中国における個人情報保護対応とデータの越境移転規制

『中華⼈⺠共和国サイバーセキュリティ法（以下「サイバーセキュリティ法」と表記）』には、第7回で解説したセキュリティ等級保護制度の他にも、中国本⼟に⼦会社や事業所を持つ⽇本企業が対応すべき要件がある。
その⼀つが、個⼈情報保護のための対応だ。中国における個⼈情報の取り扱いについては「個⼈情報セキュリティ規範（ガイドライン）」に規定されている内容に従うことが推奨される。個⼈情報の定義や取り扱いにおける順守事項も含め、その多くは⽇本の個⼈情報保護法と⽐べて⼤きな差異は⾒受けられないが、⼀部独⾃の要件もあるため注意が必要だ。例えば、プライバシーポリシーで記載すべき開⽰項目の指定や、個⼈情報漏えいなどの事故が発⽣した場合に備えた対応⼿順書の作成といった要件などについては、⾃社での対応状況を再点検しておくと良い。

その他に留意すべき事項として「越境移転規制」への対応も挙げられる。⾦融や交通、⾷品、医薬、インターネットサービスなど、重要情報インフラとして指定される事業者の場合、中国国内において収集または⽣成した個⼈情報は中国国内での保管が義務付けられる。
越境移転規制の対象は個⼈情報だけではなく、重要情報も該当する。ここでの重要情報とは、国家秘密に直接関与する情報だけではなく、国家の安全や経済発展、公共の利益に密接に関係する情報が該当し、許可なく開⽰、紛失、乱⽤、改ざん、破壊などがされた場合に⼤きな影響を及ぼす可能性のあるものが該当する。越境移転規制へ対応する場合は、中国本⼟の⼦会社または事業所が保有する情報の棚卸しとその内容の重要性の評価に加え、それらの情報を中国国外へ移転しているか否かの確認が必要である。

また、中国国内で収集・⽣成した個⼈情報や重要情報は国外に設置されたサーバなどに直接は保管せず、⼀度、中国国内に設置されたサーバに保管した後に国外に移転させるなど、システム⾯での対応が必要になる場合もあるため、留意してほしい。

国外移転が禁止されるケース

• 個人情報の主体の同意を得ていない、または個人の利益を侵害する恐れがある場合
• データの越境転送が、国家の政治、経済、科学技術、国防などのセキュリティにリスクを及ぼす場合
• その他、公安部門などがデータ越境転送を不可とした場合

当局申請を要するケース

• 50万人以上の個人情報を含む場合
• 1,000ギガバイトを超える場合
• システムの脆弱性など、重要インフラを含むネットワークセキュリティ情報の場合
• その他、主管部門若しくは監督部門で評価が必要であると判断したもの

日刊工業新聞 2019年8月27日掲載（一部加筆・修正しています）。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
ディレクター　宮原 潤