質問
当社では、中国現地法人の従業員の個人情報を管理しています。
日本で中国現地法人が保有する個人情報を管理する場合の留意点を教えてください。
回答
- 中国では、個人情報を国外に提供する場合、国家インターネット情報機関によるデータ越境安全評価、専門機関による個人情報保護の認証、「標準契約」の締結など法令が定める一定の条件を備えなければなりません。
- 個人情報の国外移転が認められる条件の一つとして、国家インターネット情報機関が制定する「標準契約」の締結がありますが、これまで「標準契約」は正式に定められていませんでした。
- 2023年2月に制定された「個人情報国外移転標準契約弁法」では、「標準契約」に関する規定が定められました。これによると、「標準契約」を締結する方式で個人情報を中国国外に移転させる場合には、同弁法の別紙として添付された「標準契約」を用いる必要があります。
- 中国現地法人の従業員の個人情報を日本本社で管理することは、個人情報の国外移転に該当しますから、中国現地法人が保有する個人情報を日本本社が管理している場合は、中国現地法人と日本本社との間で「標準契約」を締結することを検討する必要があります。
解説
中国の「個人情報保護法」では、個人情報を国外に提供する場合、①国家インターネット情報機関によるデータ越境安全評価への合格、②専門機構による個人情報保護の認証、または③国家インターネット情報機関が制定する「標準契約」に従った国外の受領者と契約の締結など、同法が定める条件を備えたうえで行わなければなりません(「個人情報保護法」第38条第1項)。
これまで「標準契約」に関する正式な規範は定められていませんでしたが、国家インターネット情報弁公室は、2023年2月22日、上記③の「標準契約」に従った個人情報の国外移転に関する下位規範として、「個人情報国外移転標準契約弁法」(以下「弁法」といいます)を制定・公布するとともに、その別紙として「個人情報国外移転標準契約」を公表しました。「国外移転標準契約弁法」は2023年6月1日から施行される予定ですが、施行日前から個人情報の国外移転が行われている場合には、2023年12月1日までに「弁法」に従った対応をする必要があります。
たとえば、中国現地法人の現地従業員や取引先の個人情報を日本本社に送信し、又は日本本社から現地法人のサーバーにアクセスして個人情報を閲覧・取得する場合には、個人情報の国外移転に該当します。そのため、現地法人が国家インターネット情報機関によるデータ越境安全評価(以下「安全評価」といいます)を申請する必要のない企業であり、専門機構による個人情報保護の認証を受ける予定もない場合には、「弁法」に従って標準契約を締結し、個人情報保護影響評価報告を作成したうえで、当該標準契約を管轄のインターネット情報部門に届出なければなりません(「弁法」第5条、第7条)。
「標準契約」の締結及び届出に関する手順と主な留意点は、以下のとおりです。
1.個人情報の国外提供の現状確認
「標準契約」を締結する方法により個人情報を中国国外に提供する場合、個人情報取扱者の業務内容や取り扱う個人情報の性質及び数量に関する要件に合致している必要があります(「弁法」第4条第1項)。そのため、中国現地法人における個人情報の取扱いの現状について確認をする必要があります。
個人情報の国外提供については、「標準契約」を締結に基づいて行う場合でも、個人の同意に基づき個人情報を国外に提供する場合、「個人情報保護法」第39条に従い個人情報主体の個別の同意を得る必要があると一般的に解されていますから、個別の同意が得られているか否かについても確認をする必要があります。
2.個人情報保護影響評価報告の作成
「弁法」に定める要件に従い、個人情報の国外提供行為に関する「個人情報保護影響評価報告」を作成することになります(「弁法」第5条)。「個人情報保護影響評価報告」を作成する際には、現時点では、国家標準である「GB/T 39335-2020情報安全技術-個人情報安全影響評価指針」を参照することになると思われます。ただ、今後、新たにデータ越境安全評価申請に関するガイドラインが公布される可能性もありますので、今後の動向に留意する必要があります。
3.「標準契約」の締結及び届出
「標準契約」を締結する場合、「弁法」に別紙としてされている「個人情報国外移転標準契約」のひな型は、原則としてその内容を変更することはできません(「弁法」第6条)。当事者間で「個人情報国外移転標準契約」に定める内容以外に個人情報を含むデータの授受に関する取り決めがある場合には、「個人情報国外移転標準契約」との整合性を検討し、別途合意書の作成や関係条文の追記などの対応を行う必要があります。
また、「個人情報国外移転標準契約」を締結した場合、その発効日(通常は「個人情報国外移転標準契約」の締結日)から10営業日以内に「個人情報保護影響評価報告」と合わせて、管轄のインターネット情報部門に届け出る必要があります(「弁法」第7条)。
【神保宏充、臧晶】