中国、データ域外移転のセキュリティ評価に関するガイダンス案を発表

2021年10月29日、中国のサイバースペース管理局（以下「CAC」といいます。）はデータ域外移転のセキュリティ評価に関する規則案を発表しました（以下「本規則案」といいます。）。中国のサイバーセキュリティとプライバシーに関する3つの法律（サイバーセキュリティ法、データセキュリティ法、個人情報保護法）により、あるデータが中国から国外に移転される前に政府のセキュリティ評価が必要になります。

本規則案は、以下の場合にデータ取扱者（GDPRの「データコントローラー」と同様です。）が政府のセキュリティ評価を申請しなければならないとしています。

• データ移転が重要情報インフラ運営者が収集若しくは生成する個人情報若しくは重要データ、又はその他重要データであると判断されるデータ（一般的には、国家安全保障、経済開発又は公共の利益に関連するデータと定義されます。）を含んでいる場合
• 移転される個人情報のデータ主体の数にかかわらず、100万以上のデータ主体の個人情報をデータ取扱者が処理している場合
• 10万以上のデータ主体の個人情報又は1万以上のデータ主体のセンシティブな個人情報を移転させる場合
• その他CACによって定められた場合

数値基準は個人情報保護法の関連規定の実施を意図しており、受領したコメント次第で本規則案が最終化される前に変わるかもしれません。

政府のセキュリティ評価が必要かどうかを判断するために、データ取扱者はまず、GDPRのデータ保護影響評価の項目と類似の項目をカバーした自己評価を行う必要があります。政府のセキュリティ評価が必要であれば、データ取扱者はCACに申請し、自己評価報告を含む所定の書類を提出しなければなりません。CACは、申請受領後45日以内又は複雑な案件であれば最大60日以内に他の専門的な政府部門と協力してセキュリティ評価を行わなければなりません。結果は書面でデータ取扱者に提供されます。

本規則案が採用されることを見据えて、企業は域外移転するデータの種類、量、並びに多様な中国サイバーセキュリティ―及びプライバシーに関する法律に基づく特別な義務の有無について注意する必要があります。

本規則案は、2021年11月21日までパブリックコメントを受け付けていました。

本アラートは、中国で事業を行う日本企業にとって重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alerts “China Issues Draft Guidance on Security Assessments for Cross-Border Data Transfers”（オリジナル英語版）をご参照ください。