中国における情報セキュリティ法とデータセキュリティ法は、中国国内の情報およびデータの保護、処理、利活用に関する基本法として、それぞれ2017年6月と2021年9月に施行されました。その後、複数回の関連法規則の更新を経て、現在では中国に進出している日系企業に対して「データ越境移転」に関する対応が求められています。本稿では、クララオンラインが中国におけるデータ越境移転のポイントについて、特に重要なデータに焦点を当てて一考察を行います。
- X (旧Twitter) で投稿
- LINEで送る
- Facebookでシェア
- URLをコピー
情報セキュリティ法、データセキュリティ法とは
個人情報保護法と共に、中国サイバーセキュリティ法を中心としたデータ3法の中で重要度が高く、企業も対応を迫られているものの、その全体像を含めて俯瞰しづらい法令である。
【概況】
・中国国内でネットワークを構築、運用、保守および使用するにあたってほぼ全ての情報システムにおいて適用される
・中国国内の情報・データの保護並びに処理・利活用に関する基本法である。
・中国域外で行われる情報処理においても適用されるケースがある。
・直近ではデータ越境移転ルール、管理監督についても定められている。
対象となるデータの種類
越境移転とは、データ処理者が中国国内における業務の過程で収集・生成したデータを国外に提供する、または中国域内に保存されたデータを中国域外の機関・組織・個人がアクセスまたは利用することを指している。
ここで言うデータは更に2つに分類され、重要データと個人情報に分けられる。
対象となるデータ
1.重要データ
2.個人情報
対象となる重要データ処理者
一般的には、重要情報インフラ運営者
重要データの定義
中国「サイバーセキュリティ法」では、重要データの概念が最初に提出されたが、重要データの定義を明確にしていない。また「データセキュリティ法」では、各地域、各部門はデータ分類・分級保護制度に基づき、管轄地域、管轄部門及び関連業界・分野の重要データの具体的な分類目録を作成し、重要データの保護を強化しなければならないと定めている。
「データ越境安全評価弁法」第19条によると、重要データは、一旦改ざん、破損、漏えい又は不正取得、不正利用等が生じた場合に国家の安全、経済運営、社会の安定、公衆衛生及び安全に危害を及ぼすおそれのあるデータを指す。
また、「情報安全技術 重要データ識別ガイドライン(意見募集稿)」によると、重要データは、電子方式で存在し、一旦改ざん、破壊、漏えい又は不正取得、不正利用された場合、国家の安全、公共の利益に危害を与える可能性があるデータを指す。国家秘密と個人情報を含まないが、大量の個人情報に基づいて形成された統計データ、派生データは重要データに該当する可能性がある。
重要データを識別する際に、以下のような要点を考慮すべきである。
1.未公開の政府データ、秘密情報と司法に関するデータ
2.重点産業とその領域の生産、オペレーション、キーデバイス設備などのサプライチェーン情報
3.国家関連部門の規定する一定以上のDNA生体情報、地理、鉱業、気象などの国家基礎データ
4.国防設備、軍事管理区、国防科学研究組織など重要センシティブエリアに関する地理、場所、安全保障状況に関わるデータ
5.輸出規制対象となりうる、核心技術、設計、生産技術に関わるデータ
重要データの保管場所
原則中国から見た海外が対象であるが、本法令の特徴的な項目として中国国内にデータ保管がなされていてもそこに接続が発生する場合、域外適用が適用される。
対象となる場所
1.中国以外の場所(香港、マカオ、台湾を含む中国から見た海外)
2.中国国内
対象となるデータの越境行為
以下のように定義されている。
越境移転と見なされる行為
・データ取扱者が、中国国内の運営において収集および発生したデータを域外に伝達し、保管すること。
・データ取扱者が、中国国内の運営において収集および発生したデータを中国国内に保管し、域外の機構、組織または個人によるアクセスまたは使用が可能な状態になっていること。
越境移転と見なされない行為
・中国国外で収集又は生成した個人情報及び重要データを、変更又は加工せずに中国を経由して中国国外へ移転することは、越境移転に該当しない。
・中国国外で収集又は生成した個人情報及び重要データを中国国内で保存、加工したうえで中国国外へ移転する場合、中国国内で収集又は生成した個人情報及び重要データが含まれなければ、越境移転に該当しない。
重要データに対する規制
重要データを中国国外に移転する際には、以下の規制にかかわる。
1.サイバーセキュリティ法
重要情報インフラ運営者が中国国内での運営において収集、 発生した個人情報及び重要データは、国内で保存しなければならない。(37条第1項)
2.データセキュリティ法
重要情報インフラ運営者が中国国内における運営中に収集・生成した重要データの越境移転には、サイバーセキュリティ法の規定を適用する。(31条第1項)
3.データ越境安全評価弁法
以下①〜④のいずれかの状況に該当する場合、所在地における省レベルの網信弁を通じて国家網信弁にデータ越境移転安全評価を申告しなければならないと定めている。(第4条)
①データ取扱者が重要データを域外に提供するとき
②重要情報インフラ運営者および100万人以上の個人情報を取扱っているデータ処理者が個人情報を域外に提供するとき
③前年の1月1日から累計で10万人以上の個人情報または1万人以上のセンシティブな個人情報を域外に提供しているデータ処理者が個人情報を域外に提供するとき
④国家インターネット情報機関が定めるデータ域外移転安全評価の申告を必要とするその他の事由があるとき
以上のとおり、原則として、重要データは中国国内に保存しなければならない。データ処理者には重要データを国外に移転しようとする場合、越境移転のための「データ越境安全評価」を行うことが義務付けられている。規定に違反した場合、数万元から数千万元の過料が科される可能性がある。
日本企業が中国のデータ越境移転規則のコンプライアンス問題に対応する場合、まず中国で自社が処理するデータに重要なデータが含まれているかどうかを判断し、越境移転の活動の有無に応じて処理する必要がある。 重要データの概念は比較的曖昧であるため、自社では判断が難しい場合があるので、専門家に判断・相談されることをお勧めする。
クララオンラインコンサルティング事業部では各種中国サイバーセキュリティ法対策、中国個人情報対応に関するご相談を随時お受けしております。
- X (旧Twitter) で投稿
- LINEで送る
- Facebookでシェア
- URLをコピー
コメント
会員登録をすると、コンテンツへのコメントができるようになります!
コメントはありません。
