個人情報出国基準契約方法と届出ガイドラインの解読

2023 06/27

2023年6月1日に『個人情報出国標準契約方法』(以下『方法』と略称する)が正式に発効して実施される。2023年5月30日、国家網信弁公室は「個人情報出国基準契約届出ガイドライン(第1版)」(以下「ガイドライン」と略称)を発表した。「方法」と「ガイドライン」は、個人情報処理者が標準契約を締結することによって海外に個人情報を提供するための明確なガイドラインを提供している。


現在、個人情報処理者が海外に個人情報を提供するには、(1)国家網信部門が組織した安全評価、(2)専門機関による個人情報保護認証、(3)国家網信部門が制定した標準契約に基づいて受信者と契約を締結する。3種類の個人情報の出国経路には異なる適用条件があり、標準契約を締結することによって海外に個人情報を提供するには、同時に「主体+数量」の条件、すなわち個人情報処理者の非重要情報インフラ運営者に合致しなければならず、個人情報の処理は100万人未満で、前年1月1日から累計で海外に個人情報を提供するのは10万人未満で、前年1月1日から累計で海外に敏感な個人情報を提供するのは1万人未満である。同時に数量分割などの手段を講じてはならず、法に基づいて出国安全評価を通過すべき個人情報を標準契約を締結する方式で国外に提供してはならないことに注意しなければならない。


「方法」及び「ガイドライン」の規定に基づき、個人情報処理者が標準契約を締結することにより海外に個人情報を提供する場合、まず「主体+数量」の条件に基づいて当該出国経路を適用できるかどうかを判断しなければならない。次に、個人情報保護影響評価を展開し、リスク源識別と安全事件の発生可能性評価、個人権益影響分析と影響程度判定、個人情報保護リスク総合評価を含み、最終的に出国活動影響評価の結論を得て、個人情報保護影響評価報告書を形成する、再び、ネット情報部門が制定した標準契約に厳格に従い、国外の受信者と契約を締結する、最後に、標準契約が発効した日から10日以内に、標準契約と個人情報保護影響評価報告書をインターネット通信部門に報告し、登録が通過した後に個人情報の出国活動を実施する。


ガイドラインは、届出の2つの結果を規定しています。これは、形式審査のほか、規制当局が標準契約と個人情報保護影響評価報告書を実質的に審査する可能性があることを意味します。個人情報処理者はできるだけ「フライング行為」を避け、標準契約が発効し、届出が通過した後に個人情報の出国活動を展開しなければならない。「方法」が発効する前にすでに展開されていた個人情報の出国活動は、「方法」の規定に合致しない場合、2023年12月31日までに改善を完了しなければならない。「個人情報保護法」に規定された各義務を適切に履行していないため、個人情報保護事件が発生したり、監督管理部門が関連個人情報の出国活動に大きなリスクがあると考えている場合、企業は関連部門に約束される可能性があるほか、「個人情報保護法」などの法律法規に規定された各責任を負う必要がある。