企業データの国外持ち出しが許可制に

シェアする

中国のネット当局が、国内に展開する外資企業が保有する企業データの移動制限を検討している。まだ意見募集中としているが、民族系含む企業のデータ持ち出しに一石を投じるかもしれない。

対象は国内で展開する企業

今回の規制案は『个人信息和重要数据出境安全评估办法』というもの。翻訳しづらいが、個人情報および重要データ持ち出し評価基準案といったところか。

本規制案の根拠となるのは『中华人民共和国国家安全法(国家安全法)』と『中华人民共和国网络安全法(別名:サイバーセキュリティ法)』。それぞれの法律については、別の記事で取り上げているので参考にしてほしい。

中华人民共和国国家安全法:中国当局がネット抑圧強化を決定

中华人民共和国网络安全法:サイバーセキュリティ法案を公表

この法案の目的は、中国で収集された個人情報の保護を目的としている。対象となる対象やデータは、やや曖昧な書き方がされている。

网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估

素直に読むと”中国人民共和国でネット運営者”が収集または作成した個人情報および重要データとなっている。ただ、中国国内でネット(サイト)の開設・運営が許可制となっているので、”中国国内に法人格を持っている企業でネット上で個人情報などを取り扱う企業”であれば、ネット専業企業でなくても該当しそうである。サイトやサービスではなく、ネットと単に規定しているので、淘宝網上で運営している店舗なども対象になるのではないだろうか。

日本でこういう法律が検討されると、海外にいる企業をどう考えるかが論点になる。この点、中国では国外から中国国内に提供するサービスを法律で規制している(違法またはグレーゾーン)のに加えて、金盾があるので対象外となるのだろう。

対象となるデータ

今回の対象となるデータは”個人情報”である。個人情報を保持している組織体は、それを国外に持ち出そうとする場合は、その個人情報主体(個人や組織であれば代表者など)に対して持ち出す目的、範囲、内容および移動先の国家(や地域)を説明し、同意を取ることと規定している。

また、一定の条件にあるデータを持ち出す場合は、関係機関への報告を義務付けている。その一定の条件とは以下のものだ。

(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。

それぞれ意訳すると以下のとおりである。

  1. のべ50万人以上の個人情報の場合
  2. 1TBを超えるデータの場合
  3. 核施設、科学生物、国防軍事、人口・健康など分野データ、大型プロジェクト、海洋地理や係争地域に掛かるデータなどを含む場合
  4. 鍵情報などシステムの抜け穴やセキュリティ対策などネットセキュリティに掛かるデータを含む場合
  5. 重要施設運営主体が国外に個人情報および重要情報を提供する場合
  6. その他国家および社会の公益に影響するものや主管機関が注意に値する場合

6番目玉虫色であることを除けば、日本でも法律の整備と施行したほうがいいような内容だ。法案の末に2017年某月某日施行と記載があるので、今年の政治イベント前に成立・施行される可能性が高そうである。この法律も最近の法案・法律同様に、通報権利を規定している。罰則が根拠法によるとなっているので、極端な話をすると勝手に持ち出そうとして死刑!というのもありえそうだ。

国内で活動する日系企業でのべ50万人を超えるデータを保有してそうなのは、B2Cで自社製品の販売などをしているところくらいだとは思うが、いずれにしてもこれら企業活動で得たデータを海外に無断で持っていくと処罰対象となるので、ご注意を。