〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2023.06.16

中国で個人情報越境標準契約の届出ガイドライン(第一版)が公布

執筆弁護士

<目次>
1.届出プロセス
2.提出資料
3.個人情報保護影響評価報告書の記載内容

2023年5月30日、中国の国家インターネット情報弁公室は、個人情報越境標準契約の届出ガイドライン(第一版)(以下「本ガイドライン」といいます。)を公布しました。
2021年11月1日に施行された中国個人情報保護法第38条第1款は、個人情報処理者が中国国外に個人情報を提供する場合に満たすべき要件の一つとして、「国家インターネット情報弁公室が制定した標準契約に従い、国外のデータ輸入者との間で契約を締結し、両当事者の権利及び義務を取り決める場合」を挙げており(同(3)項)、かかる標準契約の内容を定めた個人情報越境標準契約弁法が本年2月24日に公布されたことは既報のとおりです(詳細についてはニューズレター「中国で個人情報越境標準契約(中国版SCC)弁法が公布」(2023.03.02)をご参照ください)。
同弁法は、本年6月1日に施行されましたが、6か月間の猶予期間が設けられており、中国に拠点を有する等して中国から国外に個人情報の越境活動を行っている日本企業においては、当該猶予期間が満了する11月30日までに、中国版SCCに準拠したデータ移転契約を締結した上で当該契約の発効日から10営業日以内に当局に届出を行う必要があります。
本ガイドラインは、かかる個人情報越境標準契約の届出方法、届出プロセス及び届出資料に関する具体的な要件を説明したものです。本ガイドラインは、本文と別紙から構成されており、別紙は、個人情報越境標準契約の届出に際しての必要提出書類のリスト及びそのひな型によって構成されています。

本ガイドラインのうち、注目すべき点は以下のとおりです。

1.届出プロセス

標準契約の届出は、①資料の提出→②資料の検査→③届出結果の通知→④(必要に応じて)資料の補充というプロセスを経るとされています。具体的には、省級インターネット情報部門は、資料を受領した後、15営業日以内に資料の検査を完了し、個人情報処理者に届出結果を通知することとなっており、合格の場合には個人情報処理者に届出番号が発行され、不合格の場合には個人情報処理者は資料の補充を行わなければなりません。
なお、個人情報越境標準契約弁法に定める一定の事由が生じた場合には、個人情報処理者は、再届出を行う必要があります(同8条)。

2.提出資料

個人情報越境標準契約弁法では、標準契約及び個人情報保護影響評価報告書を提出すべき旨が定められていましたが(同7条)、本ガイドラインは、これらを含め以下の7点の資料を提出すべき旨を定めています。

  1. 統一社会的信用コード証明書(公印のある写し)
  2. 法定代理人の身分証明書(公印のある写し)
  3. 担当者の身分証明書(公印のある写し)
  4. 担当者への委任状(原本)
  5. 承諾書(原本)
  6. 個人情報越境標準契約(原本)
  7. 個人情報保護影響評価報告書(原本)

3.個人情報保護影響評価報告書の記載内容

個人情報処理者は、本ガイドラインの別紙5(個人情報保護影響評価報告書のひな型)に従い、個人情報保護影響評価報告書を以下の構成で作成する必要があります(詳細については末尾記載の仮訳をご参照ください)。

一、評価の簡単な説明
評価作業の実施に関する情報(開始・終了期間、組織状況、実施プロセス、実施方法など)。
第三者機関が評価に関与する場合は、第三者機関の基本情報および評価への関与状況を記載し、当該ページに第三者機関の公印を押印する。

二、越境活動の全体状況
個人情報処理者の基本情報、個人情報の越境に関する業務及び情報システム、個人情報の越境状況、個人情報処理者の個人情報保護能力、国外受領者の情報、個人情報の第三者提供の有無、標準契約条項の履行がどのように確保されているか等について詳細に説明する。

三、越境活動の影響評価状況
評価によって発見された問題およびリスク、ならびにこれに対応する是正措置およびその有効性を中心に、影響評価状況を説明する。

四、越境活動への影響評価の結論
上記の影響評価とこれに対する是正状況を総合して、個人情報の越境活動に関する客観的な影響評価の結論を出し、評価結論の理由と論拠を十分に説明する。

ただし、最も重要である「三、越境活動の影響評価状況」について、個人情報越境標準契約弁法5条の法文がそのまま記載されたにとどまり、具体的な評価方法の説明がなされませんでした。したがって、現時点では「情報安全技術 個人情報安全影響評価ガイドライン」(GB/T39335-2020)の評価基準を参考にするなどして評価することが実務上合理的であると考えられます。
中国に拠点を有する等して中国から国外に個人情報の越境活動を行っている日本企業においては、猶予期間の満了日である11月30日までに届出が完了するよう、余裕を持って行動すべきであると考えられます。特に、中国からの越境データの規模が大きい企業においては、速やかにデータマッピングに着手するなど、提出書類作成の準備段階となる作業を行うことが強く推奨されます。

個人情報越境標準契約の届出ガイドライン(第一版)の日本語参考訳は、以下をご参照下さい。

[参考訳]個人情報越境標準契約の届出ガイドライン(第一版)

以上

ニューズレターのメール配信はこちら