中国における越境データ移転 ：コンプライアンスへの道筋

データ・セキュリティ保護に関する規制が強化されたことで、多国籍企業が中国からデータを移転する際のコンプライアンスに関する議論が活発化しています。中国が個人情報保護法（PIPL）を制定した2年前と比較すると、越境データ移転（CBDT）の規制体系はより明確なものとなっていますが、いくつかの重要な分野で不確実性が残っています。

2023年の上半期、中国の国家データ・セキュリティ規制当局である国家インターネット情報弁公室（CAC）が越境データ移転に関するセキュリティ評価と標準契約について承認したことで、企業が中国国外へのデータ転送を行う方法について進展がみられました。このような状況において、企業は下記の点を意識する必要があります。

越境データ移転に関する規制の明瞭化

2021年にデータ・セキュリティ法（DSL）と個人情報保護法（PIPL）が制定されて以来、越境データ移転に関するコンプライアンス要件は、中国に投資を行う外国企業や、海外事業を展開する中国企業にとって、不確実性と運営コストが増す要因となっています。

しかし、越境データ移転に関する規制の枠組みを企業にとってより明確なものにするため、過去2年間、国家インターネット情報弁公室（CAC）やその他当局による指針が示されてきました。他の多くの問題と同様に、中国政府は越境データ移転に関する議論において安全保障と経済との両立を試みており、あらゆるデータのローカライズを強制するような包括的規制を避けています。このアプローチは、企業が越境データ移転を実施する際にコンプライアンスを確保するための明確に定義された下記2つのメカニズムが確立されたことで、より明確となりました。

① 重要なデータや大量の個人情報を含むデータ移転に適用される「Outbound Data Transfer Security Assessment（ODTSA）」

② 重要インフラ事業者以外の事業者による一定量未満の個人データの移転に適用される「Standard Contract for the Cross-border Transfer of Personal Information（個人情報の越境移転に関する標準契約）」

2022年7月と2023年2月にこの2つに関する実務ガイドラインがCACとその地方支部から発表された後、複数の企業が規制当局の承認を取得しています。これらの認可に関する情報は地方当局から公表されていますが、北京、上海、その他の東部沿岸地方に集中しています。これらのケースの中には、戦略的・経済的に重要な分野（航空やヘルスケアなど）の重要インフラ事業者や重要なデータが含まれている可能性があります。多くの専門家は、ODTSA申請審査は困難を伴っただろうが、それらが最終的に承認されたことは当局による国際ビジネスへの支援の姿勢を示していると考えています。

各地域における越境データ移転の承認状況

近年、越境データ移転 を支援し、中国の経済発展計画（湾岸エリアの統合促進や自由貿易区開発など）と連携させるための国家政策がとられています。例えば、広東省、海南省、上海市、北京市は2022年～2023年にかけて越境データ移転に「ホワイトリスト・メカニズム」を導入するなど、行政上の障壁を軽減することを目的とした様々なパイロット・プログラムを始めました。

中国政府が越境データ移転活動に対して比較的厳格で積極的な監督を維持し続ける見込みであることを、企業は認識する必要があります。今後数年間は、越境データ移転の監督基準は緩和されるどころか、むしろ厳しくなるでしょう。現在でも、越境データ移転に関する申請がすべて承認されているわけではありません。分野、関連するデータの機密性、越境データ移転の必要性や経済的価値、移転を受ける国の法的環境、文書の適切性など、複数の要因が承認に影響すると考えられます。

越境データ移転の規制枠組みに欠けているもの

今後、規制当局による明確化が期待される重要な問題は下記２つです。

① 重要データの定義

② 個人情報の越境処理に関するセキュリティ認証

重要データの概念は、2017年のサイバーセキュリティ法（CSL）の制定時に導入されたものですが、重要データの定義に関する国家ガイドラインは、2023年7月現在まだ最終化に至っていません。「何が重要データを構成するのか」について明確な定義がないことは、企業が越境データ移転のアプローチを選択する際の懸念材料です。

この点について、2023年5月に開催された国家情報セキュリティ標準化技術委員会（TC260：データセキュリティ技術標準の主要機関）の専門家は、ガイドラインは最終検討の段階にあり、数ヶ月のうちに発表されるだろうと述べました。しかし、重要データの最終的な公式定義は、業種別ではなく広範な範囲になる可能性が高いでしょう。

2022年12月、中華人民共和国工業情報化部は、広範な国家ガイドラインが発行されたのち、産業当局や地方当局がそれぞれの管轄内で独自に重要データの一覧を作成し、データマッピングを実施しなければならないと発表しています。つまり、異なる地域や業種にまたがって事業を展開する企業は、越境データ移転に重要データが含まれているかどうかについて、広範で複雑な要求事項に対応することを迫られるかもしれません。

企業が越境データ移転、特に多国籍企業グループ内における小規模な移転のコンプライアンスを確保するためには、データセキュリティ法によって定義された第三者セキュリティ認証メカニズムにも曖昧さが残ります。このメカニズムに関する規則が2022年11月にCACから発表されているにも関わらず、セキュリティ認証の成功事例は公表されておらず、越境データ移転を検討する企業にとって有用な選択肢となっていません。

実用的なコンプライアンス計画の策定

越境データ移転規制の分野で中国は大きな進歩を見せているものの、執行能力はまだ初期段階にあり、より洗練されたレベルに到達するには時間がかかると見られます。特に、標準契約やODTSAに関する申請の初期チェックを担当するCACの各地方支部は、多数の申請対応に追われリソースが逼迫しており、新規提出された越境データ移転に関する申請が処理されるまで、数ヶ月もしくは1年以上かかることも想定されます。

多くの企業にとって、ODTSAまたは標準契約いずれのアプローチを採用するにせよ、申請書類を準備するには、多大な費用と時間が必要となる可能性があります。企業は、中国の越境データ移転に関する規制の複雑さを海外の取引先に説明し、自社と取引先がデータ保護のための十分な努力を行っていることを確実としたうえで、そのことを規制当局に証明しなければなりません。中国と欧米諸国との間でデータセキュリティに関する緊張や意見の相違が高まっていることから、こうしたコミュニケーションは困難なものとなるでしょう。

法令遵守のためのアプローチを決める前に、どのようなデータが越境移転されるのか、まずは詳細を理解することから始めましょう。CAC地方支部との積極的かつ早期のコミュニケーションを行うことは、承認取得の可能性を高めるのに役立つでしょう。最も重要なことは、セキュリティ評価や標準契約書の作成には、通常、企業内の複数の機能・部門が関与する必要があるということです。つまり、企業は、越境データ移転を検討する際、経営層が主導する強固な組織体制を構築する必要があります。

コントロール・リスクスでは、越境データ移転を含む個人情報保護法への対応を、データマッピングや法令とのギャップ分析などを中心にご支援しています。既存／新規事業における中国個人情報保護法やデータ保護法のコンプライアンスについてご相談・ご関心のある方は、下記フォームよりお問い合わせ下さい。