TMIプライバシー＆セキュリティニュース７月号より

　データの利活用などの際に気を付けなければならない個人情報保護法。現在ではグローバルにビジネスを展開している企業も多く、海外の個人情報保護法令にも注意が必要です。今回は、2022年7月時点での中国個人情報保護法の現状について、大井哲也先生に解説してもらいました。

　はじめに

　GDPR以外にも世界各国の個人情報保護法対応は、TMIプライバシー＆セキュリティコンサルティングおよびTMI総合法律事務所の主力サービスメニューの1つです。この分野は、法改正や新しい法律が次々に成立しており、その1つが中国個人情報保護法です。

　中国個人情報保護法上のSCC（＝標準契約）の現在

　中国個人情報保護法は既に施行済みですが、日本の規則やガイドラインに相当する下位規則が出揃っていません。既にリリースはされていますが、パブリックコメントに付されたまま、確定前といったものもありますし、そもそもリリースがされていない状況の下位規則もあります。

　中国個人情報保護法はGDPRに似た法令の形を取っておりまして、中国から国外に個人データを移転する場合には越境移転規制が課されます。GDPRの場合は、SCC（standard contractual clauses＝標準契約条項）を個人データの提供元であるEU所在企業と提供先である日本所在企業およびEU域外の海外企業などの間で結びます。これによりEU域内から国外（この場合日本やEU域外）に個人データを持ち出すことまたはEU域外から閲覧することが可能になります。

　中国の個人情報保護法も同じように標準契約を作り、中国企業と中国国外（日本など）の企業の間でデータ提供契約である標準契約を結べば、中国から中国国外への個人データの移転が可能になるという規制のクリアランス手法になっています。

　ところが、中国個人情報保護法でこのように越境移転規制とそのクリアランス手法が決まっていながら肝心の「中国版標準契約」がまだ出てないのです。法律で個人データの国外移転に規制をかけている。そして規制をクリアするためには標準契約を結ぶように規定されているのに標準契約そのものが制定されて無いので、規制がかかったまま、クリアできない状態になっています。つまり、中国の個人情報を日本に持ってくるための標準契約のクリアランス手段が無いわけです。　

　このたび（2022年7月時点）中国の標準契約案がリリースされましたので、我々としては標準契約案を使って中国から日本への個人データ移転のクリアランスの支援をしている状況です。しかし、こちらも正式発効版ではありません。最終確定版を待つ必要はありますが、この過渡的な仮の標準契約を使って中国から日本への個人情報の越境移転を適法化する取り組みをしています。

　中国個人情報保護法についての越境移転規制の現状は、これまで解説してきたとおりですが、今後動きがありましたら、動画、コラムの両面で情報をアップデートしていく予定です。