データの越境移転には、原則として安全評価の実施、標準契約の締結又は専門機関による認証の取得が必要である（「個人情報保護法」第38条）。現在、「データ越境移転安全評価弁法」及び「データ越境移転標準契約弁法」により、それぞれ安全評価と標準契約に関する具体的な規定が定められている。しかし、専門機関による認証については、これまで詳細なルールが設けられていなかった。

2025年10月17日、中国国家インターネット情報信息弁公室と国家市場監督管理総局は共同で「個人情報越境移転認証弁法」（国家インターネット情報信息弁公室 国家市場監督管理総局令第20号、2026年1月1日施行、以下「認証弁法」という）を公布し、専門機関認証に関する細則を規定した。「認証弁法」は全19条からなり、主な内容は以下の通りである。

1.認証の要件と有効期間

認証方式で個人情報を国外移転する場合、以下の条件を同時に満たさなければならない（第5条）。

認証書の有効期間は3年間である。有効期間満了後も継続使用する場合、個人情報取扱者は有効期間満了6ヶ月前までに更新申請を提出しなければならない（第8条第2項）。

データ越境移転を安定的に行い、複数回の標準契約締結又は安全評価によるコストを低減するため、企業は越境移転が必要なデータ規模を評価し、上記条件に合致する場合には、専門機関認証をデータ越境移転のコンプライアンス手段の一つとして検討することを推奨する。

2.専門認証機関の監督管理義務

「認証弁法」は、認証書の有効期間中、認証機関は継続的な追跡調査を実施しなければならないと規定する。認証を取得した企業の実際の移転状況が認証範囲と一致しない場合、又は認証要件を満たさなくなった場合等には、認証機関はその認証書を停止又は取り消さなければならない（第10条）。したがって、認証を取得した企業は、認証書の有効期間中であっても、移転するデータの類型や規模を適時に評価し、引き続きコンプライアンスを維持するための対応が求められる。