2023年9月28日に国家インターネット情報局(CAC)が越境移転の規制と促進についてのガイダンス(规范和促进数据跨境流动规定)の草案を公表しました。これは、中国から中国国外にデータを移転する際のルールを解説したもので、法律の文面や標準契約を補うものとして注目されました。当局の方針を知るうえで役に立つ内容なので、ブログで内容を共有します。
中国のデータ越境移転規制はいくつかの法律で触れられています。
主なものはサイバーセキュリティ法として知られる中华人民共和国网络安全法、データセキュリティ法(中华人民共和国数据安全法)、及び個人情報保護法(中华人民共和国个人信息保护法)が挙げられます。その他、下位規定である数据出境安全评估办法や、下位規定の草案が複数出されています。
中国のデータ越境移転規制の特徴は、個人情報のみではなく、非個人情報である重要データについても規制している点です。適用範囲はGDPR等のデータ保護法よりも広いのですが、規定の内容はグローバルな越境移転に関する規定と大筋類似しています。
データ越境移転規制には次の4つの大切なポイントがあります。
1) 重要データが含まれているか
2) 中国国外に移転する個人情報の数が1万人未満か
3) 中国国外に移転する個人情報の数が1万人以上100万人未満か
4) 中国国外に移転する個人情報の数が或いは年間100万人超か
一般に重要データが含まれている場合と中国国外に移転する個人情報の数が年間100万人超の場合、安全評価を求められます。中国国外に移転する個人情報の数が1万人以上100万人以下の場合は、標準契約の締結、或いは個人情報保護認証の取得が求められます。
越境移転の規制と促進についてのガイダンスのポイント
今回出されたガイダンスのポイントは大きく二つです。
- 現在意見募集稿であるが、事業者の負担を大きく下げる内容となっており、成立すれば中国におけるデータ越境移転が著しく容易になるものとして注目を集めている
- 中国版越境移転標準契約(中国版SCCs)、安全性評価の要否を具体的に示すことで、データの越境移転について事業者が求められる対応が明確化された
特に、越境ECを運営されている事業者にとっては「データ越境安全性評価の申告、個人情報出境標準契約の締結、個人情報保護の認証への合格を要求されない」と明言され、越境移転に関する対応については要否を見極める余裕が少しできたのではないかと思います。
今回公表されたガイダンスは10のガイダンス項目と他のガイダンスとの関係を定める項目、計11の項目から成っています。
第2項では、該当するのか迷うことの多い「重要データ」について、「関連部門や地域から重要データとして通知または公表されていない場合」には該当しないと判断し、データ国外移転のための安全評価を行う必要がないと示しています。
第4項では、以下のケースについては標準契約、安全評価、認証の取得を求めないとしています。
- 国境を越えた商品の購入、国境を越えた送金、航空券やホテルの予約、ビザの手続きなど、本人が当事者となる契約を締結または履行する目的で、国外で個人情報を提供しなければならない場合
- 法律で定められた労働規則および法律に従って締結された労働協約に従い、人事管理を実施する場合
- 緊急時に自然人等の生命、健康、財産を保護するために個人情報を国外に提供しなければならない場合
第5項では、従来の閾値である1万人を踏襲しながら「1年以内に国外に個人情報を提供する見込みが1万人未満の場合は、データの国外移転についての安全評価の申告、標準契約の締結、個人情報保護の認証に合格することを要求されない。」としています。
第6項では、「1年以内に1万人以上100万人未満の個人情報を国外に提供する見込みがある場合で、海外の受領者と標準契約を締結し省クラスのインターネット情報部門に提出した場合、或いは個人情報保護の認証に合格している場合は、安全評価の申告を行わなくてもよい」としています。また、「100万人以上の個人情報を国外に提供する場合は安全評価の申告しなければならない。
第7項、第8項は特区および国家機関における越境移転の考え方を述べています。
第9項では、「国境を越えて移転したデータにセキュリティ事故が発生した場合、または当該データのセキュリティリスクが増加したことを発見した場合、改善措置を講じ、速やかにインターネット情報部門に報告しなければならない」とし、データ侵害や移転先でのリスクが高まった場合の対応を定めています。
第10項は、当局の権限について規定しています。
総括
全体を通して、今回のガイダンスは従来の越境移転についての姿勢を踏襲したものとなっています。ただ、第4項は越境ECや人事管理における越境移転の適法化措置を大幅に軽減するものとなるため、ビジネスへの配慮を示しているともとることができます。
今回公表された越境移転の規制と促進についてのガイダンス(规范和促进数据跨境流动规定)は、あくまで草案でしかないため法的効力は持ちませんが、それでも、ビジネスを行う者に指針を示してくれています。中国データ保護法の温度感を知る手掛かりとして、ぜひ参考になさってください。
アリババクラウドのコンプライアンスに対する姿勢
アリババクラウドはコンプライアンスを最重要課題の一つと位置付けてビジネスを行っております。私たちは、ビジネスを行っている国や地域の法規制、業界規制、その他国際標準の遵守を積極的に行ってきました。日本に特化した話をすると、アリババクラウドの日本チームでは日本のコンプライアンスについてのトレーニングを定期的に実施しています。また、トラストセンターには日本用のページも用意し、関連する情報を集約しています。こういった活動を通じて、お客様に安心してアリババクラウドのサービスを利用いただけるよう努めています。
https://www.alibabacloud.com/ja/trust-center/japan
アリババクラウドについて
2009年に設立されたアリババクラウドは (www.alibabacloud.com)、アリババグループのデジタルテクノロジーとインテリジェンスの中枢です。アリババクラウドは、エラスティックコンピューティング、データベース、ストレージ、ネットワーク仮想化サービス、大規模コンピューティング、セキュリティ、管理およびアプリケーションサービス、ビッグデータ分析、機械学習プラットフォーム、IoTサービスなど、あらゆるクラウドサービスを世界中のお客様に提供しています。IDCの調査でアリババクラウドは2018年以降、Infrastructure as a Service(IaaS)分野で世界3位のサービスプロバイダーに認定されています。また、ガートナーには、アリババクラウドは2018年以降、売上高で世界3位、アジア太平洋地域で1位のIaaSプロバイダーとして認定されています。
アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。
20 posts | 0 followers
FollowAlibaba Cloud Japan Compliance - January 29, 2025
Alibaba Cloud Japan Compliance - May 20, 2024
Alibaba Cloud Japan Compliance - May 1, 2024
Alibaba Cloud Japan Compliance - November 15, 2021
Alibaba Cloud Japan Compliance - May 30, 2023
Alibaba Cloud Japan Compliance - May 24, 2022
20 posts | 0 followers
Follow
Cloud Data Transfer
Unified billing for Internet data transfers and cross-region data transfers
Learn More
Data Transfer Plan
An easy-to-use and cost-effective data traffic package that offers affordable traffic-billed pricing.
Learn More
China Gateway Solution
Power your progress in China by working with the NO.1 cloud provider of this dynamic market.
Learn More
Global Network Solution
Alibaba Cloud's global infrastructure and cloud-native SD-WAN technology-based solution can help you build a dedicated global network
Learn MoreMore Posts by Alibaba Cloud Japan Compliance
