重要データの国内保存義務及び越境移転規制

ネットワーク安全法の規定により、重要情報インフラの運営者は、中国国内における運 営²⁷³において収集し、及び発生した｢個人情報｣及び｢重要データ｣について、国内で保存し なければならないとされている。業務上の必要により、確かに国外に提供する必要がある 場合は、関連監督管理部門が制定した規則に従い安全評価を行わなければならないと定め られている²⁷⁴。このうち｢個人情報｣の越境移転については、3.個人情報に関する義務(3)個 人情報の越境移転で述べたとおりである。以下では、｢重要データ｣の越境移転安全評価に ついてのみ記載する。

2017 年に｢個人情報及び重要データ越境移転安全評価弁法｣の意見募集稿²⁷⁵ (以下｢越境移 転安全評価弁法｣という。)及び国家標準である｢データ越境移転安全評価ガイドライン｣の 意見募集稿²⁷⁶ (以下｢越境移転安全評価ガイドライン｣という。)が公布された。そこでは、

重要データの国内保存、越境移転に関する適用対象がネットワーク運営者まで拡大され、

270 児童個人情報規定5条

271 児童個人情報規定8～9、11～15条

272 児童個人情報規定7、24～26条

273 この｢運営｣は、重要情報インフラの所有、管理及び重要情報インフラを利用したサービス行為を想 定していると思われる。

274 ネットワーク安全法37条

275 http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

276 https://www.tc260.org.cn/file/20170830203000000004.docx

75

越境移転に関する手続等についても具体化されている²⁷⁷。

上記の重要データに関する関連規定は、個人情報と同様にあくまで意見募集稿段階の内 容で、現時点において法的効力が発生していないが、それに関する公布、実施動向を注意 しつつ、正式に実施される内容を確認する必要があると思われる。

(1) 重要データの国内保存及び越境移転規制の適用対象の拡大化

越境移転安全評価弁法の規定により、ネットワーク運営者は、中国国内運営において収 集し、発生した重要データを、国内で保存しなければならず、業務の必要により、越境移 転が必要である場合においては、安全評価を行わなければならないと規定されている²⁷⁸。 当該規定が正式に実施される場合には、重要データの国内保存及び越境移転規制がネット ワーク安全法における重要情報インフラの運営者から、全てのネットワーク運営者まで拡 大される可能性があると思われる。

ア データの越境移転

上記 3(3)(｢個人情報の越境移転｣)において、ア(｢越境移転の定義｣)に記載した定義と同内

容である。

イ 重要データ²⁷⁹

重要データとは、関係する組織、機構及び個人が国内において収集又は生じさせた、国 家秘密とは関わりはないが、国家安全、経済発展及び社会公共利益と深い関わりがある データを指す²⁸⁰。

｢越境移転安全評価ガイドライン｣の付録 A｢重要情報識別ガイドライン｣では、各業種ご とに、27項目に分類して重要データが列挙されている。

簡単に例を挙げると次のとおりである。

例： 電力等エネルギー、建設、建設関係データ、通信、安全保障、鉄鋼、国防、地理情報 (公開地図情報含む)、投資情報、化学工業、国防、地理情報、民間核施設、交通、郵

277 ただし、｢個人情報及び重要データ越境移転安全評価弁法｣より後に公布された｢個人情報越境安全評 価弁法｣の意見募集稿は、個人情報の越境のみを対象としており、前に公布された｢個人情報及び重 要データ越境移転安全評価弁法｣の重要データ部分のルールは、別途規定されるかは不明である。

278 越境移転安全評価弁法2条

279 個人情報の定義について、上記3(1)(｢個人情報の定義及び範囲｣)を参照されたい。

280 越境移転安全評価ガイドライン3.5条

76

便、水利、健康、金融、食品薬品、統計、気象、放送、海洋環境、電子ビジネス等の 27の分野ごとに指定される情報(ただし、これに限られない。)

(2) 越境移転場合の条件

以下の手順で越境移転が可能となる。

＜図表13 重要データの越境移転＞

ア 移転者自身による安全評価

｢越境移転安全評価ガイドライン｣において、移転者が、データの越境移転計画を作成 し、自身において安全評価を行うこととされている。この安全評価は越境移転目的評価と 安全リスク評価に分けられ、前者では越境移転目的の合法性、正当性及び必要性について 評価し、後者ではデータの属性並びに越境移転に起因する安全事件の発生可能性及び影響 の程度を総合的に評価する²⁸¹。

安全評価の完了後は、移転者は評価報告書を作成し、最低 2 年間保存しなければならな い²⁸²。

イ 主管部門による安全評価

国家ネットワーク情報部門、各業界の主管部門は、データ越境移転のデータ類型、数 量、範囲及び重要度等により、主管部門にて行われる評価作業を展開する。下記のいずれ

281 越境移転安全評価ガイドライン4.1条、5.1条及び5.2条

282 越境移転安全評価ガイドライン4.2.6条

⾃⼰安全評価

管轄官庁による安全評価 (⼀定の要件を満たす場合のみ)

越境移転

77

かの状況がある場合、主管部門による安全評価を行うことが可能である。

① データ量が1,000GBを超える場合

② 核施設、化学生物、国防軍事工業、人口健康等の領域の関連データ、大型建設活動、

海洋環境及びセンシティブ地理情報のデータ等を含む場合

③ 重要情報インフラに関連するセキュリティ上の欠陥やセキュリティ情報を含む場合

④ 移転者が重要情報インフラ運営者である場合

⑤ 国家安全、経済安全及び社会公共利益に影響を与えるその他状況

⑥ 大量なクレーム、検挙がある場合

⑦ 全国的な業界の協会が提案する場合

⑧ 国家ネットワーク情報部門、各業界の主管部門が評価を行うことが必要とされること を判断する場合

越境移転に係る評価作業部会は、上記アに記載の移転者自身の安全評価の実施後、移転 者の安全評価報告書等に基づいて安全評価を行うこととされており、その評価内容はアの 安全評価と共通である。評価作業部会による安全評価の完了後、専門家委員会が移転者の 安全評価報告書及び評価作業部会の安全評価報告書を審議し、越境移転の可否について意 見を提出する。その上で、主管部門が専門家委員会の意見に基づき、越境移転の可否を判 断し、可能と判断した場合にはその承認を行うこととなる²⁸³。

(3) ｢データ安全管理弁法｣におけるさらなる要求

2019年5月に公布された｢データ安全管理弁法｣の意見募集稿において、個人情報及び重 要データについて下記のとおり新しい要求があった。

 ネットワーク運営者は、経営の目的で重要データ又は個人センシティブ情報を収集す る場合においては、所在地のネットワーク情報部門に届出を行う必要がある(届出の内 容は、収集、利用の目的、規模、方式、範囲、類型及び期限等(データの内容自体は含 まない。)である。)。

 重要データの越境移転を行う前に、安全リスクに関し評価を行い、主管部門の同意を 得なければならない²⁸⁴。

上記の規定により、重要データの取り扱い、越境移転について、要求がさらに厳しくな る傾向があり、特に重要データの越境移転について、(容量等の情報を問わず)一律で主管 部門の同意が必要になってくる可能性もあると思われる。

283 越境移転安全評価ガイドライン4.3.1条及び4.3.2条

284 データ安全管理弁法18条

78 第三 違法責任及び執行状況