個人情報安全

中国の個人情報の越境提供?その手順は?

中国の個人情報の越境提供は、データコンプライアンスを進める企業にとって常に言いようのない苦痛であり、サイバーセキュリティ法の導入以来、中国個人情報の越境提供に関する制度は未だにはっきりわかっていません。 個人情報保護法が施行されようとしている今、ようやくベールが剥がされ、企業は個人情報の越境提供の仕組みの全貌を垣間見ることができるようになった。 今回は、企業が「個人情報の越境提供」に対応するための手順を解説します。

福沢史可

呉月琴先生はデータ法分野の専門家です。中国個人情報保護法についてずっと注視してきました。今日は、中国個人情報の越境提供についてご紹介いただきます。

呉月琴

早速ですが、まず個人情報越境提供に関する条件をご紹介します。

個人情報越境提供に関する条件

個人情報保護法第38条では、個人情報の処理者が以下のいずれかの条件のみを満たすことで、個人情報を国外に提供することができると規定されています。

1) 国家ネットワーク情報部門が策定したセキュリティ評価に合格した場合

2) 専門機関による個人情報保護認証を実施した場合

3) 国家ネットワーク情報部門が策定した標準契約に従い、両当事者の権利及び義務を規定した海外の受領者との契約を締結した場合

4) 法令又は国家ネットワーク情報部門が策定したその他の基準を満たす場合

 同時に、「セキュリティ評価」の条件として、中国の個人保護法第36条および第40条によれば、国家機関、重要情報インフラの運営者、および国家サイバー情報部門が規定する量までの個人情報を取り扱う個人情報処理業者は、中国国外で個人情報を提供する場合、セキュリティ評価を行わなければならないことに留意する必要があります。 したがって、上記の対象者は、個人情報の越境提供についてセキュリティ評価を行わなければならず、その他の対象者は、個人情報の越境提供について上記の条件のいずれかを選択できると理解できます。

福沢史可

なるほど、今「セキュリティ評価」というキーワードがありましたが、個人情報保護法の中では「保護影響評価」というキーワードもありますが、両者は同じ意味でしょうか?

呉月琴

違いますね。「セイキュリティ評価」と「保護影響評価」は別々の概念です。これからご説明します。

個人情報保護のための越境提供時の影響評価

 個人情報保護法第55条によると、個人情報が国外で提供される場合、個人情報の処理者は、事前に個人情報の保護影響評価を行わなければならないとしている。

 ここでいう保護影響評価は、前述の国家サイバー情報部門が実施するセキュリティ評価と同じものではありません。 前者は企業の内部的な自己評価であるが、後者は国家安全保障、国民生活、公共の利益に影響を与える可能性のある政府レベルの評価であり、評価の参考として企業に保護影響評価報告書の提出を求めることができる。

福沢史可

では、日本企業は中国の個人情報を日本に移転する場合は、日本のコンプライアンス規定としてどのように規定すれば良いでしょうか?

アイコン名を入力

続きまして、個人情報の越境提供について

コンプライアンスの手順

日本企業の場合、個人情報の越境提供を導入する際には、以下のようなステップを踏むことが考えられます。

1) 内部の個人情報保護影響評価を行い、その記録を3年間保存する。

2)それ自体が重要情報インフラ事業者なのか、あるいは一定の個人情報を扱ったことがあるのか。 その場合は、国家のサイバー情報部門によるセキュリティ評価に合格する必要があります。

(3) 法定の安全性評価義務がない場合は、個人保護法第38条に定められた3つの条件のうちの1つで十分である。

4) 個人保護法の規定に基づき、個人情報の対象者に処理のルール、目的、方法、範囲を伝え、本人の同意を得る。

ABOUT ME
しかちゃん
東京理科大学知的財産専門職大学院(MIP)卒。 元大手生活用品メーカーの知財マン、後に事業家に転身。 知財マンとして在職中、商標が専門、広告法や模倣品対策も携わり、語学能力を生かし、中華圏と日本の架け橋の役割を担っていた。現在華誠グループの一員として日本企業の中国事業を法律な観点でサポートしている。 このブログでは中国事業の法律問題について発信している。 ワーカホリックであり、スピーディーな対応を重視している。 何かサポートできるものがあれば、お気軽にご連絡ください。