第3回：データの国内保存・国外移転規制
（執筆主担当：弁護士　森 規光）

1.概要

インターネット安全法において、「重要情報インフラ」の運営者（その意義については、第1回及び第2回をご参照下さい。）は、中国国内における事業活動によって収集し、又は発生した個人情報及び重要データを中国国内で保存しなければならず、業務上の必要により国外に提供する必要がある場合には、国家インターネット情報部門の規則に従い安全評価を行わなければならないとされています（インターネット安全法第37条）。

インターネット安全法上、データの国内保存及び国外移転規制について定めているものは当該規定のみであり、その詳細は下位規則及びガイドラインで定められることが予定されています。しかし、現時点では当該下位規則及びガイドラインはいずれも意見募集稿の段階であり、正式制定版は公布されておりませんが、以下では意見募集稿の内容を前提にご説明をします。そのため、今後公布される予定の正式制定版の内容によっては、以下の内容が変更になる可能性がある点にご留意下さい。

2.規制の適用主体

インターネット安全法において、個人情報及び重要データの国内保存・国外移転規制の適用を受ける主体は、「重要情報インフラ」の運営者のみであり、「重要情報インフラ」の運営者に該当しない「インターネット運営者」（その意義については、第1回をご参照下さい。）は当該規制の適用主体とはされていません。

しかし、2017年4月11日に公表された「個人情報及び重要データの国外移転安全評価規則」の意見募集稿（以下「安全評価規則草案」といいます。）においては、個人情報及び重要データの国内保存及び国外移転規制の適用主体は「インターネット運営者」まで拡大されています^※1。インターネットを利用して事業を行っている場合には、広く「インターネット運営者」に該当する可能性があるため、個人情報及び重要データの国内保存及び国外移転規制が「インターネット運営者」まで拡大されると、実務的に大きな影響が生じる可能性があります。そのため、安全評価規則草案が公表された後、実務界からは批判的な意見が寄せられ、適用主体を限定する方向である旨の報道もなされましたが、現在までに安全評価規則草案の修正の正式な公表はありません。

そのため、今後公布される予定の安全評価規則草案の正式制定版の内容によっては、「重要情報インフラ」の運営者のみならず、「インターネット運営者」も個人情報及び重要データの国内保存及び国外移転規制の適用主体となり得るため、その立法動向を注視する必要があります。

※1：さらに、安全評価規則草案では、その他の個人・組織も同規則を参照すべき旨が規定されています。

3.規制の対象となる情報

国内保存及び国外移転規制の対象となる情報は、個人情報及び重要データです。

（1）個人情報

インターネット安全法上、「個人情報」は、「電子的方式又はその他の方式により記録した、単独で又はその他の情報と結びついて自然人個人の身分を識別し得る各種情報」をいい、自然人の氏名、生年月日、身分証明書番号、個人の生体認証情報、住所、電話番号等を含むとされています（インターネット安全法第76条第5号）。なお、個人情報の意義については、第4回で詳細にご説明します。

（2）重要データ

インターネット安全法においては、「重要データ」の意義については明確に規定されていません。安全評価規則草案において、「重要データ」については、「国の安全、経済発展、及び社会公共の利益と密接に関わるデータをいい、具体的な範囲は国の関連標準及び重要データ識別ガイドラインを参照する」（安全評価規則草案第17条第4号）と規定されています。そして、2017年8月25日に公表された「データの国外移転に関する評価ガイドライン（意見募集稿）」（以下「評価ガイドライン草案」といいます。）の別紙A「重要データ識別ガイドライン」（以下「重要データ識別ガイドライン草案」といいます。）において、重要データの基本的な判断基準と具体例が詳細に規定されています。

重要データ識別ガイドライン草案によれば、重要データは、組織、機構、個人が中国国内で収集・生成した、国家機密に関与しないが、国家の安全、経済発展及び公共の利益に密接に関連するデータ（オリジナルデータ及びその派生データを含む。）で、許可なく開示、紛失、濫用、改竄、毀損又は集約、統合、分析された場合に次に列挙するような結果を招く可能性のあるものとされています。

①国家の安全、国防利益に危害を与え、国際関係を破壊する。
②国家の財産、社会公共の利益及び個人の合法的利益に損害を与える。
③経済・軍事のスパイ活動、政治的思想の蔓延、組織犯罪等に対する国家による抑止及び攻撃に影響をもたらす。
④行政機関による、違法行為や汚職又はそれらの疑いのある行為に対する調査に影響をもたらす。
⑤政府部門による監督、管理、検査、審査等の行政活動を妨げ、職責履行を妨害する。
⑥国家の重要インフラ施設や重要情報インフラ施設、政府の情報システムの安全に危害を与える。
⑦経済秩序及び金融の安全に影響又は危害を与える。
⑧分析により国家機密又はセンシティブな情報が明らかになる。
⑨国家の政治、国土、軍事、経済、文化、社会、科学技術、情報、生態、資源、核施設等その他の国家の安全事項に影響又は危害を与える。

重要データ識別ガイドライン草案においては、さらに産業分野ごとに重要データの類型が例示されています。規定されている産業分野は多岐に亘り、具体的には27分野（石油天然ガス、石炭、石油化学、電力、通信、電子情報、鉄鋼、非鉄金属、設備製造、化学工業、国防軍備、その他工業、地理情報、民用核施設、交通運輸、郵政宅配便、水利、人口健康、金融、信用情報、食品薬品、統計、気象、環境保護、ラジオ・テレビ、海洋環境、EC）が列挙されています。

その上で、各分野について重要データに該当する情報の類型が示されておりますが、例えば、化学工業の分野においては、以下の情報が重要データに該当するとされております。

①国の主要な化学工業製品の生産能力、貯蔵状況等の統計情報、重大化学工業の輸出入プロジェクトに関する情報
②重要地区の化学工業経済プロジェクトの協議書、プロジェクト、計画及び軍用化学品の輸出に関する情報等
③猛毒化学品、爆発性危険化学品の道路輸送、水上輸送、航空輸送等に関する情報
④危険化学品の生産、貯蔵単位の作業場に設置された通信、警報装置、警備保護措置等に関する情報
⑤機構が発行した化学工業企業の安全生産条件に対する評価報告
⑥危険化学品を生産、貯蔵するための新築、改築、増築の建設プロジェクト、及び危険化学品を貯蔵、積卸するための新築、改築、増築の港湾建設プロジェクトの情報
⑦化学工業の工場平面図、化学品保管倉庫の配置、倉庫等保管場所の面積、容量、年間使用量、入荷元等の資料
⑧企業が生産、貯蔵する猛毒化学品、爆発性危険化学品の数量、出荷等に関する情報

このように、各分野において相当詳細かつ広範に重要データに該当する類型が規定されており、重要データの該当性の判断は慎重に行う必要がある点に留意が必要です。

4.安全評価が必要とされる場面

上記のとおり、「重要情報インフラ」の運営者は（安全評価規則草案によれば、「インターネット運営者」についても）、中国国内における事業活動によって収集し、又は発生した個人情報及び重要データを中国国内で保存しなければならず、業務上の必要により国外に提供する必要がある場合には、安全評価を行わなければならないとされています。

どのような場合に、データの国外移転に該当するかについて、評価ガイドライン草案によれば、ネットワーク等の方式により、中国での運営において収集及び発生した個人情報及び重要データを、直接又は業務展開、サービス若しくは製品等の提供の方法により、国外の機構、組織又は個人に、一回限り又は連続的に提供することとされており、以下の場合はデータの国外移転に該当するとされています（評価ガイドライン草案第3.7条）

①中国国内に所在する、中国司法管轄外又は中国国内で未登録の主体に提供する場合
②データ自体は国外に物理的には移転されていないが、国外の企業又は個人が閲覧、アクセス可能にする場合（公開情報、ウェブサイトは除く。）
③グループ内における国内から国外の移転であって、国内で収集又は発生した個人情報又は重要データに関わる場合

特に、中国において収集したデータを中国国外のグループ企業と共有する場合（中国国外から当該データにアクセスすることを可能にする場合）には、たとえデータ自体を物理的に中国国外に移転しない場合であっても、データの国外移転規制に該当し得る点に留意が必要です。

5.安全評価の枠組み

個人情報及び重要データを国外移転する際^※2には、安全評価を行う必要があり、安全評価の方法は、大きく自己評価による場合と、当局による評価による場合とに分けられます。また、業務の発展及びネットワーク運営の状況に基づき、毎年1回以上安全評価を行い、業務主管部門又は監督管理部門に報告をする必要があります。

※2： 国外移転時以外の場合でも、データ受領者の変更、国外移転の目的、範囲、数量、種類等に比較的大きな変更が生じた場合、データ受領者又は国外移転データに重大なセキュリティインシデントが発生した場合は、改めて安全評価が必要とされています。

（1）自己評価

「インターネット運営者」は^※3、データを国外移転する前に、データの国外移転について自ら安全評価を実施し、評価結果に対して責任を負わなければならないとされています（安全評価規則草案第7条）。自己評価の場合は当局に対する報告は必要ありません。

※3：安全評価規則草案及び評価ガイドライン草案において、安全評価の主体は「インターネット運営者」と規定されておりますが、今後「インターネット運営者」がデータの国内保存及び国外移転規制の適用対象となるか否かにより、この安全評価の主体に関する規定も変更になると考えられます。本稿では、現状の意見募集稿の内容を前提に、「インターネット運営者」を安全評価の主体として記載しております。

また、「インターネット運営者」は、自己評価の評価体制として、法務、政策、安全、技術、管理に関する専門的な人員を含むデータの国外移転安全評価チームを設立しなければならず、また安全評価チームは、事業部門が提出したデータ国外移転計画を審査し、データ国外移転状況を定期的に検査又は抜取検査を行うこととされています（評価ガイドライン草案第4.2.3条）

（2）当局による評価

国外移転データが次のいずれかに該当する場合、「インターネット運営者」は業種主管部門又は監督管理部門に安全評価を申請しなければならないとされています（安全評価規則草案第9条）。

①50万人以上を含む、又は累計で50万人以上を含む個人情報
②データ量が1,000GBを超える場合
③原子力施設、化学生物、国防軍需産業、人口・健康等の分野のデータ、大型プロジェクト活動、 海洋環境及び敏感な地理的情報データ等を含む場合
④重要情報インフラのシステムの脆弱性、セキュリティ防御等のネットワーク安全情報を含む場合
⑤重要情報インフラの運営者が国外に個人情報及び重要データを提供する場合
⑥その他国の安全及び社会公共の利益に影響を及ぼす可能性があり、業種主管又は監督管理 部門が評価を行うべきと認める場合

また、評価ガイドライン草案では、以下の場合についても当局による評価が必要と規定しています。（評価ガイドライン草案第4.3.2条）。

⑦大量のユーザーからクレーム又は通報があった場合
⑧全国的業界団体から提案があった場合

業種主管部門又は監督管理部門が実施する安全評価は、60業務日以内に完了し、遅滞なく「インターネット運営者」に対して安全評価の状況をフィードバックし、かつ、国のネットワーク情報部門に報告しなければならないとされています（安全評価規則草案第10条）。

6.安全評価の評価要素

安全評価においては、以下の要素を重点的に評価するとされています（安全評価規則草案第8条）。

①データ国外移転の必要性
②個人情報に関する状況（個人情報の数量、範囲、種類、機微の程度、及び個人情報主体がその個人情報の国外移転に同意するか否か等を含む。）
③重要データに関する状況（重要データの数量、範囲、種類及びその機微の程度等を含む）
④データ受領者の安全保護措置、能力及び水準、並びに所在する国又は地域のネットワーク安全環境等
⑤データの国外移転及び再移転後の漏洩、毀損、改竄、濫用等のリスク
⑥データの国外移転及び国外移転データの集約により国の安全、社会公共の利益、個人の合法的利益にもたらされうるリスク

また、評価ガイドライン草案において、安全評価の要点は以下のとおりであるとされています（評価ガイドライン草案第5条）。

①国外移転の目的：合法性・正当性・必要性
②データの属性

• 個人情報の属性：類型・数量・範囲・センシティブ度・技術処理状況等
• 重要データの属性：類型・数量・範囲・技術処理状況等

• データ提供者の安全保護能力（管理制度保障能力、技術手段保障能力等）
• データ受領者の安全保護能力（受領者の主体の真実性・過去のデータ安全問題・株主・主管部門等、管理制度保障能力、技術手段保障能力）
• データ受領者の所在国・地域の政治法律環境等
• 個人情報：個人情報保護に関する法律法規・標準・国際条約等及び執行機関・司法機関等の個人情報保護の実行体制
• 重要データ：データセキュリティに関する法律法規・標準・国際条約等及びデータセキュリティの執行機関・司法機関等及びこれらの機関の権限及び手続等）

上記のとおり、安全評価規則草案及び評価ガイドライン草案において、安全評価の重点要素が規定されておりますが、これらの要素の評価を踏まえて、実際どのように安全評価の判断をすべきかについては規定されておりません。この点については、今後の正式制定版の内容と共に、実務における運用によって定まっていくものと考えられます。

7.国外移転が禁止される場合

安全評価規則草案によれば、以下の場合においては、そもそも個人情報及び重要データの国外移転が禁止されることになります（安全評価規則草案第11条）。

①個人情報の国外移転において個人情報主体の同意を得ておらず、又は個人の利益を損なう可能性がある場合
②データの国外移転により国の政治、経済、科学技術、国防等の安全にリスクがもたらされ、国の安全に影響し、社会公共の利益を損なう可能性がある場合
③その他国のネットワーク情報部門、公安部門、安全部門等の関連部門が国外移転してはならないと認める場合

特に、個人情報の国外移転については、個人情報主体に対してデータ国外移転の目的、範囲、内容、受領者及び受領者の所在国又は地域について説明し、かつその同意（未成年者については後見人の同意）を取得しなければならないとされており（安全評価規則草案第4条）、現在の意見募集稿においては、特に例外規定が存在しないため、個人情報の国外移転については広く同意取得が必要とされる可能性がある点に留意が必要です。

8.まとめ

個人情報及び重要データの国内保存及び国外移転規制について、現時点では、すでに施行されているインターネット安全法に基づく規制と、今後制定される予定の下位規則に基づく規制とを区別して検討する必要があります。現時点では、個人情報及び重要データの国内保存及び国外移転規制の適用主体となるのは「重要情報インフラ」の運営者のみです。しかし、安全評価規則草案の正式制定版の内容によっては、「インターネット運営者」についても規制主体となる可能性があります。

その上で、個人情報及び重要データの国外移転において要請される安全評価の内容について規定する安全評価規則草案及び評価ガイドライン草案はいずれも意見募集稿の段階であり、正式制定版は公布されていませんので、現時点で安全評価の運用を確定することは困難といえますが、特に「重要情報インフラ」の運営者に該当する可能性が高いと見込まれる企業（第1回及び第2回でご説明したとおり、「重要情報インフラ」の認定基準の詳細等に関する関連規則も現在はまだ意見募集稿段階です。）においては、すでに施行されているインターネット安全法によって安全評価の実施が求められていることを踏まえて、現状の意見募集稿の内容を前提に安全評価の実施を検討する必要があると考えられます。