筆者が先日、投稿した個人情報国外移転におけるコンプライアンスに関する文章中で、引用したのは、「データ国外移転安全評価弁法(意見募集稿)」であったが、、この意見募集稿が今般、正式な部門規章として発布された。これにより、データを国外に移転する方式の中で最も厳しい安全評価について、正式な法的根拠がつけられた。「データ国外移転安全評価弁法」の全体的な枠組みはこれまでの各版の意見募集稿の範疇を超えていない。本稿では、その要点について、解読してみた。

一、データの国外移転とは何なのか? 

ここにおける「国外移転」について、その実質的な性質を分析すべきものであり、国外へのデータ提供、転送に限られるものではない。「データ国外移転安全評価弁法」の記者質問への回答及び「情報安全技術データ国外移転の安全評価指南」の規定によると、データの国外移転活動は主に次のようなものが含まれる。 

(1)データ処理者が、収集、生成したデータを国外に転送、保存すること。

(2)データ処理者が収集、生成したデータは国内に保存され、国外の機関、組織又は個人がアクセス又は使用できること。

特に第（2）の場合、たとえデータが国内に保存されていても、国外の主体が直接アクセスして、使用できる場合には、依然として、データの国外移転に属する。多くの企業が、このような状況を見落とす可能性が高いので、必ず認識を正し、データ国外移転の規定に基づき、コンプライアンスに備える必要がある。

二、どのような状況下で、データ国外移転の安全評価を行う必要があるか?

簡単にまとめると、重要データ且つ一定数量以上の個人情報を取り扱っているということになる。「弁法」はデータ国外移転の安全評価を申告すべき 4 種類の情状を明確に定めている。

(1)データ処理者が重要データを国外に提供していること。

(2)重要データのインフラ運営者及び 100 万人以上の個人情報を取り扱うデータ処理者が国外に個人情報を提供していること。

(3)前年度の 1 月 1 日から累計で海外に 10 万人の個人情報、又はセンシティブな個人情報を提供しているデータ処理者が国外に個人情報を提供していること。

(4)国家ネット情報部門の定めたその他のデータ国外移転の安全評価申請をすべき事由。 

情状一における「重要データ」の認定は「情報安全技術重要データ識別指南」(意見聴取稿)、「ネット安全基準の実践マニュアル—ネットデータ分類・分級ガイドライン」及び具体的な業界データ管理規範に従い、行う必要がある。企業が重要データに該当するか否かを確定できない場合には、直ちに専門機関の協力を求める必要がある。

意見聴取稿に比べ、正式に発布された法規は情状三に、「前年度の 1 月 1 日から」の限定が追加されている。すなわち、提供した個人情報の累計件数に基づき計算されないので、安全認証よりも規制が緩和されている。多くの中小企業が標準契約を通じ、安全認証と安全評価の二つの方法によって、データの国外移転を実現することができる。

三、安全評価手続はどのように行われるか?

「データ国外移転安全評価方法」の規定によると、安全評価は以下の手順で行われる。 

(一)事前評価。データ処理者は国外にデータを提供する前に、まず、データ国外移転のリスクにについて、自己評価を行う必要がある。自己評価の過程において、データ処理者は国外の受信者とデータ国外移転に関連する契約又はその他の法的効力のある書類を締結する必要がある;

(二)評価申請。データ国外移転が安全評価情状に合致する場合には、データ処理者は所在地の省レベルのネット情報部門を通じて、国家ネット情報部門にデータの国外移転安全評価を申請しなければならない。申請する際には、以下の書類を提出する必要がある。 

1.申請書

2.データの国外移転リスクに関する自己評価レポート 

3.データ処理者が国外受信者と締結した法律文書

4.安全評価作業に必要なその他の資料

(三)評価実施。国家ネット情報部門は申請資料を受け取った日から 7 日以内に評価を受理するか否かを確定する。書面受理通知書の発行日から 45 日以内にデータ国外移転に関する安全評価を完了する。状況が複雑であったり、資料の補充、訂正が必要な場合には、適切に延長し、データ処理者に延長予定期間を通知する必要がある。 

(四)再評価と国外移転の終了。評価結果の有効期間が満了する又は有効期間内に「弁法」で規定している再評価を行う必要のある状況が発生した場合、データ処理者は、データ国外移転の安全評価を再申請しなければならない。既に評価を通過したデータの国外移転活働が実際の処理過程でデータ国外移転の安全管理要求を満たしていない場合には、国家ネット情報部門の書面通知を受けた後、データ処理者はデータの国外移転を終了しなければならない。データ処理者がデータ国外移転を継続して行う必要がある場合には、要求に応じて改善し、改善が完了した後に改めて評価を申請しなければならない。

安全評価結果の有効期間は 2 年間であり、評価結果の発布日より計算される。有効期間が満了し、引き続き、データ国外移転を行う必要がある場合には、データ処理者は有効期間が満了する 60 日前に再度、評価を申請しなければならない。

四、どのように「データ国外移転安全評価弁法」に対応すべきであろうか?

(1)自社のデータ国外移転状況を全面的に評価し、合理的な国外移転方式を選択する。筆者が先日、投稿した文書は、安全評価、標准契約、安全認証の 3 つの方式が、それぞれ異なるシナリオに対応していることについて説明した。それゆえ、企業はまず、自社のデータ国外移転状況について評価を行い、コンプライアンスを満たすことを前提として、最も効率的な方式を選択する必要がある。

(二)国外のデータ受信者に告知、協議する。国外主体の関連法律実践状況を理解し、国外主体に国内処理者のコンプライアンス要求に協力することを要求するだけでなく、関連システムとプロセスを改善し、最適化を図る。

(三)データ国外移転に関する契約を起草し、「弁法」第五条4に基づき、国外移転の安全評価を行い、自己評価レポートを作成する。

既に進行中のデータ国外移転に対し、安全評価を行う必要がある場合には、「弁法」に与えられた 6 ヶ月の猶予期間内に改善を済ませる必要がある。企業に残された時間には余裕があるとは言えず、ネット情報部門の評価尺度も、今後、引き続き観察する必要がある。