされていた。これに対して、本弁法案では、ネットワーク運営者は、個人情報の国外移転の前に、特段の例外なく全件政府の安全評価を受けることが義務づけられている点が大きな変更事項である。
-
政府の安全評価で必要となる対応(本弁法案第3条):
- ▷ 国外移転の前に安全評価の申請書、ネットワーク運営者と受領者の間で締結される契約、国外移転安全リスクおよび安全保障措置分析報告その他の資料を省級の国家インターネット情報弁公室に提出し、承認を取得する
- ▷ 個人情報の受領者ごとに個別の承認を取得する(同一の受領者が複数回受領する場合は重ねての評価は不要。)
-
▷ 二年ごと又は移転目的、類型、国外保存期間等に変更がある場合には、申請書を再提出する
-
国外移転安全リスクおよび安全保障措置分析報告に記載する内容:
- ▷ ネットワーク運営者及び情報受領者の事業内容及びネットワーク安全能力
- ▷ 期間、データ主体の数、個人情報の量及び受領者から第三者へ更に移転されることが予定されているか等の国外情報移転の内容
- ▷ 移転に伴うリスク並びに個人情報保護及び情報主体の正当な権利保護のために取られる措置
上記に加え、本弁法案においては、個人情報を国外移転する際に国外の受領者との間で締結される情報伝達に関する契約の内容において規定すべき内容を定めている(本弁法案第13条乃至第16条)。この契約は、政府機関による安全評価の審査対象となるため(本弁法案第4条、第6条2号)、実務においても本弁法案に従った契約を作成することが求められることになる。
安全評価の審査にあたっては、国家安全、公共の安全への危害、情報主体の正当な権益等が考慮される。安全評価の申請を受けた省級の国家インターネット情報弁公室は、15営業日以内に審査を行うものとされているが、「複雑な状況にある場合」には、この期間は延長される(本弁法案第5条)。安全評価の結果はネットワーク運営者および国家インターネット情報弁公室に通知され、ネットワーク運営者は当該結果に対して異議を述べる機会が与えられているが(本弁法案第7条)、安全評価の結果、国家安全、公共利益の損害または個人情報の安全の保障がない場合の国外移転は禁止される(本弁法案第2条)。
安全評価を実施後は、国外移転に関する記録を最低5年間は保管することが求められている(本弁法案第8条)。また、当局への国外移転に関する年次報告の提出、重大なデータセキュリティ事故が発生した場合の速やかな省級の情報当局への報告等も義務づけられており(本弁法案第9条)、初回の安全評価実施後も引き続き企業が重い義務を負う内容となっている。
(下)につづく