中国における個人情報の越境移転

個人情報を中国国内から中国国外に移転（越境移転）する場合、（1）国のネット情報部門による安全評価を通過すること、（2）専門機関による個人情報保護認証を取得すること、（3）移転当事者間で「標準契約」することのうちいずれかを実施して行う必要がある。2023年に入って関連する法令やガイドラインが相次いで発布され、違反がある場合は処罰の対象となりうることから、中国に関連会社を有する日本企業においても対応が急務となっている。

「重要情報インフラ」の運営者、一定規模以上の個人情報を処理する事業者（100万人以上の個人情報を処理する事業者等）が個人情報を越境移転する場合は上記のうち（1）による必要があるが、それ以外の事業者の場合は（2）か（3）のいずれかを選択することができる（専門機関への認証委託を行う必要のある（2）よりも当事者間の契約締結とその届出により完結する（3）が選択されるケースが多いものと思われる）。

なお、2023年9月28日に「国家インターネット情報弁公室」が公表した「データの越境流動の規範化及び促進規定」の意見募集稿（パブコメ草案）によれば、就業規則や労働協約に基づき人事管理を実施するにあたり従業員の個人情報を国外に提供する必要がある場合や、1年間の個人情報の国外提供が1万人に満たないと予想される事業者の場合は上記（1）～（3）の手続きを省略できること等が定められており、当該規定が正式に施行されれば多くの日系企業でこれらの手続きを省略できる可能性があることから制定動向が注目されている。