知財・法律
トップ  > コラム&リポート 知財・法律 >  File No.24-11

【24-11】中国の相次ぐ「データ管理強化」、留意すべき点は?

松田侑奈(JSTアジア・太平洋総合研究センター フェロー) 2024年10月15日

 米中対立等の影響により、ここ数年、中国政府によるデータ管理は日々強化されている。「データ三法」と言われる「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」の制定をはじめ、関連規定や国家標準も次々と公布されている。

 2024年9月30日、中国政府は、「ネットワークデータ安全管理条例」(以下「条例」)を2025年1月1日より施行することを発表した。

 生成AIも規制対象に加わり、今まで以上に 「国家安全」が強調 されているのが最大の特徴である。例えば、データ処理者(研究機関や企業)などは国家標準に適応することが義務化され、データ漏洩などで国家安全に危害が及んだ場合は、 24時間以内に当局に報告 しなければならないとしている。また、生成AIに関連するサービスを提供する企業は、データ処理などの社内教育を強化しなければならず、データセキュリティのリスクに備えた措置を講じるべきだとした。

 本稿では、条例の主な内容と、今後の研究開発やビジネスの展開において日本が留意すべきポイントを解説する。

1.ネットワークデータとは

 条例第62条においてネットワークデータは、 ネットワーク処理を通じて生じたあらゆる電子データ と定義している。ネットワーク処理とは、データの収集、保存、使用、加工、転送、提供、開示、削除等の一連の活動を指している。中国国外および香港・マカオで処理を行う場合も、その処理の対象が中国国内(香港・マカオを除く、以下同)の個人である場合、つまり、中国国内の個人に向けて商品やサービスを提供したり、その個人の行為に対して分析や評価を行う場合と同様、規制の対象となる。

2.主な内容

① 個人情報について

 本条例は、ネットワークデータ処理者が個人情報を取り扱う際のルールをさらに明確化し、告知義務の形式、内容等を定めている。データに関わる主体、すなわち個人の権利を明確化するとともに、個人情報の移転条件も具体的に提示した。個人情報保護法第53条の規定を具体化し、中国国外で国内の個人情報を処理する場合は、国内に専門機関(拠点)を設立するか、代表を指定しなければならず、住所・氏名・連絡先を担当の政府部署に届け出る義務があると定めた。

② 重要データの安全について

 重要データとは、一定の規模や精度をもつ特定の分野・地域・人々に関する情報で、修正や破壊、違法収集、利用されると、国家の安全、経済の運営、社会の安定、公共の健康・安全に直接的な危害を及ぼす可能性のあるデータを指す。データセキュリティ法では、重要データや核心データといったワードが登場するが、分類別のセキュリティレベルは不明瞭な部分があった。今回の条例では、データを取り扱う機関が重要データの目録を作成し、政府部門に届け出る義務を定めたほか、重要データの安全を守る責任者の指定とネットワークデータ安全管理機関の設立が求められている。

 条例第31条は、データ処理の前に行うリスク評価に際して 重点的にチェックすべき項目 を定めている。

● ネットワークデータの提供、処理委託、共同処理、ネットワークデータの受領者による処理の目的、方法、範囲が合法的、正当かつ必要であるかどうか。

● 提供、処理委託、共同処理されたネットワークデータの改ざん、破壊、漏洩、違法取得、違法利用のリスク、および国家安全保障、公共の利益、個人または組織の正当な権利および利益に対するリスク。

● ネットワークデータの受領者の誠実性および遵法性。

● ネットワークデータ受領者との間で締結された、または締結予定の関連契約におけるネットワークデータセキュリティの要件が、ネットワークデータ受領者にネットワークデータセキュリティ保護の義務を履行させる上で効果的でかつ拘束力を有するかどうか。

● 実施された、または実施予定の技術的および管理上の措置が、ネットワークデータの改ざん、破壊、漏洩、またはネットワークデータへの不正アクセスや不正利用などのリスクを効果的に防止できるかどうか。

● 関連機関が定めるその他の評価内容

➂ ネットワークデータの国外移転について

 データの国外移転における注意点や禁止事項を定めた従来の法令とは異なり、条例第35条では、 データ処理者が海外に向けて個人情報を提供できる場合 を明確に提示している。

● 国家サイバー空間管理部門が実施するデータ輸出安全評価に合格した場合。

● 国家サイバー空間管理部門の規定に基づき、専門機関から個人情報保護認証を取得している場合。

● 国家サイバー空間管理部門が制定した個人情報の輸出に関する標準契約の規定に依拠している場合。

● 個人情報の海外提供が、本人が当事者である契約の締結または履行に必要な場合。

● 合法的に制定された労働規則・規定、および合法的に締結された労働協約に従って、従業員の個人情報を海外に提供する必要がある場合。

● 法定または法的義務を履行するために、個人情報を海外に提供する必要がある場合。

● 緊急事態において、自然人の生命、健康、財産を保護するために、個人情報を海外に提供する必要がある場合。

● その他、法律、行政法規、または国家サイバー空間管理部門が規定する場合。

 また、中国が締結または参加している国際条約や協定に従って、個人情報を海外に提供することが可能であり、また、関連政府部門や地域から重要データとして公表されていないものは、重要データとして届け出る必要がないとした。データ処理者が海外にデータを提供できるものは、安全評価に合格した場合に限られ、また、その提供が安全評価の時とタイムラグがあるとしても、その安全評価の際の目的、方法、範囲、種類を超えてはならないとした。

④ ネットワークプラットフォーム提供者への義務付けについて

 条例では、ネットワークプラットフォームに関する内容が一つの章を占めるほど重視されており、ネットワークプラットフォームが消費者に向けて、自動化された意思決定により情報を送信する場合には、理解・アクセス・操作しやすい方法であるべきとした。パーソナライズされたおすすめ(商品や情報、サービス)を無効にするオプションを提供する必要があり、利用者がプッシュ通知の受信拒否や、個人特性をターゲットにしたユーザータグを削除できる機能を提供しなければならないとした。

 プラットフォーム運営にあたり、ユーザー登録は、本人確認ができる方法が望ましく、身分証明書(日本のマイナンバーカードに相当)を活用した登録方法を推薦している。この規定については、個人情報やネット統制の強化を懸念する声もあるが、多くのプラットフォームが混在しているなか、データ保護義務を果たしていない企業も多く、ネットワークデータが濫用している状況を改善するためには、必要な措置であるとの見解が主流である。条例によると、大手プラットフォームは、毎年個人情報保護について、社会責任報告義務書を発表する義務を負うほか、運営を通じて得たデータやアルゴリズムをユーザー差別(例えば、ユーザーの購買力や利用頻度により、同じ商品でもユーザーによって異なる金額で表示されること)等の形で不正利用することが厳しく規制される。

3.留意すべき点は?

 まず大前提として、中国から見て海外でのデータ処理活動である場合、規制の対象となりうること、また、中国の国家安全を脅かす場合は法的責任を追及されることを理解する必要がある。

① ルールの認識が必要

 条例により、政府部門のみならず、企業等の民間のデータ取扱者も重要データの識別及びリストの制定に参加することが求められており、かつ政府部門への届出の義務も追加されたため、ビジネス展開においては、各省庁の重要データ目録や関連規定を確認の上、重要データの取り扱いルールを十分に認識する必要がある。

② 中国国内での拠点は不可欠

 海外にデータを提供できるケースの提示や、「中国が締結または参加している国際条約や協定に従って、個人情報を海外に提供することが可能である」、「関連政府部門や地域から重要データとして公表されていないものは、重要データとして届け出る必要がない」等の規定は、研究開発部門における情報の国際流通や国際共同研究のハードルを下げようとの意思が伺える。

 一方、海外の研究機関や企業が中国国内の個人データを扱う場合、中国国内に拠点を作ることが求められている点は、中国に拠点を持たない企業や研究機関には大きな負担となり得る。

 また、データの海外転送においては、当該条例のみならず、上位法令である「データ三法」のルールも合わせて検討する必要がある。即ち、データ取扱者は、業務等の必要により中国国外にデータを提供する場合には、下記の要件を満たす必要がある。

①中国のネットワーク情報部門が行うデータ国外移転安全評価に合格すること

②データ取扱者とデータ受領者がいずれも中国のネットワーク情報部門により認定された専門機構が行う個人情報保護認証に合格すること

③中国のネットワーク情報部門が制定する標準契約に従い国外のデータ受領者と契約を締結し、双方の権利及び義務を約定すること

④法律、行政法規または中国のネットワーク情報部門が定めるその他のいずれかの要件を満たす必要があること。

➂ データ処理者の義務増加

 データ三法の制定以来、関連規則はここ5年間で10件以上制定されており、確認すべき事項が日々増えている。今までは、インターネット上のプライバシーポリシーの雛形等を参照する企業も多くあったが、条例の制定等でルールが細かくなったため、自社の状況をきちんと分析した上で、適切なプライバシーポリシーを制定する必要がある。

 条例の施行により、データ処理者の届出義務、報告義務が新設されるため、従業員に対する教育の徹底が必要となる。また、データ域外移転安全評価、リスク評価に対する規定が更に明確化されたため、重点的に確認すべき項目には留意する必要がある。

「総体国家安全観」により、データ管理を強化している中国であるが、ルールが明確になったことやデータ処理者が海外に個人情報を提供できるケースが示されたことで、一定の基準に満たせば(そのハードルさえ超えれば)、規制対象から外れるという面もある。そのため、中国との研究開発やビジネスに関わる機関は、条例の内容をよく理解し、活用していくことも求められる。

参考文献

関連記事

2024年10月03日 北京便り「中国、「ネットワークデータ安全管理条例」を来年施行

 

上へ戻る