（2023年10月10日アップデート）
中国の「個人情報保護法」、「サイバーセキュリティ法」及び「データセキュリティ法」（データ3法）の下での個人情報及び重要データの国外移転の制度は、「中国の個人情報保護法（データ3法）の下での国外移転の実務（前編：制度概要）」で述べたとおりです。
本稿では、国外移転のために行うべき実務を解説します。

1. 国外移転のために必要なこと

個人情報又は重要データを中国から中国国外に移転するために必要なことを概観すると、以下のとおりとなります。

まず、以下のいずれかに該当する場合、必ず(1)安全評価が必要となります。
・国外移転するものが「重要データ」に該当する場合
・重要情報インフラ運営者又は100万人以上の個人情報を取り扱う情報処理者が国外に個人情報を提供する場合
・前年1月1日から累計で10万人の個人情報または1万人の機微個人情報を国外に提供するデータ処理者が国外に個人情報を提供する場合
・国家インターネット情報部門が規定するデータ越境安全評価の申告を必要とするその他の状況
この点を規定する「データ越境安全評価弁法」については、「中国でデータ越境安全評価弁法が公布」（2022.7.19）をご参照ください。

上記のいずれにも該当しない場合には、(2)個人情報保護認証を取得するか、(3)「個人情報越境標準契約」（中国版SCC）を締結することで移転することができます。

【以下、2023年10月10日に追記】

なお、中国国家インターネット情報弁公室（CAC）が、2023年9月28日に、「国境を越えたデータの流れの規制と促進に関する規定」（规范和促进数据跨境流动规定（征求意见稿））のパブリックコメント案を公開しました（パブコメ募集期間は同年10月15日まで）。
これによれば、本人が当事者となる契約の締結または履行のために国外に個人情報を提供する場合、就業規則および法令に基づき締結された労働協約に基づき人事管理を実施するために従業員の個人情報を国外に提供する場合、1年以内の個人情報の国外提供が1万人に満たないと予想される場合などに、安全評価、個人情報保護認証、標準契約の締結は不要であるとされています。
詳細は、ニューズレター「中国「国境を越えたデータの流れの規制と促進に関する規定」のパブリックコメント案の公開」をご参照いただければと存じます。

【以上、2023年10月10日に追記】

また、上記(1)～(3)のいずれの場合においても、個人情報を国外移転する場合には、以下の対応も必要となります。
・本人の同意
・個人情報保護影響評価（PIA）
・処理の記録

以下、詳述します。

2. 「重要データ」とは？

(1)「重要データ」の位置づけ

「サイバーセキュリティ法」37条により、「重要データ」については、国内への保存義務（データのローカリゼーションの規制）があるほか、越境移転を行う場合には「安全評価」をしなければならないとされています。

サイバーセキュリティ法37条
重要情報インフラ運営者が中華人民共和国国内での運営において収集・生成された個人情報及び重要データは、中国国内で保存しなければならない。業務上の確かな必要により越境移転を行う必要がある場合、国家ネットワーク情報部門が国務院の関連部門と共同して定めた規則に従って安全評価を受けなければならない

(2)何が「重要データ」にあたるのか

では、どのようなデータが「重要データ」にあたるでしょうか。
重要データは、「データ越境安全評価弁法」19条において以下のとおり定義されています。

データ越境安全評価弁法19条
ひとたび改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータ

この定義では、「重要データ」の範囲は明確ではないといわざるを得ません。

この点に関し、データセキュリティ法21条3項は「各地域、各部門はデータ分類・分級保護制度に基づき、本地域、本部門及び関連業界・分野の重要データの具体的な分類目録を確定しなければならない」と定めています。
これを踏まえ、「サイバーセキュリティ標準実践ガイドライン——インターネットデータの分類と分級に関する指針」（TC260-PG-20212A）が、当局はデータを「一般データ」、「重要データ」及び「核心データ」の3つのレベルに分類するとしています。

より具体的には、「情報セキュリティ技術　重要データ識別ガイドライン」が「重要データ目録」を定めるとしており、2022年1月13日からパブリックコメントが行われましたが、本稿執筆時には正式版は公表されていません。したがって、現時点では、何が「重要データ」にあたるかは不明確であるといわざるを得ない状況です。

なお、2021年11月14日からパブリックコメントが行われた「ネットワークデータセキュリティ管理条例」案によれば、以下が重要データにあたるとされていました。
・非公開の政府データ、仕事上の秘密、情報データ、法執行機関や司法機関のデータ
・輸出管理データ、輸出管理品目に関わるコア技術、設計スキーム、生産プロセスに関するデータ、暗号、生物、電子情報、人工知能など、国家安全保障や経済の競争力に直接影響を与える分野の科学技術成果に関するデータ
・国家の経済運営データ、重要産業のビジネスデータ、統計データなどで、国の法律、行政法規、部門規定で保護または普及制御が明確に求められているもの
・産業、通信、エネルギー、交通、水利、金融、国防科学技術産業、税関、税務などの主要産業・分野の安全な生産・運営に関するデータ、主要なシステムコンポーネントや機器のサプライチェーンデータ
・遺伝子、地理、鉱物、気象データなど、人口や健康、天然資源、環境に関する国家基本データで、国家の関連部門が指定する規模や精度に達しているもの
・国家インフラ、重要情報インフラの構築・運用とそのセキュリティデータ、国防施設、軍管理区域、国防研究・生産ユニットなどの重要かつ機密性の高いエリアの地理的位置とセキュリティに関するデータ
・その他、国家の政治、領土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外の利益、生物、宇宙、極地、深海などの安全に影響を与える可能性のあるデータ

また、2017年5月27日からパブリックコメントが行われた「データ国外移転安全評価指針（第1草稿）」では27の分野毎に重要データに該当するものが列挙されていました。

なお、重要データの越境移転に関する規制の詳細は、特集「『重要データ』の中国からの越境移転」をご参照ください。

3. 安全評価

(1)手続

安全評価の詳細は、前述した「データ越境安全評価弁法」が定めています。その手続の概要は以下のとおりです。

1. 企業が、省級のインターネット情報部門に申告書類を提出（弁法6条）
2. 国家インターネット情報部門が安全評価（同7条、11条）

安全評価の有効期間は2年間であり、有効期間満了の60営業日前に安全評価の再申告が必要となります。
なお、データ越境安全評価弁法は2022年9月1日に施行されており、安全評価が必要であるにもかかわらず行っていない場合には、2023年3月31日までに是正する必要あるとされています。

(2)提出書類

上記のとおり、安全評価は当局に申告する必要がありますが、その際の手続は「データ越境セキュリティ評価報告書作成ガイド」（中国語リンク）が定めています。
同ガイドによれば、提出書類は以下のとおりとなります。

1.統一社会信用規約文書の写し
2.法定代理人の身分証明書の写し
3.担当者の身分証明書の写し
4.管理者の承認書（附属書2）
5.データ越境セキュリティ評価宣言（附属書3）
6.海外の受取人との越境契約書等の法的拘束力のある文書の写し
7.データ越境リスクに関する自己評価報告書（附属書4）
8.その他関連する補足資料

「附属書」として提出書類のフォーマットが定められています。このうち「附属書4」が安全評価の報告書となっていますので、安全評価において何をどのように評価するのかは同附属書を見れば分かります。

ここで実務上留意すべきは、「6. 海外の受取人との越境契約書等の法的拘束力のある文書の写し」が要求されている点です。重要データを国外移転する際には、データを受領する会社との間で契約を締結し、それを当局に提出する必要があることになります。さらに、提出の際に関連する条項をハイライトするとされているほか、中国語でない場合には中国語訳を提出する義務がありますので、英語や日本語で契約を締結している際には注意が必要です。

なお、書類のみならず、CD-ROMで電子データを提出しなければならないとされてます。

安全評価の方法をより具体的に定めた「データ国外移転安全評価指針」は二度にわたってパブリックコメントが行われていますが、現時点では正式版は公表されていません。

4. 個人情報保護認証

個人情報保護認証については、「個人情報保護認証実施規則」（2022年11月4日。中国語リンク）が詳細を定めています。

(1)認証の要件

越境移転を行う個人情報処理者はTC260-PG-20222A（個人情報越境処理活動安全認証規則）の要求事項（最新版）を遵守しなければならないとされています。
※個人情報越境処理活動安全認証規則については、現時点で既に第二版が公表されています。

(2)認証までのフロー

1. 個人情報処理者に認証機関に対する認証委託（具体的には資料提出等）
2. 技術検証
3. 現地審査
4. 認証決定・認証証明書の発行

(3)認証後の監督及び有効期限

認証証明書の有効期限は3年間ですが、個人情報処理者は、有効期間中、認証機関の継続的な監督に服し、認証の有効性を維持しなければならないとされています。
認証の更新が必要な場合、個人情報処理者は、失効日の6ヶ月前以内に認証委託を行わなければならないとされています。

5. 「標準契約」の締結

個人情報を越境移転するための手段として「個人情報越境移転標準契約」を締結する方法があります。これは、EU一般データ保護規則（GDPR）の下での越境移転の方法の一つとして「標準データ保護条項」（standard data protection clauses。旧データ保護指令からの慣例で「SCC: Standard Contractual Clauses」と呼ばれることが多い）を締結する方法があるとされていることと同様の仕組みです。

いわば「中国版SCC」といえる「個人情報越境移転標準契約」ですが、これを締結する際の手続は「個人情報越境標準契約弁法」（2023年2月24日公布）が定めています。その別紙に契約書の”ひな形”が添付されており、これを締結することになります。
同弁法6条は、「別紙に従って厳格に締結しなくてはならない」としていますので、別紙の”ひな形”は修正することはできず、そのままの条項で締結しなければならないことになります。但し、”ひな形”の条項に矛盾しない限り、追加の条項を設けることは可能であると考えられます。

標準契約は、その発効日から10営業日以内に所在地の省級のインターネット情報部門に届出をする義務があります。これには例外がありませんので、前記4の個人情報保護認証を得ている場合除き、中国から国外に個人情報を移転する際には、必ず当局に申告・届出をしなければならないことになりますので、注意が必要です。

当局に届け出る際の提出書類は以下のとおりです。
1. 標準契約
2. 個人情報保護影響評価（PIA）報告書

同弁法は2023年6月1日施行に施行され、施行前から国外移転しているケースでは2023年11月30日までに是正する義務があるとされています。

届出の手続の詳細は、ニューズレター「中国で個人情報越境標準契約の届出ガイドライン（第一版）が公布」（2023.6.16）をご参照ください。

(1)個人情報保護影響評価（PIA）

個人情報保護法55条により、個人情報を中国国外に提供する場合には、事前に「個人情報保護影響評価」を行わなければならないとしています。
同法56条1項では、個人情報保護影響評価には以下の項目を含めなければならないとされています。

1. 個人情報の処理目的及び処理方法が合法であり、適切かつ必要であるかどうか
2. 個人の権利とセキュリティリスクへの影響
3. 採用された保護措置が合法であり、効果的であり、リスクの程度に適合しているかどうか

これを踏まえ、個人情報越境移転標準契約5条では、以下を重点的に評価する義務を定めています。

1. 個人情報処理者及び国外受領者が個人情報の処理を行う目的、範囲、方法等の適法性、正当性、必要性
2. 越境する個人情報の規模、範囲、種類、機微の度合い、個人情報の越境が個人情報の権利利益にもたらす可能性のあるリスク
3. 国外受領者が負う義務、義務を履行する管理的及び技術的措置、越境する個人情報の安全を保障する能力
4. 個人情報の越境後の改ざん、破壊、漏えい、紛失、不法な利用等のリスク、個人情報の権利利益を保護する方法が円滑であるか等
5. 国外受領者の所在国又は地域の個人情報保護政策及び法規が標準契約の履行に及ぼす影響
6. 個人情報の越境の安全性に影響を及ぼす可能性のあるその他の事項

個人情報保護影響評価の目的及び評価の対象等の概要は、「情報安全技術 個人情報安全規範」（GB/T 35273-2020）の「11.4」に記載があります。
そして、個人情報保護影響評価の方法の詳細は、「個人情報セキュリティ影響評価ガイドライン」（GB/T 39335-2020）が定めています。
なお、これらのガイドラインは個人情報保護法が施行される前に定められたものですので、今後の動向には注意が必要であると考えられます。

「個人情報セキュリティ影響評価ガイドライン」は、リファレンスとして「ISO/IEC FDIS 29134:2017 Information technology – Security techniques -Privacy impact assessment」を挙げていることからも分かるとおり、Privacy Impact Assessment（PIA）の一般的な手法に従った手順や内容を定めているといえます。
ISO/IEC FDIS 29134:2017を日本語化したものが「JISX 9251：2021（情報技術－セキュリティ技術－プライバシー影響評価のためのガイドライン）」として公表されています。
さらに、個人情報保護委員会が、JISX 9251：2021を参考にしつつ、「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」という文書を公表しています。PIAの方法論等については、こちらを参考にすると分かりやすいでしょう。
また、PIAの最初のプロセスとして必要となるデータマッピングの意味や方法論についても、個人情報保護委員会が「データマッピングツールキット」を公表していますので、適宜参照すると分かりやすいと思われます。

「個人情報セキュリティ影響評価ガイドライン」では、以下の手順でリスクレベルを評価するものとしています。

リスクレベルを評価したうえで報告書を作成し、3年間保存する義務があります（個人情報保護法56条2項）。
個人情報保護影響評価の報告書（PIA報告書）は、締結済みの「個人情報越境移転標準契約」と併せて当局に届け出る必要がありますので、PIAを怠らないよう注意が必要です。

提出する報告書のひな形は、「個人情報越境標準契約の届出ガイドライン」の「別紙5」に記載されています。詳細は、ニューズレター「中国で個人情報越境標準契約の届出ガイドライン（第一版）が公布」（再掲）をご参照ください。

(2)処理活動の記録

個人情報保護法55条は、個人情報を国外移転する場合には、「事前に個人情報保護影響評価を実施し、処理活動を記録するものとする。」として、PIAに加え、処理活動の記録義務を課しています。この記録は3年間保存する義務があります（同法56条2項）。

「情報安全技術 個人情報安全規範」（GB/T 35273-2020）の「11.3」によれば、処理活動の記録には以下を含むことが例示されています。

a) 対象となる個人情報の種類、量及び出所（例えば、本人から直接収集されたものか間接的に取得されたものか）
b) 業務機能・権限に応じて個人情報の処理目的及び利用シナリオ、処理の委託・共有・提供・公開及び国外移転が含まれるかの情報の識別
c) 個人情報の処理活動の各段階において関与する情報システム、組織及び人員

これらの項目は、「個人情報セキュリティ影響評価ガイドライン」（GB/T 39335-2020）に基づく個人情報保護影響評価の最初に行うデータマッピングにおいて特定することになり、データマッピングの結果を記載した書類（データマッピング・シート）に記載されることになると考えられます。そして、これは個人情報保護影響評価書（PIA報告書）に含まれることになると思われます。
したがって、実務的には、個人情報保護影響評価書（PIA報告書）を3年間保存すればよいことになるでしょう。

6. まとめ

以上のとおり、個人情報（及び重要データ）を中国から国外に移転する際には、(1)安全評価を当局に申告する、(2)個人情報保護認証を得る、(3)個人情報越境移転標準契約を締結し当局に届け出るのいずれかを行う必要があります。つまり、中国のデータ3法の下では、当局の関与なしに個人情報（及び重要データ）を国外に移転することはできないことになりました。ほぼ全ての日本企業に大きな影響がある法規制ですので、留意が必要です。

※本稿は一般的な法令情報を提供するものであり、中国法に関するアドバイスや法的意見を提供するものではありません。

以下の特集もあわせてご参照ください。
「中国の個人情報保護法（データ3法）の下での国外移転の実務（前編：制度概要）」
「『重要データ』の中国からの越境移転」

お問い合わせ

牛島総合法律事務所では、中国のデータ3法の下での越境移転に関して、データマッピング、個人情報越境移転標準契約を含むいわゆる「Umbrella Agreement」（Intra-Group Data Transfer Agreement: IGDTA）の締結、個人情報保護影響評価報告書の作成等の支援を行っております。以下からお気軽にお問い合わせ下さい。
お問い合わせ（担当：影島広泰、辻晃平）

ニューズレターのメール配信はこちら

関連セミナー

• 中国個人情報保護法（データ3法）の下での越境移転の実務｜U&Pリーガルセミナー
  （2023年6月7日16:00～17:00、8月31日までアーカイブ配信、無料）