中米両国はこのほど、米国上場企業会計監督委員会（PCAOB）の検査員と調査員が香港に赴き、すべての情報の完全な監査原稿を含む米国上場中国企業の監査資料を審査することを許可する「監査協力検査協定」に署名した。メディアによると、アリババ、京東、百勝中国は初めて監査検査を受ける企業になる。監査原稿には大量のデータと国内ユーザーの個人情報（以下「データ」という）が含まれているため、今日は皆さんと話をしますが、米国側は監査原稿を審査することはデータの出国ではありませんか。国内の法律法規によると、これらのデータの出国はどのような手順に従うべきですか。

        データの出国については、我が国の「サイバーセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「データ出国セキュリティ評価方法」に規定があり、最新の規定は2022年8月31日に発表された「データ出国セキュリティ評価申告ガイドライン（第1版）」であり、データ出国セキュリティ評価申告方式、申告フロー、申告材料などの具体的な要求について詳細に説明した。

一、監査作業の下書きは監督管理が必要な出国データに関連していますか。

        監査作業の下書きは、監査人が監査作業の過程で形成したすべての監査作業の記録と取得した資料であり、会計の下書きに限らず、財務データと業務データを含む可能性がある。我が国が米国に上場した多くは科学技術、メディア、通信業界、教育、自動車、現地生活などの各分野における国内の有名なインターネット企業であり、それらは大量の個人情報と敏感な個人情報を把握し、科学技術、通信業界などの重点業界分野に関わる重要なデータはすべて監査の下稿に反映される。

        監査された企業が重要な情報インフラストラクチャの運営者、または中国国内での運営中に収集され、生成された個人情報や重要なデータなどに関与している場合、監査作業の下書きには個人情報や重要なデータが含まれている可能性があります。「データ出国安全評価方法」の規定に基づき、データ処理者は国外に重要なデータを提供し、中国政府にデータ出国安全評価を申告しなければならない。

二、監査作業の下書きを審査することはデータの出国に属するか？

        「データ出国安全評価方法」の規定に基づき、データ処理者は国内運営において収集し、発生したデータを国外に転送、保存する、およびデータ処理者が収集し、生成したデータは境内に保存され、国外の機関、組織または個人は検索、呼び出し、ダウンロード、エクスポートすることができ、いずれもデータの出国行為に属する。

        そのため、監査作業の下書きが個人情報または重要なデータに関連する場合、米国上場企業会計監督委員会が監査作業の下書きを監査する行為は、データの出国に属する。国内監査機関は責任主体として、我が国の関連法律法規に基づいて必要なデータ出国安全評価またはネットワーク安全審査などのプログラムを履行する必要がある。

三、『監査協力検査協議』はどのようなデータの出国手続きを規定する可能性がありますか？

        中米の『監査協力検査協議』の内容は現在公表されていないが、我が国の証券監督管理委員会の責任者は記者の質問に答えてデータの出国手続きの問題に言及した：協力協議は監査監督管理協力の中で敏感な情報の処理と使用に関連する可能性があることに対して明確な約束をし、個人情報などの特定のデータに対して専門的な処理手順を設置し、双方が法定監督管理の職責を履行すると同時に、関連情報の安全を保護するために実行可能な経路を提供した。

        目標を達成した個人情報の出国は『データ出国安全評価方法』の規制範囲に属することを考慮して、この専門的な処理プログラムの内容は『データ出国安全評価方法』の規定を含む可能性が高い。この方法によると、監査原稿は出国前に中国政府のデータ出国安全評価を通過しなければならず、国内監査機関は申告主体として、この評価を通過しなければならず、最も重要なのはまずデータ出国リスクの自己評価を行い、法定重点評価の事項に基づいて評価を行うことである。

        自己評価の際には、まず監査原稿中のデータが重要なデータを構成しているかどうかを判定し、審査し、国の「重要なデータ」の定義と業界主管部門の「業界重要なデータ」の認定を結合して総合的に行う必要がある。重要なデータを構成せず、基準を達成した個人情報及び敏感な個人情報の出国のみであれば、経営に関与する顧客又はその他の個人情報にかかわらず、出国データの規模、範囲、種類、敏感度及びデータの出国が国家の安全、公共利益、個人又は組織の合法的権益にもたらす可能性のあるリスクに特に注目し、審査しなければならない。

        「データ出国安全評価申告ガイドライン（第1版）」も、データ処理者が開示すべき具体的な項目を表形式で詳細に記載しなければならないことを明確に要求している。その中で、「出国予定データ状況」はデータ規模（MB/GB/TB）、敏感度（例えば個人情報）、自然人数量と重要データ数量などを記入することを要求している。個人情報に関わる場合は、個人情報の出国が個人情報主体の事前同意を得ているなど、個人情報保護法と関連法規の要求に同時に合致しなければならない。

四、米国上場企業会計監督委員会（PCAOB）はどのような制約を受けるのか。

        「データ出国安全評価方法」によると、国内監査機関がデータ出国審査を通過する場合、データの国外受取人と特定の内容を含む法律文書を締結し、データ安全保護責任義務を明確に約束しなければならない。つまり、監査の下書きを審査する米上場企業会計監督委員会とその指定する監査機関も、これらの法的文書に拘束されることになる。次のようなものがあります。

（一）データの出国の目的、方式とデータ範囲、国外の受信者がデータを処理する用途、方式など

（二）データの国外保存場所、期限、及び保存期限、約束の目的又は法律文書の終了後の出国データの処理措置

（三）国外の受信者が出国データを他の組織、個人に再転送することに対する制約性要求、

（四）国外の受信者が実際の制御権または経営範囲に実質的な変化が発生したり、所在国、地域のデータセキュリティ保護政策法規とネットワークセキュリティ環境に変化が発生したり、その他の不可抗力状況が発生したりしてデータセキュリティを保障しにくい場合、採取すべきセキュリティ措置

（五）法律文書に約束されたデータセキュリティ保護義務に違反した救済措置、違約責任と紛争解決方法

（六）出国データが改竄、破壊、漏洩、紛失、移転または不法に取得され、不法に利用されるなどのリスクがある場合、応急処置の要求と個人の個人情報権益を守るルートと方式を適切に展開する。

        上述の内容の中で、第（一）目的、第（三）項データの再移転と第（六）項データの意外発生後の応急措置は、特に注目すべきである。まず、監査原稿は約束の目的にしか使用できず、個人情報を記憶する期限は約束の目的を実現するために必要な最短時間であり、上記の記憶期限を超えた後、個人情報の削除や匿名化処理を行う必要がある。次に、出国データを他の組織、個人に転送してはならないことを約束しなければならない。もしあれば、個人の単独同意を得たり、第三者と書面協議を達成したりするなど、法律に基づいて相応のプログラムを履行しなければならない。最後に、これらの措置が適切な安全レベルを維持し続けることを保障するために、有効な技術と管理措置を講じ、定期的に検査しなければならない。漏洩事件が発生した場合は、適時に適切な救済措置をとり、通知義務（個人情報処理者と我が国の監督管理機関を含む）を履行しなければならない。

        また、米国内法の問題も注目に値する。現在、米国の「域外データの合法的な使用を明らかにする法案」（クラウドAct）はデータの管轄権基準に対してデータ制御者を採用している。つまり、米国内に格納されているかどうかにかかわらず、米国連邦政府が米国企業のデータを強制的に取得することを許可している。このような場合、米国政府が適切なデータを調達しようとしていることが分かった場合は、国内の監査機関と我が国の規制機関に速やかに通知し、法的救済措置を講じなければならない。しかしこの問題は、中米両国が署名した「監査協力検査協定」にも約束があるはずだ。

        最後に、中米のゲームは非常に複雑であるため、「監査協力検査協議」が署名されても、それが実行されるかどうか、市場には疑問がある。例えば協定に署名する前の2022年7月、アリババが米証券監督管理委員会に提出した2022年度年報では、「証券監督管理委員会は『国内企業の海外発行証券と上場に関する秘密保持とファイル管理の強化に関する規定』を発表したが（意見聴取稿）米国上場企業の会計監督委員会が中国の会計士事務所を検査するのに協力したが、私たちの監査事務所や私たちが米国の規制当局の要求を満たすことができるとは確信できなかった」と述べた。

        しかし、筆者はこれに対して比較的に楽観的であり、監査原稿の情報は実際には日常経済活動や報道にも足跡があり、多くは既存の判断の再確認であり、中米が合意に署名した以上、多くの前に合意に至らなかった点に突破があったことを意味し、双方にとって合意に達した利益はリスクより大きいに違いないので、あまり緊張する必要はない。