<中国のデータ越境移転に関する状況>
10月14日から10月22日にかけてシンガポールに仕事で行っていました。シンガポールは今雨季だそうで、前回7月に行ったときと比べると幾分涼しくなっていました。
今回の出張の目的はシンガポールのデータプライバシー認証であるDPTM (Data Protection Trust Mark)の認証と現地パートナーとの打ち合わせでした。認証の仕事は現地認証機関との情報交換の場ともあるため貴重です。また、現地パートナーとの打ち合わせではグローバル事業責任者との打ち合わせもでき、実り多い時間となりました。余談になりますが、私が打ち合わせをした責任者の方はまだ30代の若い方です。すでに多くの経験を積んでおり、家もアメリカに3件持っているそうで、いつでもリタイアできるけれども、もうひと仕事をしてからにしたいと言っていました。
日本から足を踏み出すとこういう方と出会う機会がたくさんあります。彼らと仕事をするのは大変なこともありますが、そういったトップレベルの人たちと仕事ができる会社であり続けるために、日々こちらも研鑽を積んでおく必要があると改めて感じた時間でした。
今日の話題は中国の越境データ移転についてです。すでに9月1日に「数据出境安全评估申报指南」が出たことは当社の会員サイトやメールマガジンでもお知らせしてきましたが、2か月ほどしてこの件に関する相談や質問が増えてきた印象があります。もっとも、米国の企業からは出た直後から活発に質問があったので、個人的には少し時間がかかったな、という印象も持っています。
少しおさらいですが、中国法についてはデータの越境移転を適法化する方法として大きく3つの方法があります。一つ目は当局が規定する「セキュリティ評価」に合格すること、二つ目は「越境移転についての認証」を取得すること、三つめは「標準契約」を締結することです。いずれについても個人からの「単独同意」の取得する必要があります。今年の9月1日に出たのはこのうちの「セキュリティ評価」に該当し、管理者は2023年3月1日までに対応することが要求されています。
対象者は以下です。
- 重要データを国外(境外)に提供するデータ処理を行う場合
- 重要情報インフラ事業者及び100万人以上の個人情報についてデータ処理を行う者が国外(境外)に個人情報を提供する場合
- データ処理を行う者が、前年の1月1日から累計で10万人分の個人情報または1万人分のセンシティブな個人情報を国外(境外)に提供する場合
- その他、国家インターネット情報局が規定する、データ越境セキュリティ評価の申告を必要とする場合
比較的現実的な適用範囲が設定されているため、B2Bでビジネスをされている場合は該当しないケースが多いと考えられます。対消費者でサービスを提供しているeコマースについては適用の可能性があるため対応を進めてください。
ちなみに、データの越境移転とは次の行為を指しています。GDPRでは越境移転とみなされていない2つ目のケースについてもセキュリティ評価の対象となるため、この点も注意が必要です。
- データ処理を行う者が国内(境内)業務を通じて収集、及び生成したデータを国外(境外)に転送、保管する場合
- データ処理を行う者が収集、及び生成したデータを国内(境内)に保存し、国外(境外)の機関、組織または個人が照会、検索、ダウンロードもしくはエクスポートできる場合
- その他、国家インターネット情報局がデータ越境移転と定める行為
セキュリティ評価自体は特に難しいものではないといってよいでしょう。ただ、この評価はセルフアセスメントにとどまらず現地当局の承認を得る必要があるため、慣れていない企業の場合現地コンサルタントとの連携が必要となります。また、中国はMLPS(等級保護)を通じて日本の一般的な(暗黙の)水準よりも高い水準でのセキュリティ対策を要求しているため、本当に対応を行うつもりであればセキュリティソリューションを備えたコンサルティング会社やパートナーと連携する必要もあるでしょう。
データプライバシー対策は、今では法律の原文を解釈するだけでは十分といえない時代になっています。プライバシーとセキュリティをセットで対応するようにしていただければと存じます。
▼「数据出境安全评估申报指南」への対応
http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
