執筆者:弁護士 森進吾
中国の個人情報保護法は、2021年11 月に施行されたものの、抽象的なルールしか定めていない条文も多く、事業者として具体的にどのように対応すればよいのか苦慮する規制も存在していました。その規制の代表例として、個人情報の越境移転規制(中国で取得した個人情報を日本などの外国へ移転する場合の規制)があります。越境移転規制が問題となる典型事例としては、中国子会社を有する日本親会社が、中国子会社から、グローバルにグループ会社の管理を行うために現地の中国人従業員の個人情報の提供を受けたりする場合や、中国子会社の顧客又は取引先の個人情報の提供を受けたりする場合などが挙げられます。
近時、この越境移転規制について、具体的な規制の内容が徐々に明らかになっておりますので、本記事では、その概要をご紹介いたします。
中国の個人情報の越境移転を合法的に行うためには、対象者本人の個別同意を取得することが原則的な要件となりますが、これにとどまらない、更なる対応も必要です。この個別同意以外の対応ルートとしては、大きく分けると、①中国の行政当局による安全性審査に合格するルートと、②越境移転を行う企業同士で契約を締結してその契約書などを中国の行政当局へ届け出るルートがあります。
このうち、①ルートは主に大量の個人情報を越境移転する場合に適用されるルールであり、それ以外の場合は②ルートを通じて越境移転を行うことが原則的なルールになると考えられています。
上記「大量の個人情報を越境移転する場合」とは、100万人以上の個人情報を取り扱う中国企業が越境移転を行う場合(情報移転の主体に着目)や、1年間で累計10 万人以上の個人情報又は累計1 万人以上のセンシテイブ個人情報を越境移転する場合(情報移転の行為に着目)などを指します。
この「大量の個人情報を越境移転する場合」に該当しない場合には、②ルートに沿った対応が必要になります。その手続の概要は、個人情報の移転を行う中国企業と移転を受ける日本企業との間で中国政府の定める書式に準じた個人情報の越境移転にかかる契約(標準契約)を締結し、かつ、その越境移転が個人情報の主体たる本人に与える影響や安全性に関する自己評価(個人情報保護影響評価)も行ったうえで、この標準契約書と個人情報保護影響評価報告書を、中国企業の所在する地のインターネット情報部門に届け出るというものです。この届出は、事後的に行うことも可能であるとされていますが(10 営業日以内の届出が必要)、個人情報保護影響評価報告書の作成に一定の時間を要すると思われることから、個人情報の越境移転を行う前に届出のために必要な準備を開始しておくことをお勧めします。
中国から個人情報の越境移転を受けるためのルール概要は以上のとおりです。中国の個人情報保護法は、日本の個人情報保護法と比較しても、越境移転に対して厳しい規制を課しています。これは、中国政府が、中国国内で発生した個人情報を含むデータに対する権利(データ主権)を重要視している現われとも言われています。
それ故に違反に対しては厳しい処分が課される可能性がありますので、中国から個人情報の越境移転を受ける日本企業は、関係法令に違反しないよう十分に留意する必要があります。
- 東京、福岡、上海、香港、シンガポール、ホーチミン、ハノイ、ダナンの世界8拠点から、各分野の専門の弁護士や弁理士が、企業法務や投資に役立つ情報をお届けしています。
- 本原稿は、過去に執筆した時点での法律や判例に基づいておりますので、その後法令や判例が変更されたものがあります。記事内容の現時点での法的正確性は保証されておりませんのでご注意ください。