中国 － 個人情報の域外移転に関する規制の整備

2021年11月1日、中国個人情報保護法（Personal Information Protection Law of China）（以下「PIPL」）が施行され、個人情報を中国国外に移転する場合（以下「域外移転」）の要件が明らかにされた。特に、PIPL上、個人情報の域外移転の際には、(i) サイバー空間管理局（Cyberspace Administration of China ）（以下「CAC」）によるセキュリティ評価を受けること、(ii)個人情報の保護について、CACの規則に従って、専門組織からの認証を取得すること、(iii) 両当事者の権利及び義務を規定する、CACにより規定された標準契約条項をもとにした契約を海外の受領者との間で締結すること、(iv)その他の法令や規則、CACが定めた規則に規定された要件を満たすことの4つの措置のうち、いずれかの措置をとることが必要とされている。

これらの措置のうち、CACによるセキュリティ評価について、2022年7月7日に、データの国外移転のためのセキュリティ評価の方法の規則に関する最終案（以下「セキュリティ評価規則」）が公表され、同年9月1日に施行された。事業者には、セキュリティ評価規則を遵守するため、6か月間の猶予期間が与えられている。

また、標準契約条項に関しては、2022年6月30日、CACが、個人情報の国際移転に関する標準契約に関する規制のドラフト（以下「SCC規制案」）及び標準契約条項案（以下「中国版SCC」）を公表し、パブリックコメントに付した。当該パブリックコメントの期間は同年7月29日に終了し、現在、CACによる最終化が進められている。

その他、個人情報の国際的処理のセキュリティ認証に関する技術仕様（以下「認証仕様」。なお、当該仕様は、法令としての効力を有さない）についても公表がされている。これらの規制の公表により、PIPLの公布から1年間の間で、PIPLに従った個人情報の域外移転に関する法的メカニズムの詳細一式が公表されたことになった。

本クライアントアラートでは、上記のうち、セキュリティ評価規則並びに中国版SCC及びSCC規制案を概説する。