22 情報セキュリティ, 個人情報保護法, 中国法

GBL研究所理事・CIPP/E　浅井敏雄^[1]

・本年6月24日, 中国では「サイバーセキュリティ標準実践指針—個人情報越境処理保護認証規範」(「网络安全标准实践指南—个人信息跨境处理活动安全认证规范」来源：全国信息安全标准化技术委员会秘书处)(以下「本規範」)が公表されました。本規範は, 中国個人情報保護法(PIPL)(38(1)) [2]において, 個人情報を中国境外(香港・マカオ・台湾を除く中国本土外の意味)に提供(越境移転)する場合の根拠とすることができるとされているものの一つである個人情報保護認証(以下「保護認証」)に関し規定したものです。本稿では, 本規範の内容を解説します。

・なお, 以下において, ( )内の数字は条文番号または本規範に付された番号, [ ]内の内容は筆者による補足・追記です。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

I. 現行法上のデータ越境移転規制

II. 安全規範遵守・本規範の目的

III. 本規範の適用範囲

IV. 認証申請を行うべき者

V. 認証を受けるための基本原則

VI. 基本的要求事項：法的拘束力ある文書[契約書等]

VII. 基本的要求事項：組織的管理

VIII. 基本的要求事項：共通の個人情報越境処理ルール遵守

IX. 基本的要求事項：個人情報保護影響度評価の事前実施

X. 個人情報主体の権利利益保障

XI. 保護認証と標準契約の選択

I. 現行法上のデータ越境移転規制

・個人情報を含むデータの越境移転については, サイバーセキュリティ法(CSL), データセキュリティ法(DSL)および個人情報保護法(PIPL), 「自動車データ安全管理若干規定(試行)」^[3](以下「自動車規定」)等により規制されており, その全体を整理すると下表のようになります。

なお, 下表おいては,

・PIPL 40条により安全評価合格を要する「処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者」を「大量個人情報処理者」としています。

・重要情報インフラ運営者, 大量個人情報処理者, 自動車データ処理者いずれにも該当しない者を「一般事業者」としています。

・個人情報の越境移転は, 中国政府による安全評価合格/個人情報保護認証取得/標準契約締結のいずれかによる必要がありますが, いずれの場合も, 事前に個人情報主体(本人)の個別同意と個人情報保護影響評価[自己評価]が必要です(PIPL 39, 55)。

個人情報

重要データ

左記以外のデータ

重要情報インフラ運営者

原則中国境内で保存。越境移転は安全評価合格要(CSL 37, DSL 31, PIPL 40).

特別の制限はない

(但し, 国家機密保護法, 輸出管理法等の他法による規制はあり得る)

大量個人情報処理者

原則中国境内で保存。越境移転は安全評価合格要(PIPL 40)。

CACが国務院関連部門と別途共同制定する行政規則遵守要(DSL 31)。

一般事業者

越境移転は以下のいずれかが必要。

- 個人情報保護認証取得/標準契約書締結/その他法令等で定める越境移転の条件(PIPL 38(1))。

自動車データ安全管理若干規定上の「自動車データ処理者」

以下のデータ・個人情報を「重要データ」として原則境内保存要。越境移転は安全評価合格要(規定11(1)前段)：

- 軍事管理区域等の地理的情報・交通・通行量／交通量・物流データ／充電ネットワーク運用データ／顔データ／ナンバープレートデータ／10万人超の個人(自動車の所有者, 運転者, 同乗者, 通行人等)の個人情報, 等。

越境移転の安全管理には, 法律・行政法規の関連規定適用(規定11(1)後段)

(注) 表中の『自動車データ安全管理規定上の「自動車データ処理者」』とは, 「自動車データ」(自動車の設計・製造・販売・利用・運行・保守の過程において収集・利用される, 個人情報を含むデータおよび重要データ)を処理する自動車メーカー, 部品・ソフトウェア供給者, 販売業者, 保守修理業者, 配車サービス企業等を意味する(自動車規定3)。

・上記の内,

(a)安全評価については, 本年7月7日, 中国「データ越境移転安全評価弁法」(数据出境安全评估办法)(以下「安全評価弁法」)が本年9月1日から施行されます(安全評価弁法に関する筆者の解説はこちら)。

(b)個人情報の越境移転に関する標準契約については, 本年6月30日に「個人情報越境移転標準契約規定(意見募集稿)」(个人信息出境标准合同规定(征求意见稿))(以下「標準契約規定案」)が公表されその別紙として個人情報越境移転標準契約のひな型(以下「標準契約案」)が添付されています。

page top

II. 安全規範遵守・本規範の目的

・個人情報保護認証を申請する個人情報処理者は, GB/T 35273「情報安全技術–個人情報安全規範」[以下「安全規範」][4]の要件も遵守しなければならない。本規範は, 基本原則, [保護認証取得のために]越境処理において個人情報処理者と境外受領者が遵守すべき要求事項および個人情報主体[本人]の権利利益保護の観点からの要求事項を定め, 認証機関が越境処理に関する個人情報保護認証を実施する基準となるものであり, また, 個人情報処理者にとりその個人情報越境処理の法令遵守(规范)上参考となるものである。(摘要)

【解　説】

—　上記より, 保護認証を申請する前提として安全規範への準拠も必要であり, 保護認証の審査の過程において, 本規範への準拠のみならず, 安全規範への準拠も確認・審査される可能性があると思われます。

page top

III. 本規範の適用範囲

本規範は, 個人情報の越境処理(跨境处理)において, 認証機関が個人情報保護認証を行うための基本要件となるものであり, 以下の場合に適用される。(1)

(a)多国籍企業(跨国公司)または同一経済・事業体の子会社もしくは関連会社間における個人情報の越境処理;

(b)中国個人情報保護法第3条第2項が適用される個人情報処理。

【解　説】

—　安全評価弁法では, (個人情報またはデータを処理する)データ処理者は, データを[中国]境外に提供する場合であって以下のいずれかのときは,安全評価を申請し(合格し)なければならない(4)とされているので, 個人情報を, 本規範に基づく保護認証を法的根拠として越境移転できるのは, 以下のいずれにも該当しない場合に限られます。

(1)データ処理者が重要データを中国境外に提供する場合;

(2)重要情報インフラ運営者または100万分人以上の個人情報を処理するデータ処理者が中国境外に個人情報を提供する場合;

(3)前年1月1日以降の累計で10万人分以上の個人情報または1万人分以上の機微個人情報を境外に提供したデータ処理者が個人情報を境外に提供する場合;

(4)その他, 国家ネットワーク情報部門が定めるデータ越境移転安全評価申請を必要とする場合。

— 「個人情報の越境処理(跨境处理)」の定義は本規範にありませんが, 本規範全体から, 個人情報を中国境外(本土外)に提供(越境移転)する中国境内の「個人情報処理者」およびその提供を受ける中国境外の「境外受領者」(境外接收方)の両者が行う当該個人情報に係る取扱いを意味するものと解されます。

— 個人情報保護認証を行う認証機関はPIPL(38(1))の規定から国家ネットワーク情報部門(CAC)が指定する専門機関と思われますが, その指定はまだなく, 認証機関, 認証申請手続等はまだ明らかになっていません。

— 上記(a)の「多国籍企業(跨国公司)または同一経済・事業体の子会社もしくは関連会社間における個人情報の越境処理」というのは, EU GDPRに定める「拘束的企業準則」(binding corporate rules)(BCR)(GDPR 20)の適用範囲と同様であり, この点では, 保護認証が, GDPR(46)に基づく監督機関によるBCRの承認制度と同様のものを意図していることが分かります。

—　上記(b)の中国個人情報保護法(PIPL)第3条第2項[5]は, 中国境外に所在する者が中国境内にいる個人に向けて商品・サービスを提供しまたは同個人の行動を分析・評価する目的でその個人情報を処理する等の場合に, 同法の域外適用を定める規定で, この場合, 中国境内から個人情報を提供するのは個人情報主体自身であることが多いと考えられます。しかし, 本規範の内容のほとんどは, 個人情報の越境移転を行う中国境内の個人情報処理者と中国境外の境外受領者間に関するものです。従って, 域外適用の場面で本規範がどのように適用され得るのかは明らかではないように思われます。

page top

IV. 認証申請を行うべき者

(a)多国籍企業または同一の経済・事業体の子会社・関連会社間の個人情報の越境処理については, 中国境内の当事者が認証申請することができかつ法的責任を負う。

(b)中国個人情報保護法第3条第2項に定める[PIPLの域外適用を受ける]中国境外の個人情報処理者については, 当該事業者が中国境内に設置する専門機関または指定した代表者が認証申請することができかつ法的責任を負う。(2)

【解　説】

— 上記(a)より, BCR的な意味の保護認証の場合は, 中国側の参加当事者が保護認証の申請を行うこととなります。

— 一方, 上記(b)のPIPLの域外適用を受ける中国境外の個人情報処理者は, PIPL(53)[6]上, 中国境内に, 個人情報保護に関する事務の取扱いに責任を負う専門機関または代表者を設置・任命し, その名称等を当局に報告しなければならないとされています。従って, 上記(b)の場合, その専門機関または指定代表者を通じ認証申請することとなります。しかし, この場合, それらの者が「法的責任を負う」(次のV-e)にも同趣旨の規定あり)とは如何なることを意味しているのかは明らかではないように思われます(例えば, 境外の個人情報処理者のした違反に関し代わりに処罰を受けるのか)。

page top

V. 認証を受けるための基本原則

a) 適法性, 正当性, 必要性, 誠実性の原則 (3-a))

個人情報処理者は, 個人情報の越境処理を行う場合, 法律法規を遵守し, 合意された目的に従い, 個人情報の権利利益に与える影響を最小化する方法で個人情報を取り扱い, 契約・協定等の法的効力ある文書における合意・約束を厳守し, 当該合意・約束に反し個人情報主体の正当権利利益を害してはならない。

b) 公開性と透明性の原則 (3-b))

個人情報処理者は, 個人情報の越境処理を行う場合, その処理ルールの公開性および処理過程の透明性の要件を満たすとともに, 越境提供する個人情報の処理目的・範囲・方法を個人情報主体に速やかに通知し, 個人情報主体が個人情報の越境処理について理解するようにしなければならない。

c) 情報の質の原則 (3-c))

個人情報処理者および境外受領者は, 個人情報の越境処理を行う場合, 個人情報の品質を確保し, 不正確または不完全な個人情報により個人の権利利益に悪影響が及ぶことがないようにしなければならない。

d) 同等保護の原則 (3-d))

個人情報を国境を越えて処理する場合, 個人情報処理者および境外受領者は, 個人情報の越境処理が中国の個人情報保護に関する関連法律法規に定める個人情報保護の基準に適合するよう, 必要な措置を講じなければならない。

e) 責任明確化原則 (3-e))

個人情報処理者および境外受領者は, 個人情報の越境処理を行う場合, 処理する個人情報の安全を確保し, 個人情報主体の権利利益を保護するために必要な措置を講じるとともに, 中国境内の一もしくは複数の当事者または境外受領者が中国国に設置した機関を指定し法的責任を負わせなければならない。

f) 任意認証申請の原則 (3-b))。

個人情報越境処理認証は, 国が推奨する任意の認証であり, 適格な個人情報処理者および境外受領者が個人情報の越境処理を行う場合に個人情報越境処理認証を自主申請することを推奨するもので, 認証は, 個人情報保護強化および個人情報越境処理効率化の役割を果たす。

【解　説】

— 特に解説を要しないでしょう。

page top

VI. 基本的要求事項：法的拘束力ある文書[契約書等]

・個人情報の越境処理を行う個人情報処理者および境外受領者間では, 個人情報主体の権利利益が適切に保護されるよう, 法的拘束力および強制力を有する文書[契約書等]が締結されなければならない。当該法的文書には, 最低限以下の事項を明記しなければならない。(4.1)

a)個人情報の越境処理を行う個人情報処理者と境外受領者;

b)個人情報の越境処理の目的, 個人情報の種類・範囲;

c)個人情報主体の権利利益を保護するための措置;

d)境外受領者が個人情報越境処理の統一的[共通]ルールを遵守し, 中国の個人情報保護関連法律・行政法規に定める水準以上の個人情報保護水準を確保することを承諾すること;

e)境外受領者が, 認証機関の監督を受入れることを承諾すること;

f)境外受領者が, 中国の個人情報保護に関する法律・行政法規の管轄を承諾すること;

g)中国国内で法的責任を負う組織の明確化;

h)その他, 法律・行政法規に基づき遵守すべき義務。

【解　説】

— 上記e)の「個人情報越境処理の統一的[共通]ルール」については, 後記VIIIで定められています。

— 上記の法的拘束力ある文書[契約書等]は, 標準契約案を参考にして作成することが可能と思われます。

page top

VII. 基本的要求事項：組織的管理

(1)個人情報保護責任者の指定・職務 (4.2.1)

個人情報の越境処理を行う個人情報処理者および境外受領者の双方は, 個人情報保護責任者(个人信息保护负责人)を指名しなければならない。

個人情報保護責任者は, 個人情報保護に関する専門知識および関連する管理業務の経験を有し, 当該組織の意思決定レベルのメンバーでなければならない。

個人情報保護責任者は, 以下の職責を負うものとする。

a) 個人情報保護に関する主な目的, 基本要件, 作業内容, 保護措置等を明確にすること;

b) 当該組織の個人情報保護業務に人的・財政的・物的資源を提供し, 必要な資源を確保すること;

c)当該組織の個人情報保護業務について関係者を指導・支援し, 個人情報保護の所記目的が達成されるようにすること；

d) 個人情報保護業務の状況を当該組織の最高責任者(主要负责人)に報告し, 個人情報保護の継続的改善を推進すること。

【解　説】

— PIPL(52(1))上, 処理する個人情報が国家ネットワーク情報部門[CAC]が定める数量に達した個人情報処理者[本稿における「大量個人情報処理者」であり越境移転に安全評価合格を要する]は,個人情報保護責任者の任命義務を負いますが, 本規範では, 「大量個人情報処理者」に該当せず保護認証を申請し得る個人情報処理者(従って, 本来個人情報保護責任者の任命義務を負わない)と, 更には, その越境移転の相手方である境外受領者の双方に個人情報保護責任者の指名が義務付けられています。しかも, その個人情報保護責任者は個人情報保護に関する専門知識および関連する管理業務の経験を有し, 当該組織の意思決定レベルのメンバーでなければならないとされています。

(2)個人情報保護組織の確立 (4.2.2)

個人情報の越境処理を行う個人情報処理者および境外受領者の双方は, 個人情報保護の内部組織(机构)を設け, 個人情報保護義務を履行し, 個人情報への不正アクセス, 個人情報の漏洩, 改ざん, 紛失を防止するため, 個人情報の越境処理に関し以下の事項を行わせなければならない。

a) 法に従い, 個人情報の越境処理に関する計画を策定し, 実施すること;

b) 個人情報保護影響評価を実施すること；

c) 個人情報処理者・境外受領者間で合意された個人情報の越境処理ルールに従い, 各組織の個人情報の取扱いを監督すること;

d) 個人情報主体からの請求・苦情を受付け対応すること。

【解　説】

— 個人情報処理者だけでなく境外受領者にも個人情報保護の内部組織確立が義務付けられています。

page top

VIII. 基本的要求事項：共通の個人情報越境処理ルール遵守

個人情報の越境処理を行う個人情報処理者および境外受領者は, 最低限以下の事項を含む個人情報の越境処理に関する統一的[共通]ルールを遵守しなければならない。(4.3)

a) 個人情報の量, 範囲, 種類および機微度等を含む個人情報の越境処理に関する基本情報;

b) 個人情報の越境処理の目的, 方法, 範囲;

c) 個人情報の境外での保存期間の開始と終了, および保存期間後の処理方法;

d) 個人情報の越境処理上通過が必要な国または地域;

e) 個人情報主体の権利利益を保護するために必要な資源および講じるべき措置;

f) 個人情報のセキュリティインシデントに係る補償と対応に関するルール。

【解　説】

— 統一的[共通]ルールで定めるべき上記事項の内, a), b), e)は前記VIの法的拘束力ある文書[契約書等]で定めるべき事項と同じであり, c), d), f)は独自の項目ですが, 後者の項目も法的拘束力ある文書[契約書等]に含めて作成することが可能と思われます(統一的[共通]ルール部分を形式的に別パートにする必要はあるかもしれませんが)。

page top

IX. 基本的要求事項：個人情報保護影響度評価の事前実施

個人情報の越境処理を行う個人情報処理者は, 個人情報の越境移転が適法, 適法かつ必要であるか, また, 講じた保護措置がリスクの程度に見合ったものか, 有効であるか等を事前に評価しなければならない。

個人情報保護影響評価は, 最低限以下の事項を含むものでなければならない。(4.4)

a) 個人情報の越境移転が, 法律・行政法規を遵守したものであるか;

b) 個人情報主体の権利利益に与える影響, 特に境外の国・地域の法的環境およびサイバーセキュリティ環境が個人情報主体の権利利益に与える影響;

c) その他, 個人情報の権利利益を保護するために必要な事項。

【解　説】

— 上記のa)～c)の評価項目は, 標準契約規定案や標準契約案で要求される個人情報保護影響評価の評価項目よりも少なく抽象的ですが, 具体的・実際上は後者の評価項目と同等の項目の評価が必要になると思われます。

page top

X. 個人情報主体の権利利益保障

(1) 個人情報主体の権利 (5.1)

a) 個人情報主体は, 個人情報処理者および境外受領者が締結した法的文書[契約書等]の個人情報主体の権利利益に関する条項についての受益者であり, 個人情報処理者および境外受領者に対し, 法的文書の個人情報主体の権利利益に関する部分の写しの提供を要求する権利を有する。

b) 個人情報主体は, 自己の個人情報の処理について知る権利, 決定する権利, 自己の個人情報の越境処理に対する同意を撤回する権利および他者による自己の個人情報の処理を制限または拒否する権利を有する。

c) 個人情報主体は, 境外受領者に対し自己の個人情報にアクセス(查阅), 複製, 訂正, 補足, 削除を請求する権利を有する。

d) 個人情報主体は, 個人情報処理者および境外受領者に対し自己の個人情報の越境処理ルールの説明を請求する権利を有する。

e) 個人情報主体は, 個人情報処理者が自動意思決定のみにより意思決定を行うことを拒否する権利を有する。

f) 個人情報主体は, 中国の「個人情報保護職責履行部門」(履行个人信息保护职责的部门)に対し, 違法な個人情報処理について苦情申立・通報する権利を有する。

g) 個人情報主体は, 越境処理を行った処理者および境外の個人情報受領者に対して常居所地の裁判所に提訴する権利を有する。

h) その他, 法律・行政法規等で定められた権利。

【解　説】

— 上記の個人情報主体の各権利は, それ自体は, PIPLで規定されているものですが, 上記太字部分, すなわち, 以下のことが定められていることが特徴的です。

①個人情報主体が, 個人情報処理者だけでなく境外受領者に対しても, 両者間の法的文書の受益者として権利主張できること。なお, この「受益者」は, 標準契約案では「第三者受益者」とされており, 日本民法537条の「第三者のためにする契約」における第三者と同様の地位を有するものと解されます。

②PIPL(50(2))で規定されている, 権利行使請求が拒否された場合の提訴権について, 個人情報処理者だけでなく境外受領者, いずれに対しても, 個人情報主体のいる中国内の常居所地の裁判所(人民法院)に提訴できる旨が定められていること。

page top

XI. 保護認証と標準契約の選択

前記IIIの通り, 認証規範は, 多国籍企業または同一経済・事業体の子会社もしくは関連会社間における個人情報の越境処理に適用できます。従って, 標準契約案を使用できる場合には, これら会社間での個人情報の越境移転については, 標準契約締結を法的根拠とする方法と保護認証取得を法的根拠とする方法のいずれかを選択できることとなります。

この点, 保護認証取得を根拠とする場合には以下のような問題があります。

①認証規範でも, まだ認証機関, 認証申請方法等が示されていないこと。

②認証がなされるまで越境移転できないこと。

③認証取得には境外受領者の協力も相当必要となると予想されること。

④政府が指定し認可した外部機関による認証であることや認証規範の内容から, 実際の認証審査は厳しいものになり, 場合により長期となり費用も相当要することが予想され, しかも, 必ずしも認証が取得できることは保証されていないこと。— 場合により, 当局に知られたくない情報まで要求される可能性もあると思われます。

これに対し, 標準契約締結を根拠とする場合は, 仮に標準契約規定案がそのまま成立するとすれば, その手続等は明確であり, 標準契約を締結しその発効後でさえあれば事後届出前でも越境移転が可能であり, 届出は個人情報処理者側だけですればよく, 届出の際の審査は通常書類審査しか行われないと予想されるので, 認証取得に比べれば手続的・時間的負担が軽いと思われます。

従って, 一般的には, 企業としては, 保護認証ではなく標準契約案を法的根拠とする方がより合理的と思われます。

page top

以　上

【注】

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表浅井敏雄(Facebook)

[2] 【PIPL 38(1)】　「個人情報処理者は, 業務等の必要性により, 中国[本土]境外(中华人民共和国境外)に個人情報を提供する必要性が真にある場合, 以下のいずれかの条件を満たさなければこれを行ってはならない。(a)PIPL第40条の規定に基づく国家ネットワーク情報部門[CAC]による安全評価に合格したこと。(b)国家ネットワーク情報部門[CAC]の定める規定に従い, 専門機関の個人情報保護認証を得たこと。(c)国家ネットワーク情報部門の定める標準契約書に基づき中国境外の提供先(接收方)と契約を締結し, 両当事者の権利・義務を取決めたこと。(d)法律, 行政法規または国家ネットワーク情報部門の定めるその他の条件」

[3] 【「自動車データ安全管理若干規定(試行)」】 原文「汽车数据安全管理若干规定(试行)」. (参考) (1) King & Wood Mallesons - Mark Schaub, Atticus Zhao and Fu Guangrui (Mark) "China Issues New Rules on Data Security in Auto Industry" September 2 2021, Lexology. (2) Jenny Sheng, Chunbin Xu, Esther Tao "China Publishes Regulation on Management of Automobile Data Security" September 2, 2021, JD Supra.

[4] 【安全規範】(原文)「中华人民共和国国家标准 GB/T35273—2020信息安全技术个人信息安全规范 Information security technology —Personal information security specification」(発行元)[中国]国家市場監督管理総局(State Administration for Market Regulation：SAMR)／[中国]国家標準化管理委員会(Standardization Administration of China：SAC)。(和訳) 曾我法律事務所「GB/T 35273—2020情報安全技術-個人情報安全規範」 [但し, 附属文書Cの表C.1全部の訳, および, 附属文書D(個人情報保護ポリシーひな型)の右欄(解説部分)の全部の訳がない。以下の拙著ではこれらの訳も掲載した]　(英訳) (中国)全国情報安全標準化技術委員会(全国信息安全标准化技术委员会)(TC260)(規範作成元) “GB/T 35273—2020 Information security technology— Personal information (PI) security specification”　(中国個人情報保護法等と合わせた解説書)「中国データ・情報関連法」 2021/9/18

[5] 【中国個人情報保護法(PIPL)第3条第2項】「本法は, 中国境外(本土外)(中华人民共和国境外)における, 中国境内にいる個人の個人情報の処理が以下のいずれかの場合に該当するときにも適用される。(a)[その処理目的が]中国境内の個人に向けて商品またはサービスを提供する目的である場合; (b)[その処理目的が]中国境内の個人の行動を分析・評価する目的である場合; (c)法律または行政法規で定めるその他の場合。」

[6] 【PIPL 53】 「本法第3条第2項に定める[同項により本法の域外適用を受ける]中国国外の個人情報処理者は, 中国境内に, 個人情報保護に関する事務の取扱いに責任を負う専門機関または代表者を設置・任命し, その名称・氏名, 連絡先等を個人情報保護職責履行部門履行(个人信息保护职责的部门)に報告しなければならない。」

メルマガ会員登録