1    個人情報越境安全評価ルート

個人情報越境安全評価（以下、「安全評価」とする。）は、取扱う個人情報の規模が大きく、リスクが大きい企業に対し適用される個人情報越境ルートで、公共の利益へのリスク評価が強調されている。

「データ越境安全評価弁法」（以下、「評価弁法」とする。）では、個人情報越境安全評価においてリスクの自己評価と安全評価の融合を原則とすることを定めているため、評価の内容は主に、安全評価とリスクの自己評価に関する内容になっている。

「評価弁法」第2条によると、中国国内での業務により収集・産出された個人情報を中国域外へ提供する際に「評価弁法」を適用する、と定めている。よって、本文では、個人情報の域外提供について検討することとし、個人情報を含むデータに関しては、読みやすくするため、以下に引用される「評価弁法」の原文において「データ」という文言がある場合、ここに限り「個人情報」と置き換えて表記することとする。

1.1   安全評価の内容

「評価弁法」第8条により、安全評価の主な項目は次の通りである。

(1)  個人情報の域外提供の目的、範囲、方法等の合法性、正当性、必要性

(2)  域外受信者が所在する国又は地域の個人情報の安全保護に関する政策及び法規、並びにサイバーセキュリティ環境による個人情報の域外への安全な提供に対する影響、並びに域外受信者の個人情報保護レベルが中華人民共和国の法律、行政法規、及び強制国家標準の要求に達しているかどうか

(3)  個人情報の域外提供の規模、範囲、種類、機密度、及び域外への提供過程並びに提供後に改ざん、破壊、漏洩、紛失、移転、又は不正取得、不正利用等に遭うリスク

(4)  個人情報の安全及び個人情報に関する権利及び利益が十分且つ有効な保障を得られるかどうか

(5)  個人情報取扱者と域外受信者が締結する法律文書の中で個人情報の安全と保護に関する責任及び義務を十分に定めているかどうか

(6)  中国の法律、行政法規、部門規則の遵守に関する状況

(7)  国家インターネット情報部門が評価の必要性を認めるその他の事項

「評価弁法」第5条では、企業に対し、安全評価以外にも、域外提供のリスクの自己評価（以下、「リスク自己評価」とする。）を事前に行うことを求めている。リスク自己評価の主な項目は、次の通りである。

(1)  個人情報の域外提供及び域外受信者が個人情報を取扱う目的、範囲、方法等の合法性、正当性、必要性

(2)  個人情報の域外提供の規模、範囲、種類、機密度、及び個人情報の域外提供が国の安全、公共の利益、個人又は組織の合法的な権利及び利益へもたらすリスク

(3)  域外受信者が負うことを約束した責任及び義務、並びに責任及び義務を履行するための管理手順、技術、能力等が域外提供する個人情報の安全を保証するに足るものかどうか

(4)  個人情報の域外提供の過程及び提供後に改ざん、破壊、漏洩、紛失、移転、又は不正取得、不正利用等に遭うリスク、並びに個人情報の権利及び利益を保護する手段が円滑かどうか等

(5)  域外受信者と締結する個人情報の域外提供に関する法律文書の中に個人情報の安全と保護に関する責任及び義務を十分約定しているかどうか

(6)  個人情報の安全な域外提供に影響を与える可能性のあるその他の事項

リスク自己評価と安全評価との関係

リスク自己評価は安全評価の前提であり、安全評価の申請前にはリスク自己評価を必ず行わなければならない。評価の内容から見ると、両者はある程度重複しているが、安全評価は国家インターネット情報部門が組織するものであり、リスク自己評価に比べて、個人情報の域外提供による国の安全、公共の利益への影響に対し、より重きを置いている。企業がリスク自己評価を行う際は、安全評価の内容について予備審査を行っておくと、正式な安全評価に合格する確率が高まる。

1.2   安全評価ルートの流れ

「評価弁法」において、安全評価ルートの基本的な流れは、法律文書の作成、リスク自己評価、評価の申告等を含む、次のようになる。

1.3   法律文書の作成

「評価弁法」第9条では、個人情報取扱者が域外受信者と締結する法律文書の中で、個人情報の安全と保護に関する責任及び義務を約定し、その約定には次の内容が必ず含まれなければならない、と定めている。

(1)  個人情報の域外提供の目的、方法、及び個人情報の範囲、域外受信者が個人情報を取扱う用途、方法等

(2)  個人情報の域外での保管場所、期間、及び保管期限に到達した後、約定の目的が完了した後、又は法律文書が解約された後の域外提供された個人情報の取扱い

(3)  域外受信者が域外提供された個人情報を他の組織、個人に対し再提供することを規制するための要求

(4)  域外受信者の事実上の支配者又は経営範囲に事実上の変化が生じた、又は所在する国若しくは地域の個人情報の安全保護に関する政策・法規に変化があった、若しくはその他の不可抗力に該当する事由が生じ、個人情報の安全が保障できなくなった場合における、取るべき安全対策

(5)  法律文書に定めた個人情報安全保護義務に違反した場合の緊急対応策、違約責任、及び争いを解決する方法

(6)  個人情報が改ざん、破壊、漏洩、紛失、移転、又は不正取得、不正利用等に遭った場合における、緊急対応策を適切に実施するための要求、及び個人情報の権利及び利益の保護を個人に対し保障するためのルート並びに方法

このプロセスにおいては、安全評価を申請する企業、「個人情報越境標準契約書」の内容を参考に法律文書を作成することをお勧めする。

1.3   リスク自己評価

リスク自己評価は、企業が安全評価を申請する前に自ら行うリスク評価である。リスク自己評価は、企業自らが実施することも、第三者機関に委託して実施することもできる。

1.4   安全評価の申請

「評価弁法」では、安全評価の申請のプロセスについて詳細に定めている。「評価弁法」の関連条文に基づき安全評価のプロセスを大まかにまとめると、次のようになる。

異議による再評価後の最終的な結論が最終的な結果となり、行政再審査や行政訴訟は行えない。

「評価弁法」第14条に定める再評価申請が必要な事由：

（1） 個人情報を域外に提供する目的、方法、範囲、種類、又は域外受信者が個人情報を取扱う用途、方法に変化が生じ、個人情報の安全な域外提供に影響がある場合、若しくは個人情報の域外での保管期間を延長する場合

（2） 域外受信者の所在する国又は地域における個人情報の安全、保護に関する政策・法規、若しくはサイバーセキュリティ環境に変化が生じた場合、個人情報取扱者又は域外受信者の事実上の支配権に変化が生じた場合、個人情報取扱者と域外受信者が締結した法律文書に変更が生じた場合等、個人情報の安全な域外提供に影響がある場合

（3） 個人情報の安全な域外提供に影響があるその他の事由

1.6   安全評価の注意点

個人情報保護責任者を指定し監督させる

「個人情報保護法」第52条により、取扱う個人情報が国家インターネット情報部門の規定する数量（100万人以上）に達した個人情報取扱者は、個人情報保護責任者を指定し、個人情報取扱活動及び講じた保護措置等に対して監督を行うことに責任を負わせなければならない。安全評価を申請する企業が「100万人以上の個人情報を取扱う個人情報取扱者」に該当する場合は、「国家インターネット情報部門の規定する数量に達した個人情報取扱者」に認定され、企業は、内部組織の構築を強化し、特定の責任者を指定して監督させなければならない。

是正期間

「評価弁法」第20条によると、この弁法の施行より前に個人情報を域外に提供している企業には、6ヶ月間の是正期間が与えられ、2023年3月1日までに是正を完了させなければならない。是正が完了しなかった場合は、行政罰を科され、個人情報の域外提供を停止するよう命令される可能性が非常に高い。更に犯罪を構成する場合は、相応の刑事責任も追及される。また、安全評価の申請手続きにおける管轄部門の審査期間は最長で57営業日（異議による再評価のプロセスは含まない。）に達するため、個人情報の域外提供を行う企業は、出来るだけ迅速に申請を行うことをお勧めする。申請が遅れると、安全評価の申請が遅すぎることにより、是正期間が終了しても安全評価のプロセスが終了せず、企業による個人情報の域外提供が中断されることになる可能性がある。

2    個人情報保護認証ルート

個人情報保護認証（以下、「保護認証」とする。）は、個人情報取扱者による個人情報の取扱い及び管理制度が関連する技術基準又は標準に合致しているかについて専門機関が評価を下す活動である。保護認証は、任意の国家認証であり、多国籍企業、同じ実体の従属会社、関連会社との間の情報の取扱い、及び域外の個人情報取扱者に適用される。保護認証は、現在のところ、全国情報安全標準化技術委員会が発表する「個人情報越境取扱活動安全認証規範」（以下、「認証規範」とする。）に準拠している。

2.1   保護認証の基本的要求

2.2   法律文書の締結

「認証規範」第4.1条に基づき、個人情報を域外で取扱う個人情報取扱者は、個人情報の主体の権利及び利益が十分な保障を得られるようにするため、域外受信者との間に法的拘束力及び執行力を有する文書を締結しなければならない。そして文書には、少なくとも次の内容を規定しなければならない。

(1)  個人情報を域外で取扱う個人情報取扱者と域外受信者

(2)  個人情報を域外で取扱う目的、及び個人情報の種類、範囲

(3)  個人情報の主体の権利及び利益への保護対策

(4)  域外受信者が共通の個人情報越境取扱規則を承認し、遵守すること、及び個人情報保護レベルを中華人民共和国の個人情報保護に関する法律や行政法規に定める基準以上に保つこと

(5)  域外受信者が認証機関の監督を承認し受け入れること

(6)  域外受信者が中華人民共和国の個人情報保護に関する法律や行政法規による管轄を承認し、受け入れること

(7)  中華人民共和国国内において法的責任を負う組織を明記すること

(8)  法律、行政法規に定めるその他の遵守すべき義務

2.2   個人情報保護責任者を指定

「認証規範」第4.2.1条により、個人情報を域外提供し取扱う個人情報取扱者及び域外受信者は、個人情報保護責任者を指定しなければならない。個人情報保護責任者は、個人情報の保護に関する専門知識と関連する管理業務の経験を備え、その組織の意思決定に携わる階級の者が担当しなければならない。個人情報保護責任者は、次の職務を担当する。

(1)  個人情報の保護に関する業務の主な目標、基本的な要求、作業任務、保護対策

(2)  組織の個人情報保護業務に対し人力、財力、物資を提供し、必要な資源を利用できるようにする。

(3)  組織の個人情報保護業務を実施するため担当者を指導、支援し、個人情報保護業務の想定目標を達成できるようにする。

(4)  組織の主な責任者に対し個人情報保護業務の状況を報告し、個人情報保護業務の継続的な改善を推進する。

「認証規範」における個人情報保護責任者と「個人情報保護法」第52条の個人情報保護責任者とには、相違点がある。前者は、その職能を個人情報保護業務の指導に重点を置き、意思決定に携わる階級の者でなければならないのに対し、後者は、その職能を個人情報の取扱いに対する監督に重点を置いており、更に意思決定に携わる階級という制限はない。

2.4   個人情報保護機関の設置

「認証規範」第4.2.2条により、個人情報を域外提供し取扱う個人情報取扱者及び域外受信者は、個人情報保護機関を設置し、個人情報保護義務の履行、無断アクセスや個人情報の漏洩、改ざん、紛失等の防止等を行わせ、更に個人情報を域外提供し取扱う際に次の職務を担当させなければならない。

(1)  個人情報越境取扱活動計画を作成し、実行する。

(2)  個人情報保護影響評価を行う。

(3)  組織の取扱者及び域外受信者が約定した個人情報越境取扱規則に従い域外提供した個人情報を取り扱っているかについて組織を監督する。

(4)  個人情報の主体の請求やクレームを受け付け、処理する。

2.5   個人情報保護影響評価（以下、「PIA」とする。）を実施

「認証規範」第4.4条により、個人情報を域外提供する個人情報取扱者は、個人情報の域外提供に合法性、正当性、必要性があるかどうか、取った保護対策がリスクの程度に釣り合っているか、また有効か等を事前に評価する。PIAには、少なくとも次の事項が含まれていなければならない。

(1)  域外提供する個人情報が法律、行政法規に合致しているか

(2)  個人情報の主体の権利及び利益に対する影響、特に域外の国及び地域の法律環境、サイバーセキュリティ環境等による個人情報の主体の権利及び利益に対する影響

(3)  個人情報の権利及び利益を保護するために必要なその他の事項

保護認証のPIAは、「個人情報保護法」の下、域外の国及び地域の法律環境やサイバーセキュリティ環境等の評価を企業が行うべきことを特に強調している。

3    標準契約のルート

標準契約のルートは、個人情報取扱者が域外受信者と国家インターネット情報部門が制定した標準契約書を締結することで個人情報の域外提供を完成させる方法である。

3.1   標準契約ルートのプロセス

3.2  PIAの事前実施

EUによる「一般データ保護規則」（以下、「GDPR」とする。）との違いは、中国の標準契約ルートでは、標準契約書の締結以外にPIAを事前に実施することを企業に求めており、PIAは標準契約締結の際の強制的な義務となっているが、GDPRでは、標準契約書の締約のみを企業に求めており、PIAは要求していない。

「個人情報越境標準契約規定（意見募集稿）」（以下、「標準契約規定（意見募集稿）」とする。）第5条により、個人情報取扱者は、個人情報を域外提供する前に、PIAを事前に実施しなければならない。主な評価の内容は次の通りである。

(1)  個人情報取扱者と域外受信者が個人情報を取扱う目的、範囲、方法等の合法性、正当性、必要性

(2)  域外提供する個人情報の数量、範囲、種類、機密度、個人情報の域外提供による個人情報の権利及び利益に生ずる可能性のあるリスク

(3)  域外受信者が負うことを承認した責任及び義務、並びに責任及び義務を履行するための管理手順、技術、能力等により域外提供する個人情報の安全を保障できるか

(4)  個人情報の域外提供後の漏洩、破壊、改ざん、濫用等に関するリスク、個人情報の権利及び利益を個人が保護するルートが円滑かどうか等

(5)  域外受信者の所在する国又は地域の個人情報保護に関する政策・法規による標準契約の履行に対する影響

(6)  個人情報の安全な域外提供に影響を与える可能性のあるその他の事項

「標準契約規定（意見募集稿）」では、「個人情報保護法」第56条のPIAに関する内容を詳細化しており、企業に対し、次の事項について評価を行うことを特に強調している。（1）域外受信者の責任及び責任負担能力（2）域外受信者の所在する国又は地域の政策や法規による影響（3）個人情報の域外提供後の漏洩、破壊、改ざん、濫用等のリスク、及び個人情報の権利・利益を保護するためのルートが円滑かどうか

保護認証と安全評価の2つの越境ルートとの違いは、個人情報取扱者の自己評価報告に対する専門機関による審査があるかどうかである。標準契約締結ルートでは、PIAを報告して届出するだけでよい。そして、「標準契約規定（意見募集稿）」第7条により、個人情報取扱者は届出書類の真実性に責任を負わなければならない。このように、専門機関の審査がないため、自己評価での法令順守度がより重要になってくるものと考えられる。PIA報告書の届出を要求することは、届出機関が調査するためだけではなく、企業の法令順守度を自ら証明するための重要な手段である。よって、個人情報を域外提供する企業には、専門家に協力を求めてPIAを完成させることをお勧めする。

3.3  標準契約書の内容

3.3.1 標準契約書の主な内容

「標準契約規定（意見募集稿）」第6条では、標準契約書には主に次の内容を記載するよう定めている。

(1)  名称、所在地、連絡担当者の氏名、連絡方法等を含む、個人情報取扱者と域外受信者の基本情報

(2)  個人情報を域外提供する目的、範囲、種類、機密度、数量、方法、保管期間、保管場所等

(3)  個人情報取扱者と域外受信者による個人情報保護の責任及び義務、並びに個人情報の域外提供により齎される可能性のあるセキュリティリスクを防ぐための技術対策及び管理手順等

(4)  域外受信者の所在する国又は地域の個人情報保護に関する政策・法規による標準契約の約定遵守に対する影響

(5)  個人情報の主体の権利、及び個人情報の主体の権利を保障するルート、方法

(6)  救済措置、契約の解除、違約責任、争いの解決等

3.3.2 標準契約書の主な内容

「標準契約規定（意見募集稿）」では、別紙として標準契約書を提供している。「標準契約規定（意見募集稿）」及び別紙標準契約書から、企業は次の点について重視すべきものと考える。

3.3.2.1  標準契約書を再締結する事由

「標準契約規定（意見募集稿）」第8条により、標準契約の有効期間内に次に掲げる事由のいずれかが生じた場合、個人情報取扱者は、標準契約書を再締結し、届出しなければならない。

(1)  個人情報を域外提供する目的、範囲、種類、機密度、数量、方法、保管期間、保管場所、及び域外受信者が個人情報を取扱う用途、方法に変化が生じた場合、又は個人情報の域外での保管期間を延長する場合

(2)  域外受信者の所在する国又は地域の個人情報保護に関する政策・法規に変化が生じた等、個人情報の権利及び利益に影響を与える可能性がある場合

(3)  個人情報の権利及び利益に影響を与える可能性のあるその他の事由

この規定が適用される場面や範囲は広く、個人情報を取扱う事由に変化が生じたときに標準契約書の再締結が必要となるだけではなく、域外受信者の法令に変化があったときにも影響がある。また、「個人情報の権利及び利益に影響を与える可能性」についての明確な定義がないため、企業は、中国国内の法律専門家の意見に頼るばかりでなく、域外の個人情報保護に関する政策・法規の変化も適時に理解する必要がある。

3.3.2.2 中国の法律の適用

標準契約第1条では、標準契約の準拠法が中国の法律法規であることを定めている。このことは、個人情報取扱者と域外受信者が中国の法律法規に従い契約上の義務を履行しなければならない、ということを意味している。よって、個人情報取扱者と域外受信者は、中国の法律法規を十分理解し、その変化を適時に理解する必要がある。

3.3.2.3  個人情報取扱者による標準契約上の義務の履行に対する挙証義務

標準契約第2条第9項の規定により、個人情報取扱者は、標準契約上の義務を履行したことを証明する挙証責任を負わなければならない。この規定により、証明責任が監督管理機関から個人情報取扱者に転嫁されている。このことは、個人情報取扱者が自らの義務を履行したことを証明できる証拠を提供できない場合、監督管理機関は挙証する必要なく処罰を与えることができることを意味している。よって、個人情報を取扱う企業は、挙証責任を果たせずに処罰を受けることのないように、十分な証拠を保管し、完璧な管理制度を構築することをお勧めする。

3.4   標準契約書の届出

届出は契約の効力発生条件か。

届出は、主に行政機関が行政による監督管理を強化するため、検査に備えて書類を企業に提出させているものであり、届出は契約の効力発生条件ではない。標準契約が効力を発生すれば、企業は個人情報を域外提供することができる。

届出は、実体審査かそれとも書類審査か。

届出が必要な企業の数が多くなることを考えると、届出の内容について実体審査を行うと監督管理のコストが高すぎるので、届出は書類審査のみになると思われる。

法的責任

企業は、届出書類の真実性に対し責任を負わなければならず、「標準契約規定（意見募集稿）」第12条により、届出を行っていない場合又は偽の書類を届け出た場合、行政罰を課され、犯罪を構成する場合は刑事責任を追及される可能性がある。

1    個人情報越境ルートの比較

1.1  個人情報越境ルートの共通点

これまでの文章で3つの個人情報越境ルートの内容及びプロセスを整理してきたが、これら3つの個人情報越境ルートには、ある共通点があることがわかる。

第一に、企業は、3つのルートを正式に選ぶ前に、まず自らの個人情報の域外提供の状況を評価しなければならない。安全評価ルートでは、事前にリスク自己評価を行うことを企業に要求しており、保護認証ルートと標準契約締結ルートでも、PIAを事前に行うことを企業に求めている。リスク自己評価とPIAは、どちらも企業が自ら組織して自己評価を行いリスクを発見する手段である。「評価弁法」では安全評価ルートを選んだ際にPIAを行うことを企業に求めてはいないが、「個人情報保護法」第55条において、個人情報を域外提供する企業は事前にPIAを行わなければならない、と定めていることに注意しなければならない。よって、企業は、安全評価ルートを選んだ時であってもPIAを行わなければならず、安全評価ルートではPIAの報告書を別途提出せずにリスク自己評価の報告書を提出するだけでよい、というに過ぎない。リスク自己評価とPIAには本質的な違いはないと考えられる。PIAでは、個人の権利及び利益のリスクに対する評価をより強調しており、リスク自己評価は、PIAと比べると更に国の安全や公共の利益、個人又は組織の合法的な権利及び利益に対する評価に着目しているに過ぎない。PIAとリスク自己評価の2つは合わせて実施できるので、効率を上げるため、PIA報告書の内容をリスク自己評価報告書の中に記載することをお勧めする。

第二に、3つのルートは全て、個人情報の主体の権利及び利益が十分な保障を得られるようにするため、個人情報取扱者と域外受信者に対し、法的な拘束力及び執行力のある文書の締結を求めている。法律文書の具体的な内容について、「評価弁法」及び「認証規範」では基準となる雛形を提供しておらず、法律文書の中で定めるべき内容を大まかに規定しているに過ぎない。それに比べ「標準契約規定（意見募集稿）」別紙の標準契約書の雛形は、形式も完全で、内容も詳細であり、安全評価ルートや保護認証ルートを選ぶ企業であっても、標準契約書の雛形に実際の状況を掛け合わせて法律文書を作成することをお勧めする。

1.2  個人情報越境ルートの相違点

「個人情報保護法」第38条では、3つの個人情報越境ルートは同時に満足させる必要はなく、どれか一つを選べばよいことを定めている。3つのルートの適用条件の相違点は、次のように整理される。

個人情報取扱者が取扱う個人情報の数量、種類、状況により、それぞれの個人情報越境ルートを適用する。その中でも、安全評価ルートには強制性があり、3つの条件のどれか一つでも満たしていれば必ず評価を行わなければならない。3つの条件のいずれも満たしてない場合、通常は標準契約書の締結が必要となり、保護認証を適用する2つの状況に該当する企業は、標準契約書を締結する代わりに保護認証ルートを選択することができる。

個人情報の数から見ると、延べ100万人の個人情報が安全評価と標準契約との分かれ目である。ここでいう100万とは、個人情報の主体の人数であり、個人情報の取り扱い数ではないことに注意すべきである。つまり、個人情報取扱者の取扱う個人情報の数が100万を超えたとしても、それらの個人情報の主体が100万人未満であれば、「100万人以上の個人情報を取扱う場合」には該当しない。

個人情報の種類から見ると、センシティブ個人情報を域外提供する場合の監督管理はより厳格になる。「評価弁法」により、前年の1月1日から2年以内に域外に提供された個人情報に関わる個人情報の主体の数量が累計で10万人に達した場合、又は域外に提供したセンシティブ個人情報に関わる個人情報の主体の数量が累計で1万人に達した場合は、必ず安全評価を行わなければならない。個人情報にはセンシティブ個人情報が含まれるため、2年以内に域外提供した個人情報に関わる個人情報の主体が累計で10万人未満だったとしても、その中に1万人のセンシティブ個人情報が含まれていれば、やはり安全評価を行わなければならないことに注意しなければならない。さらに、100万人以上の個人情報を取扱うことの条件については、2年間という期限を定めていないことに注意すべきである。「個人情報保護法」第4条によると、個人情報の取扱いには、個人情報の収集、保管、使用、加工、伝達、提供、公開、削除等が含まれる。前年の1月1日から2年という期間内に個人情報の域外提供を企業が行っていない場合でも、その他の個人情報取扱行為があり、取扱った個人情報が100万人以上（直近2年より前も含む。）に達し、これから先に個人情報の域外提供を行う場合は、やはり安全評価を行わなければならない。

個人情報を取扱う状況から見ると、安全評価ルートと標準契約締結ルートには適用する状況に制限はないが、保護認証ルートには、次の2つの状況に対してのみ適用される。一つは、外資企業に一般的に見られる状況、つまり外資企業が通常の生産経営の必要により中国国内で収集した個人情報を域外の関連会社に提供する場合で、もう一つは少し特殊で、域外の個人情報取扱者が域内の自然人の個人情報を取扱う場合である。「個人情報保護法」第3条第2項の規定によると、主に次の2つの状況が存在する。

（1）域内の自然人に向けて商品またはサービスを提供することを目的とする行為。例えば、日本国内の越境EC業者が中国国外のオンラインプラットフォーム又はアプリ、若しくはWechatアプレット等により、商品の販売又はサービスの提供を行う過程で生じた、中国国内の消費者の個人情報を直接取扱う状況や、日本国内の多国籍企業の本部が同じ日本国内の第三者コンプライアンスサービス企業に直接委託し、中国国内を含む全世界の社員のクレームや通報を一括して受け付けて処理する過程において、中国国内の個人情報を直接取り扱うことが避けられない状況等が挙げられる。

（2）域内の自然人の行為を分析し、評価する行為。例えば、日本国内のSNSサイトから中国国内の自然人のデータを直接取得し、コンピュータプログラムにより中国国内の自然人のユーザーの行動習慣を分析、評価する状況や、日本国内の越境EC業者が中国国内の消費者の個人データを直接取得してからその個人の嗜好や行動について予測する状況等が挙げられる。

域外の個人情報取扱者が域内の個人情報を域外で直接取得する場合、個人情報保護法の個人情報取扱者に対する一般要求を遵守すること以外に、「個人情報保護法」第53条の規定に従い、中国国内に専門機構を設置又は代表者を指定し、取扱う個人情報の保護に関する事務を行わせなければならない。その際、域外の個人情報取扱者は、次の2つの方法の中から一つを選んで実施しなければならない。（1）中国国内に専門機構を設置する。これは、個人情報に関する事務を専門に取扱う独立した機関でもよいし、機関内で個人情報に関する事務を取扱う部門を指定して行わせてもよい。（2）中国国内で代表者を指定する。これは例えば、法律事務所の弁護士を指定し、関連する事務を行わせる等が考えられる。但し、「認証規範」により、域外の個人情報取扱者も個人情報保護責任者を指定する必要が有り、この「個人情報保護責任者」は、ここでいう「中国国内で指定する代表者」とは異なるということに注意すべきである。

2    個人情報越境ルートに関するコンプライアンスのための提案

2.1   個人情報の取扱いを完全に局地化する

序文でも述べたとおり、個人情報の域外提供には3つのルートがあるが、企業がどれを選ぶにせよ、莫大な人力と財力を消費してコンプライアンスに向き合わなければならない。投入するコストとコンプライアンス達成による効果を比較して考えると、中国国内の企業が中国国内の個人情報を完全に域外に出さないことが出来るのであれば、個人情報の域外提供という場面のために時間と財力と人力を費やしてコンプライアンスに向き合う必要はなくなる。規模が小さく社員数も少なく、域外提供する必要が全くない中国国内の企業については、企業内部の人員に対し、企業が収集した個人情報を域外の親会社や関連会社に無断で伝送し、共有することを禁止するためのコンプライアンス対策を行うことをお勧めする。こうすることで、個人情報の域外提供に伴うコンプライアンスコスト及び偶発的な危険事故の発生を大幅に節減することができる。

その他、「個人情報保護法」では、匿名化処理[2]を行った後の個人情報は個人情報に該当しないと定めており、理論上、中国国内の外資企業は、匿名化加工してから域外提供するという方法によりコンプライアンス的に対応する手段とすることができる。しかしながら、実務においては、ビッグデータ時代の下、匿名化処理後の個人情報にも、特定の個人を改めて識別可能にさせる可能性があるため、「匿名化処理後の域外提供」という技術的手段はコンプライアンスを達成する手段として軽々しく用いないよう提案する。

2.2   個人情報の域外提供が避けられない場合は出来るだけ早くコンプライアンス対策を行うこと

序文で述べた大量の個人情報を域外提供する必要が実際にある外資企業（在中国代表処等を含む。）、例えば国際個人物流業務、越境EC業務、国際航空業務、クロスボーダー保険業務、外資銀行（金融）業務、インテリジェント自動車会社、国際SNSプラットフォーム等、その業務形態そのものが大量に個人情報を域外提供せざるを得ない場合において、その業種の企業が取扱う個人情報の数量が「評価弁法」に定める適用条件を簡単に満たしてしまうときは、出来るだけ早く個人情報の域外提供についてコンプライアンス対策を取らなければならない。「評価弁法」の関連する条文によると、企業は6ヶ月間の是正期間で対応しなければならない。つまり、「評価弁法」が効力を生ずる2022年9月1日から6ヶ月後の2023年3月1日までに安全評価を完了させなければならない。完了しない場合、企業は、個人情報の域外提供を継続できなくなり、行政罰を課される可能性が非常に大きい。更に犯罪を構成する場合は、相応の刑事責任を追及される。また、企業が安全評価を完了させるためには、法律文書の作成、リスク自己評価、PIA、省のインターネット情報部門への安全評価の申請、というプロセスを順番に遂行しなければならず、そして最後のプロセスの部門審査の期間は最長で57営業日（異議による再評価のプロセスを含まない。）に達するため、該当する企業は、出来るだけ早くコンプライアンス対策を取ることをお勧めする。しかも、「個人情報保護法」第40条により、取扱う個人情報が国家インターネット情報部門の定める数量（100万人以上）に達した個人情報取扱者は、中華人民共和国国内で収集又は発生した個人情報を中国国内で保管しなければならないため、取扱う個人情報の数がこの基準に達する企業は、出来るだけ早くコンプライアンス対策を実行しなければならない。

2.3   標準契約締結ルートと保護認証ルートをどのように選ぶかについての問題

標準契約と保護認証のどちらも適用できることを前提とした場合、ほとんどの場合において、標準契約締結ルートを採用しコンプライアンス対応することを提案する。その理由は、保護認証ルートでは、第三者認証機関による外部認証が必要となり、認証のプロセスや規則が徐々に明らかになっているが、認証の内容は非常に厳しくなると思われ、しかも域外受信者の全力の協力が必要となり、更に保護認証でも、個人情報責任者の指定や個人情報保護機関の設置等を域外受信者に求める。そして、保護認証の申請は、ほぼ確実に料金の発生する事項になる。よって、総合的に考えると、認証は、実務上において難易度が高いと思われる。それに対し、標準契約締結ルートでは、個人情報取扱者に対し、国家インターネット情報部門への届出のみを求めており、認証に比べて届出の効率も良く、コストも低い。2つのルートはどちらもPIAが必要となるが、標準契約締結ルートでは、PIAを行った後は届出をするだけでよく、届出の特性を考えると、インターネット情報部門はPIAに関して書類審査しか行わない可能性が極めて高いと思われる。認証では、PIAを行った後、更に政府が指定し認可した認証機関により評価の内容を一つ一つ精査され、認証審査基準に満たなかった場合、認証の要求を全て満たすまで是正を求められる。

当然ながら、域外の個人情報取扱者が中国国内の個人情報を直接取扱う場合は、保護認証ルートを採用するしかない。更に、多くの場合、個人情報の伝送は双方向であり、時には多方向でもある。個人情報を中国から域外へ伝送する必要があり、域外から中国へ伝送する必要もある場合は、標準契約書を使用する時に相手方の標準契約書（例：EUのSCCs）も使用する必要があるかも知れない。双方の標準契約書を全て修正している余裕がなく、それぞれ異なる個人情報取扱契約の条項が入り混じることになるかも知れず、更には争いが生まれる可能性もある。このような場合は、標準契約以外の他の契約により異なる個人情報取扱契約との関係を調整する必要があるかも知れず、その時には、保護認証ルートが個人情報の域外提供についてコンプライアンスを達成するための最良の選択となるかも知れない。

2.4   標準契約締結ルートを採用した場合のコンプライアンス対応に関する提案

国は、標準契約の締結について強力な監督管理を採用し、意思自治の原則を制限しており、標準契約書の本文の内容は変更できないものとなっている。しかしながら、標準契約書では、標準契約の本文に定めた以外の事項は、契約書附属書2－「双方で約定するその他の条項（必要な場合）」に約定を追加することができる。例えば、標準契約書本文は中国語なので、域外受信者が標準契約書の自国語版を必要とする場合、附属書2を使い約定を追加することができる。その他、標準契約第9条第5項でも定めている通り、中国国内の人民法院又は仲裁機関等を合意した管轄機関とする以外にも、契約当事者双方は、域外の「外国仲裁判断の承認及び執行に関する条約」加盟国の仲裁機関、例えば日本商事仲裁協会等を争いの管轄機関として選択することができる。また、標準契約締結ルートを採用する場合は、正式な届出前にPIAを行う必要がある。PIAは、中国国内の企業の名義で自ら発行するものだが、PIAの内容にはある程度専門性があり、更に評価の内容は法律と技術の両面に及び、この評価内容には域外受信者が所在する国の個人情報保護に関するレベルが中国と同等の保護レベルに達しているかどうかを判断する内容を含んでいるため、PIAには、域外受信者の所在地の個人情報保護に関する法律法規を熟知する専門家に一緒に参加してもらわなければならない。

つい先日の2022年7月21日、国家インターネット情報部門は、ユーザーの個人情報を過度に収集したなどの理由で、滴滴全球股份有限公司（中国の配車サービス大手企業）に対し、人民元80.26億元の罰金を課し、同時に程維董事長兼CEO及び柳青総裁に対し、それぞれ人民元100万元の罰金を課した。この行政罰事件は、現時点で国による個人情報の取扱いに対する監督管理の強化が既に出来上がっていることを示している。個人情報の域外提供は、個人情報の取扱いにおける重要なプロセスであり、その法令遵守度が監督管理機関の取り締まりの次の注目点になることは確実である。企業、特に外資企業は、このことについて十分に重く見る必要がある。

（实习生童图杰对本文撰写也作出了贡献）