中国の新規制・個人情報の域外移転と標準契約手続きの必要性

標準契約による手続きで個人情報を国外に移転する場合は、以下の要件をすべて満たすことが求められます。

（同法第4条）
(1) 重要情報インフラ**を運営していない
(2) 取り扱う個人情報が100万人分未満である
(3) 前年1月1日からの個人情報の国外への移転件数が10万人分未満である
(4) 前年1月1日からのセンシティブ情報***の国外への移転件数が1万人分未満である

上記を確認の上で、域外移転手続きを行う際は以下の対応が求められます。

本規定に違反した場合、制裁金の支払い（5,000万元以下または前年度売上高の5％）やサービス停止等の罰則が科されるおそれがあります。中国で事業を行う事業者は新たな規制に適切に対応することが必要であり、具体的には以下のような対策が挙げられます。

近年、中国のデータ統制は急激に強まっており、今後も更なる法改正や規制の強化が行われる見込みです。従って、日本企業は制度の動向をよく認識した上で、中国子会社において適切な対策・措置を講じていくことが求められます。

* 標準契約
中国個人情報保護法第38条には、中国国外に個人情報を提供する場合に以下の要件のいずれかを満たすことが義務付けられています。標準契約の締結による個人情報の域外移転は次の（3）にあたります。
（1）国家インターネット情報部門による安全評価に合格する
（2）国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得ている
（3）国家インターネット情報部門が制定した契約基準に基づき境外の受領者と契約を締結し、双方の権利および義務を定めている
（4）法律若しくは行政法規または国家インターネット情報部門の規定するその他の条件に当てはまる

** 重要情報インフラ
公共通信、情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要な業界と領域、およびその他の破壊、機能喪失またはデータ漏洩が発生した場合、国家安全、国家経済、公共利益に重大な危害を及ぼす可能性のある重要ネットワーク施設、情報システム等を指します。（中華人民共和国国務院令第745号「重要情報インフラストラクチャのセキュリティに関する規制」第2条）

*** センシティブ情報
漏洩または不当利用された場合に、人格的尊厳の侵害、または人身・財産の安全に危害を受けやすい個人情報（金融口座、医療情報、生体識別、未成年者の個人情報などが挙げられます）

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年9月（第6号）を基に作成したものです。