国慶節休暇の前日、国家インターネット情報弁公室から「データ越境流動の規範化及び促進に関する規定（意見募集稿）」（以下、「意見募集稿」とします。）が発表され、大きな関心を集めました。意見募集稿では、「個人情報越境標準契約弁法」及び「データ越境安全評価弁法」という現行の2つの法規に対し重大な変更を行っています。しかし、上位法である「個人情報越境標準契約弁法」と「データ越境安全評価弁法」を超越することは出来ないので、意見募集稿と監督管理機関の態度を完全に理解することが重要になります。そして、意見募集稿には未整理の問題がまだ若干あります。

一連の問題を整理し、評価及び届出の要求を緩和

　意見募集稿において最も重要なキーワードは、「整理」と「緩和」です。これは、弊所も認めるところであり、議論が最も多く交わされているトピックです。

1.  整理：意見募集稿では、冒頭の3条で、実務上多くの企業が困惑していた規定、特に重要データの認定について整理しています。

2.  緩和：実務において大部分の外資企業で最も多い個人情報の越境は、社員の個人情報の越境とサプライヤー又は顧客の連絡担当者の個人情報の越境になります。越境する情報の人数が意見募集稿第5条の規定に合致していれば、以降は標準契約を締結して届け出を行う必要がないと考えられます。「個人情報越境標準契約弁法」に定める11月末までの是正期限を前にした企業にとって、これは非常にメリットが大きいものとなります。

　意見募集稿は計11条から成り、その他の条文も全て重要なものばかりですが、紹介している記事も数多くありますので、ここでは割愛させて頂きます。意見募集稿の構造と内容を皆様により鮮明にご理解いただけるよう、弊所にてマインドマップを作成しました。ご参考になれば幸いです。

法律規定におけるコンプライアンス義務には変化なし

　意見募集稿では、現行の2つの法規に対し重大な変更を行っています。しかし、上位法である「個人情報越境標準契約弁法」と「データ越境安全評価弁法」を超越することは出来ないので、意見募集稿と監督管理機関の態度を完全に理解することが重要になります。例えば、意見募集稿では、評価と届出の要求を緩和していますが、「個人情報保護法」第38条に定める、個人情報の域外提供において適用される3つのコンプライアンスルート、つまりデータ越境安全評価の申告、個人情報越境標準契約の締結、個人情報保護認証の合格が完全に適用されなくなるわけではありません。

　「個人情報保護法」に定める次に掲げる義務に変化はありません。これらの義務は、企業が遂行すべきコンプライアンス業務です。

1.   「個人情報保護法」第39条により、個人情報取扱者は、告知義務を履行し、個人の同意を個別に取得しなければなりません。これについては意見募集稿でも、「個人情報の域外提供が個人の同意に基づく場合は、個人情報の主体の同意を得なければならない。」と改めて強調しています。

2.   「個人情報保護法」第55条により、個人情報保護影響評価を事前に行わなければなりません。個人情報を域外提供する際に個人情報保護影響評価をどのように行うについては、現在のところ、「個人情報越境標準契約の届出に関するガイドライン（第1版）」の中の「個人情報保護影響評価申告書雛形（越境版）」が引き続き最も参考になります。なお、弊所にて以前提供させて頂いた「越境業務における企業の個人情報保護影響評価の実施方法」をご参考にして頂いても結構です。

3.   意見募集稿の中で標準契約を締結する必要がない特別な事由を定めていますが、「個人情報保護法」の関連規定及び個人情報保護影響評価の要求に基づき、個人情報取扱者と域外受信者との間である程度の約定がやはり必要になります。この約定は、契約書でも、お互いのグループで規則を適用する形でも構いません。個人情報越境標準契約書を参考に、さらに変更を加える形でも構いません。

4.   「個人情報保護法」第5章及び「サイバーセキュリティ法」第4章等の関連規定を含む、「個人情報保護法」及び「サイバーセキュリティ法」に定める個人情報又はデータの保護義務

　実際のところ、意見募集稿でも、データ保護の義務や常態的監督管理の強化が強調されており、監督管理部門が今後どのように常態的監督管理を実現していくかについて、意見募集稿が正式に公布されてから実務経験が積まれるのをある程度の時間待つ必要があるかもしれません。

未整理の問題

　真っ先に気になる問題は、やはり意見募集稿はいつ正式に公布されるのか、ということです。弊所の予想では、意見募集稿は、「個人情報越境標準契約弁法」に定める是正期限より前に法律の内容を変更した成果を生かすため、11月末より前に正式に公布されるはずです。当然ながら、これは弊所の推測に過ぎません。具体的な内容については、次に述べる問題が未整理なものとなっています。

1.   上位法の規定に対する違反ではないのか？　意見募集稿に定める適用除外（3つのコンプライアンスルートが免除される特別な事由の規定）は、「個人情報保護法」第38条の規定に違反していないか、それとも第38条第4項に定める「インターネット情報部門の定めるその他の条件」とみなすのか、議論するに値する事柄です。

2.   個人情報の越境時、全ての場合において個人の同意を得る必要があるのか？　意見募集稿第4条に定める事由に該当する場合でも、個人の同意を得る必要があるのか？　この点については、「個人情報保護法」第13条と理解が異なります。意見募集稿では、個人の同意を得る必要があることを単独で強調しておらず、弊所も同意を得なくて良いと考えています。しかし、今までの安全評価審査の実務上では、個人の同意を得ることをインターネット情報弁公室に求められます。

3.   第4条に定める事由について、越境する情報に関する人数を考慮する必要があるか？　弊所では不必要と考えます。それでは、「個人情報の域外提供を必要とする」範囲をどのように理解すべきかについてですが、これも今までの安全評価審査において、インターネット情報弁公室が非常に注目していた問題です。意見募集稿では、企業の自主判断に全て委ねたと考えて良いのでしょうか。やはり、「個人情報保護法」の必要最小限の原則を考慮すると、第4条に定める事由に該当する場合でも、域外提供する個人情報の範囲は、企業が慎重且つ合理的に判断する必要があると考えられます。

4.   第5条、第6条に定める人数について、企業の個人情報の越境に関する各業務における人数を合算した数なのか、それとも業務別にそれぞれ計算するのか？　例えば、同一の企業で社員の個人情報の越境とサプライヤーの個人情報の越境の2つを行った場合において、この2つの合計の人数は1万人を超えるが、サプライヤーの個人情報の越境は1万人未満のときについて、第4条により社員の個人情報の越境には申告不要なので、サプライヤーの個人情報の越境のみ考慮すればよい、と考えれば申告は不要となりますが、この2つを合計して個人情報の越境人数を考えた場合は、第6条を適用し、標準契約の届出が必要となります。

5.   安全評価の申告や標準契約の届出を既に行った企業はどうすればよいのか？　以前発表された評価や届出のガイドラインは引き続き適用されるのか？　安全評価の申告を既に行っており、意見募集稿によると標準契約の届出を行うだけでよくなった場合は、インターネット情報弁公室と連絡を取り、申告取り下げの申請を行い、標準契約の届出を改めて行えばよいものと考えられます。変化はあまりないでしょう。標準契約の届出を既に行っており、意見募集稿により標準契約の届出も行う必要がない場合は、届出の取り下げを行う必要があるものと考えられます。しかし、これまでに申し上げた通り、準備段階でのコンプライアンス活動（個人情報影響評価及び標準契約の締結を含みます。）は、決して無駄ではありません。当然ながら、企業自らがそれぞれの立場に従い変更することを検討してもよいでしょう。

　これらの他にも、解釈や整理が必要な細かい問題がまだいくつかありますが、これ以上は割愛させて頂きます。本文で述べた問題について、正規版が公布されて解決されることを祈念しますが、今後の実務において徐々に答えが明確になってゆくのかも知れません。個人情報の越境が必要な企業におかれましては、この分野のコンプライアンス活動を長期的な作業ととらえ、立法及び取り締まりの動向を引き続き注目していくことをお勧め致します。