10月29日、国家インターネット情報弁公室は『データ国外移転安全評価弁法(意見聴取稿)』(以下『評価弁法』という)を公開してパブコメの募集を開始し、11月28日が期限となっています。
『ネットワーク安全法』、『データ安全法』、『個人情報保護法』が公布・施行されて以来、日本本社と現地企業では、中国から国外へのデータ・情報の提供に関する懸念が高まっています。新たな規制によって本社と現地のコミュニケーションが大きく制限されるようになり、たとえば、本社が現地企業に対する監査評価を実施する際に中国現地企業から財務、従業員等に関するデータを提供する必要がありますが、それらのデータを中国現地企業から本社に送信することの可否や、安全評価を、契約締結等の手続きの要否を確認することが必要ます。
『評価弁法』では中国の日系現地企業から国外へのデータ提供について規定しており、今回はそのポイントをご紹介いたします。
◆ 『評価弁法』のポイント抜粋
1.データ国外移転安全評価の申請受理機関
『評価弁法』第4条では、国外へのデータ提供に際しての安全評価は、企業所在地の省級インターネット情報機関を通じて国家インターネット情報機関へ申請することが定められています。
国家インターネット情報機関が安全評価を行う際は、業界所管機関、省級インターネット情報機関等による評価を考慮しますが、この際には一定の自由裁量権が与えられています。日系企業では、インターネット情報機関や行政所管機関等政府機関との交渉にあたり、政府機関との交渉経験及び交渉方式や手段等テクニックの運用が必要になります。
2.データ国外移転安全評価の適用事由を明確に規定
『評価弁法』第4条では、「データ処理者の類型」、「データ提供の類型」、「提供する個人情報や機微な個人情報の数量」の3つの面から、データ国外移転安全評価を行うべき事由を明確に提示しています。
(1)処理する個人情報が100万人分を超える個人情報処理者が国外への個人情報を提供する場合
(2)国外移転するデータに重要データを含む場合
(3)国外に提供する重要データインフラの運営者が収集、生成した個人情報及び重要データを国外に提供する場合
(4)累計で、10万人分を超える個人情報又は1万人分を超える機微な個人情報(身分識別情報、医療健康や行動歴に関する情報等)を国外へ提供する場合
(5)国家インターネット情報機関が規定するその他の場合
重要データについては「重要データ目録」の制定により範囲が確定され、地方や業界分野によって重要データの範囲が異なる可能性もあるため、現地企業で所在地の所属業界の所管機関の規定に従って対応する必要があります。
3.データの国外移転者と国外受領者の間で締結すべき契約内容を明確に規定
『評価弁法』第9条では、データ処理者は国外のデータ受領者とデータ安全保護にかかる契約を締結しなければならないことを明確に定めており、その主な内容として、データ国外移転の目的、方式及びデータの範囲、国外受領者のデータ処理の用途、方式、移転したデータを国外機関からその他の組織へ再移転することの制限等を挙げています。
◆ 日系企業へのアドバイス
『データ安全法』の関連法規となる『評価弁法』は、『データ安全法』、『個人情報保護法』、『ネットワーク安全法』等とともに中国のデータセキュリティ、情報保護にかかる法的枠組みを構成するものとなります。『評価弁法』は意見聴取稿であり法的効力はまだありませんが、日系企業では早目に関連の動向を把握して適切な対応を取るようにし、必要に応じて弁護士のサポートも受けながら、法規に基づいて社内のデータ処理、保存、国外伝送等の行為について見直しや評価を実施しておくことは有効な対策となります。