中国規制動向：越境移転についての認証ガイダンス

2025年1月3日にでたガイダンス案、个人信息出境个人信息保护认证办法（征求意见稿）について紹介します。このガイダンスでは、中国の個人情報保護法(PIPL)で越境移転の適法化措置の一つとして挙げられている「個人情報保護認証」の要件を明確化しており、2月3日まで意見を公募しています。

前回の投稿から少し時間が空いてしまいましたが、このブログでは引き続き中国法の動向をお届けしていきたいと考えています。

今回は、2025年1月3日に出たガイダンス案、个人信息出境个人信息保护认证办法（征求意见稿）についてです。

これは、中国の個人情報保護法(PIPL)で越境移転の適法化措置の一つとして挙げられている「個人情報保護認証」の要件を明確化するもので、2月3日まで意見を公募しています。

中国個人情報保護法における越境移転の適法化措置

中国個人情報保護法では個人情報の越境移転についての規制をおさらいしておきましょう。

中国国外に個人情報を移転する個人情報取扱事業者は、以下の条件を満たさなければなりません。

個人情報の移転に関して通知すること
個人の同意を得ること
個人情報保護影響評価 (PI protection impact assessment) を実施すること

中国国外への個人情報を移転する際には、以下のデータ移転に関するメカニズムのいずれかに基づく必要があります：

データ輸出セキュリティ評価
標準契約書
個人情報保護認証

重要データを中国国外に移転する場合には、データ輸出セキュリティ評価を必ず実施しなければなりません。重要データについては、当局から個人情報取扱事業者に通知が行われるか、当局によって該当するデータのリストが公表されることになっています。

個人情報およびセンシティブな個人情報を域外移転する際に実施すべき措置を検討する際は、一定の閾値が満たされているかも検討する必要があります。

例えば、１年間のデータ移転については次のようなルールがあります。

データ移転の量が10万人未満の個人情報 (重要データおよびセンシティブな個人情報を除く) である場合、データ移転メカニズムを踏むことが免除される
100万人以上の個人情報または1万人以上のセンシティブな個人情報を移転する場合は、免除が適用されない限り、データ輸出セキュリティ評価を完了しなければならない
10万人から100万人の個人情報または1万人未満のセンシティブな個人情報を移転する場合、免除が適用されない限り、標準契約に署名するか、個人情報保護認証を取得しなければならない

個人情報保護認証

現在意見公募されているガイダンスは、前節で紹介した「個人情報保護認証」についてガイダンスです。

今回のガイダンスで特に新しく明確化された点を紹介しましょう。

第5条

「中華人民共和国の個人情報保護法第3条第2項の規定に基づき、中華人民共和国国外(境外)から国内(境内)の個人情報を処理する個人情報取扱事業者は、個人情報の輸出(出境)個人情報保護認証を取得し、個人情報の輸出(出境)活動を行うことができる。」

中国国内に拠点はないけれども、中国国外から直接中国国内の個人情報を処理している場合にも個人情報保護法 (PIPL)は適用されます。これを、個人情報保護法の「域外適用」と呼んでいます。

ガイドライン案では、域外適用を受ける事業者に対しても「個人情報保護認証」の取得の扉を開いています。

第9条：

「中華人民共和国国外(境外)の個人情報処理事業者が、個人情報の輸出について個人情報保護認証を申請する場合、申請は、中華人民共和国国内(境内)に設立された専門機関または指定された代表者によって支援され、支援する者はそれに応じた法的責任を負い、中華人民共和国の個人情報保護に関する関連法規を遵守し、監督および管理を受け入れ、認証の有効期間内に専門認証機関による継続的な監督を受け入れることを約束しなければならない。」

取得方法ですが、第9条によると、中国国内の代理人を用い、代理人を通じて申請することができるようになりそうです。中国からの越境移転が多くある場合は検討する価値がありそうです。

個人情報保護認証の評価項目

個人情報保護認証で評価する項目は第10条で示されています。

第10条：

「国外(境外)に輸出(出境)する個人情報の個人情報保護認証における重点な評価項目は、以下のとおりである：

(1) 国外(境外)に輸出(出境)する個人情報の目的、範囲、方法の合法性、正当性、必要性

(2) 国外(境外)の個人情報取扱事業者または国外(境外)の受領者の所在する国または地域の個人情報保護政策および法律、ネットワークおよびデータセキュリティ環境が国外(境外)に輸出(出境)する個人情報のセキュリティに与える影響

(3) 国外(境外)の個人情報取扱事業者または国外(境外)の受領者の個人情報保護レベルが中華人民共和国の法律および行政法規、強制国家基準の要求を満たしているか

(4) 個人情報取扱事業者と国外(境外)の受領者との間で締結された法的拘束力のある契約に、個人情報の保護義務が規定されているか

(5) 個人情報取扱事業者と国外(境外)の受領者の組織構造、管理体制、技術的措置が、データセキュリティと個人情報に関する権利と利益を十分に効果的に保護できるか

(6) その他の事項で、関連する個人情報保護認証基準に従って、専門認証機関が評価しなければならないと判断した事項」

一部中国の法規や企画への準拠が求められているものの、要件としては一般的な諸外国のデータ保護法で要求されている内容と重複しているといえるので、グローバルコンプライアンスを進めている事業者であれば大きな負担なく認証取得できそうです。

他の認証との相互認証の可能性

今回のガイダンス案で興味深いのは、「相互認証」についても言及されていることです。

第18条：

「国は、個人情報輸出(出境)のための個人情報保護認証活動における国際的な交流及び協力を推進するとともに、諸外国、諸地域及び国際機関との個人情報保護認証の相互承認を推進するものとする。」

APEC で運用されているCBPR等の国際的な認証について相互認証が実現すれば、事業者にとっても効率的なデータ流通が実現可能となり、メリットのあることです。今後の動向に注目したいところです。

まとめ

中国の越境移転に関するルールと個人情報保護認証についてのガイダンスの注目ポイントについてご紹介しました。いかがでしたか？

中国の個人情報保護やデータ保護規制は日々変化し続けています。これからもホットな最新情報をピックアップしてご紹介していく予定です。

ぜひ、アリババクラウドのブログを継続してチェックしてください！

アリババクラウドについて

2009年に設立されたアリババクラウドは (www.alibabacloud.com)、アリババグループのデジタルテクノロジーとインテリジェンスの中枢です。アリババクラウドは、エラスティックコンピューティング、データベース、ストレージ、ネットワーク仮想化サービス、大規模コンピューティング、セキュリティ、管理およびアプリケーションサービス、ビッグデータ分析、機械学習プラットフォーム、IoTサービスなど、あらゆるクラウドサービスを世界中のお客様に提供しています。IDCの調査でアリババクラウドは2018年以降、Infrastructure as a Service（IaaS）分野で世界3位のサービスプロバイダーに認定されています。また、ガートナーには、アリババクラウドは2018年以降、売上高で世界３位、アジア太平洋地域で１位のIaaSプロバイダーとして認定されています。

アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。

https://www.alibabacloud.com/ja/trust-center/japan