中国、データ保護強化のためのデータセキュリティ法を制定

2021年6月10日、第13期全国人民代表大会常務委員会は、長い間待たれていたデータセキュリティ法（「DSL」）を制定しました。DSLは2021年9月1日に発効予定であり、中国国内で行われるデータの収集、保存、使用、加工、移転、提供、開示などすべてのデータプロセスに適用されます。国家の安全がDSLの一貫したテーマであり、主な条項は次のとおりです。

• 「重要データ」の保護強化を要求し、国家安全及び公的・私的利益などに対してデータの不正使用又は不正取得が与えうる影響を基に当局が策定する、データの階層分類の制定。
• 2017年サイバーセキュリティ法に従い、ネットワーク崩壊やサイバーセキュリティインシデントの場合に国家安全、社会秩序、公益に対し起こりうる損害に基づき、異なったレベルのセキュリティ要件を求める、等級保護管理制度（「MLPS」）の実行。
• 中国国外へのデータ移転の制限強化。
• 企業へ求めるデータセキュリティ義務の拡大。
• DSL違反の場合の厳しい罰則。

データ処理を行う企業の義務拡大

DSLはデータ処理を行う企業に対し、次を含む義務を課します。

• データ安全管理システム、セキュリティ訓練、MLPSのもとでの安全管理措置の実施。
• データセキュリティ担当者の指名、データセキュリティ部署の設立。
• リスク監視体制の強化、データセキュリティインシデントの場合の素早い対策。
• 「重要データ」を取り扱う場合、定期的なリスク分析と、政府当局への報告。

DSLは、「重要データ」の域外移転について、重要情報インフラ事業者（「CIIOs」）と非CIIOsに関して別の規制枠組みを設けています。前者はサイバーセキュリティ法を、後者は中国サイバーセキュリティ事務局及び関連の政府機関の制定するルールを順守しなければなりません。このように、サイバーセキュリティ法のもとで要求される重要データの域外移転のための中国政府の承認システムは、非CIIOsについては適用されないことが明確になり、この点は歓迎すべき点といえます。

司法手続きにおける国境を越えた移転

DSLは、中国で保管されるデータを、中国政府の事前の承認なしに、中国国外の法執行機関や司法機関へ提供することを明確に禁じています。これは国境を超える訴訟やその他の司法手続きに多大な影響を及ぼします。例えば、中国で設立された会社が欧州連合のデータ主体に商品やサービスを提供する場合、欧州連合の一般データ保護規則（「GDPR」）が適用されますが、欧州連合の当局がGDPRの執行権限に基づいて、欧州連合内のデータ主体から収集された個人データを求めた場合、そのデータを提供する前に中国政府の承認を得なければなりません。

施行

多くの中国の法令と同様に、DSLの施行の詳細は施行規則によって制定されますが、それはまだ制定されておらず、DSLの施行前になっても制定されない可能性があります。DSLの焦点である「重要データ」は、DSLやその他の法令でも定義されていません。いまだに主な施行規則が制定されていない2017年サイバーセキュリティ法と同様、不確実性が生じるでしょう。

本コメンタリーは、中国で又は中国と事業を行う日本企業にとって大変重要な影響を与えるトピックと考えられることから紹介する次第です。詳細は、Jones Day Commentaries “China Finalizes Data Security Law to Strengthen Regulation on Data Protection”（オリジナル英語版）をご参照下さい。