1、はじめに

　中国で2021年11月1日に個人情報保護法が施行され、その後も数々の関連法令が施行されています。中でも日本企業を含む外資企業の関心が特に高い問題は、個人情報の越境移転です。

　越境移転の手続きには、安全評価、安全認証、標準契約の3つがあるところ、標準契約の利用が特に注目されていました。そのような中、今年に入って、「個人情報越境標準契約弁法」と「個人情報越境標準契約届出ガイドライン」が公布、施行され、標準契約の適用範囲や届出の内容が具体化されました。

　本稿では、個人情報の越境移転の概要と手続きの種類について、特に標準契約に焦点を当て解説いたします。

2、個人情報の越境移転とは

　越境移転に関する検討の前提として、そもそも、移転する情報が「個人情報」に該当するかが問題になります。中国個人情報保護法（以下「法」といいます）4条では、個人情報とは、電子又はその他の方法で記録された既に識別され、又は識別可能な自然人にかかる各種の情報と定義しています。この定義に関しては、①識別の基準（情報から個人が認識できる場合）、②関連性の基準（個人から情報が発生する場合）によって個人情報か否かを判断するとされています。①の例として、氏名、住所、電話番号のほか、身分証の番号、②の例として、特定の人物の位置情報、通話記録が挙げられています。いずれの基準においても、あくまで「個人」に関するものですので、例えば、法人の名称は個人情報に該当しません。

　では次に、どのような場合が越境移転に該当するのでしょうか。個人情報越境標準契約届出ガイドライン（以下「ガイドライン」といいます）に規定があります。

パターン①

個人情報処理者が、国内において収集、生成した個人情報を国外に移転、保存する行為

パターン②

個人情報処理者が収集、生成した個人情報を国内に保管し、国外の機関、組織又は個人が検索、調査、ダウンロード、エクスポートする行為

パターン①は、文字通りの越境移転かと思います。これに対して、パターン②は、国内に保存している情報に国外からアクセスする場合のことを指します。「日本から閲覧するだけなら問題ないだろう」と思いきや、こちらも規制されていますので、要注意です。

3、越境移転の手段の選択

　法38条は、個人情報処理者が国外に個人情報を移転する場合について、①安全評価、②安全認証、③標準契約のいずれかの条件を具備すべきと規定していますが、具体的な定めは置かれていませんでした。その後、個人情報越境標準契約弁法（以下「弁法」といいます）等各種の法令により、①から③の適用基準が明らかになりました。下表のとおり、重要インフラ運営者のほか、取り扱う個人情報又は過去に移転した個人情報が一定の規模に達している場合は、①安全評価のルートを取らなければなりませんが、そうでない場合は、他のルートが可能です。以下では、特に日本企業が選択すると思われる③標準契約のルートを見ていきます。

4、標準契約ルートの概要

⑴　遡及適用

　これから新たに越境移転する場合はもちろん必要ですが、過去の移転についても弁法の適用があり、手続きを講じて是正しなければなりません。具体的には、2023年6月1日より前に既に行われた個人情報の越境移転について、2023年11月30日までに是正する必要があります（弁法13条）。

⑵　具体的な手続き

　標準契約ルートにおいて、重要な項目は主に2つあります。(A)個人情報保護影響評価と(B)標準契約の締結です。そして、届出については、(B)標準契約の発効後10営業日以内に省級ネットワーク情報部門に提出する必要があるとされています。なお、「届出」となってはいるものの、弁法上、合格不合格の区分があり、不合格の場合には、提出した資料について補充、改善しなければならないとされているため、実際上は内容について審査がされています。

(A)個人情報保護影響評価とは、個人情報取扱いの目的、範囲、個人情報の規模、移転によるリスクなどについて評価し、報告するものです。ガイドラインに雛形が用意されており、これに沿って作成していくことになります。重点的に評価しなければならない項目も明記されています。

(B)標準契約とは、個人情報の提供者と提供先の間で、各当事者が遵守すべき義務を約定するものです。例えば、中国子会社が日本親会社に従業員の個人情報を移転する場合は、中国子会社と日本親会社との間で標準契約を締結します（従業員については、告知と個別の同意が必要ですが、標準契約を締結する当事者ではありません）。この標準契約についても、ガイドラインに雛形が用意されています。

⑶　Q&A

Q 中国現地法人に出向中の日本人の情報も個人情報に該当しますか？
A 中国個人情報保護法は、「域内において自然人の個人情報を処理する活動」に適用があり、中国人に限定されていないため、日本人出向者の情報も個人情報も含まれます。
 
Q 標準契約の雛形の条項を変更してもよいでしょうか？
A 弁法は、標準契約について、雛形に基づき厳格に締結しなければならないと規定しています。標準契約と矛盾しない内容であれば、追加はできますが、削除することはできません（弁法6条1項、2項）。
 
Q 届出で合格した後でないと越境移転はできないのですか？
A 標準契約の発効後直ちに越境移転をすることができます（弁法6条3項）。
 
Q 2023年6月1日以降に標準契約を締結しないまま越境移転した個人情報については、どのように対応すればよいでしょうか？
A 2023年5月31日以前の越境移転と同様、過去の越境移転を是正するという形で、必要な是正措置を取る必要があります。
 
Q 弊社は中国子会社が複数あります。標準契約の締結について、何か簡便な方法はないのでしょうか。
A 複数の中国子会社が一つのグループ会社に属するなど特定の場合においては、一社が代表して標準契約を締結して対応できる場合があります。

5、最後に

　個人情報の越境移転については、弁法とガイドラインが公布、施行されたことを機に多くの企業が届出の準備に取り掛かっている状況です。他方で、届出が必要なのは分かっていても、何からどう始めればよいか悩まれている企業様も多くいらっしゃいます。個人情報の内容や規模は企業によって異なり、それによって進め方も違ってきます。また、個人情報保護影響評価の作成や実際の届出については、専門的なサポートが必要なところですが、それを専門に扱っている法律事務所も限られています。弊所では、個人情報保護影響評価の作成から届出までを一括でサポートさせていただいておりますが、その前段階として、まずは現状の問題を整理しリスクを判断するためにも、お困り場合は、是非一度、ご相談いただければと存じます。
 
 
※本記事の詳細情報はIP FORWARDニュースレターでご紹介しております。ご希望の方は、本ホームページのお問い合わせフォームよりご連絡ください。