中国における個人情報の越境移転

2021年11月1日に施行された中国の個人情報保護法によれば、個人情報を中国国内から中国国外に移転（越境移転）する場合、①国のネット情報部門による安全評価を通過すること、②専門機関による個人情報保護認証を取得すること、③移転当事者間で「標準契約」を締結すること（以下「越境移転手続」と総称）のうちいずれかを実施して行う必要があるとされています。

2022年以降、関連する法令やガイドラインが相次いで発布され、中国に関連会社を有する日本企業においても対応が迫られていたところ、国家インターネット情報弁公室は2023年9月に突如「越境データ流通促進及び規範化規定」のパブリックコメント草案を公表。当該草案の内容は越境移転手続が義務付けられる対象を大きく縮小するものであったことから動向が注目されていました。

2024年3月22日に正式に公布（即日施行）された「越境データ流通促進及び規範化規定」（和訳：240325-1-2.pdf (city-yuwa.com)）によれば、個人情報の越境移転に関し、「越境移転手続」の対象又は免除となるケースを以下のとおり定めています。

（1）いずれの越境移転手続も行う必要がない場合　

a. 越境購買、クロスボーダー宅配、クロスボーダー送金、クロスボーダー決済、クロスボーダー口座開設、航空券及びホテル予約、査証手続、受験サービス等の、個人を一方の当事者とした契約を締結及び履行するために、個人情報を国外に提供する必要が確かにあるとき。
b. 労働規則制度及び集団契約に基づくクロスボーダーでの人的資源管理を行う場合において、従業員の個人情報を国外に提供する必要が確かにあるとき。
c. 緊急事態において自然人の生命・健康及び財産の安全を保護するために、個人情報を国外に提供する必要が確かにあるとき。
d. 重要な情報インフラの運営者以外のデータ処理者が、その年の1月1日から累計で10万人分に満たない個人情報（機微な個人情報を含まない）を国外に提供するとき。

（2）ネット情報部門による安全評価（上記①の手続）を要する場合

a. 重要な情報インフラの運営者が個人情報又は重要データを国外に提供するとき。
b. 重要な情報インフラの運営者以外のデータ処理者が、重要データを国外に提供し、又はその年の1月1日から累計で、100万人分以上の個人情報（機微な個人情報を含まない）若しくは1万人分以上の機微な個人情報を国外に提供するとき。
（※上記に該当する場合でも（1）に該当する場合は越境移転手続不要）

（3）専門機関による個人情報保護認証（上記②の手続）又は所定のフォーマットによる標準契約の制定（上記③の手続）のいずれかを行うことを要する場合

・重要な情報インフラの運営者以外のデータ処理者がその年の1月1日から累計で10万人分以上かつ100万人分未満の個人情報（機微な個人情報を含まない）又は1万人分未満の機微な個人情報を国外に提供する場合

以上により、例えば下記のようなケースでは、中国で取得した個人情報を日本に送る場合でも、上記①～③の越境移転手続をいずれも行う必要がないということになります。

ア．日本企業の中国現地法人が就業規則に基づいて人事評価上の情報共有の必要性から日本本社に従業員の個人情報を送付するケース
イ．重要な情報インフラの運営者に該当しない日本企業の中国現地法人が顧客名簿（2000名程度の担当者氏名と連絡先などが含まれるが機微な個人情報を含まない。また、その年の1月1日から送信した個人情報を累計しても10万人分に満たない）を日本本社に送付するケース

但し、越境移転手続が不要となる場合においても、個人情報保護法に基づく本人に対する告知や個別の同意取得、個人情報保護影響評価等を行うことは必要となりますので注意が必要です。