『個人情報越境移転標準契約屆出ガイドライン(第一版)』
概 要
國家インターネット情報弁公室は5月30日、『個人情報越境移転標準契約屆出ガイドライン(第一版)』(以下、「ガイドライン」)を公布した。
個人情報の取扱者による個人情報越境移転標準契約の規範的で、秩序立った屆出を導き、寄與するため、國家インターネット情報弁公室は本ガイドラインを制定。個人情報越境移転標準契約の屆出方法、フロー、資料などの具體的な要求に対して説明を行い、6月1日から実施している『個人情報越境移転標準契約弁法』の具體的な実施に対して指針を提供した。
國外に個人情報データを提供する必要がある企業は、まずガイドラインの対象に含まれるか否かを自主的に検査しなければならない。これには、次の4つの條件を同時に満たさなければならない。(1)重要情報インフラ運営者ではない。(2)個人情報の取り扱いが100萬人未満。(3)國外に提供した個人情報が、前年1月1日から累計で10萬人未満。(4)國外に提供したセンシティブ個人情報が、前年1月1日から累計で1萬人未満。上述のいずれか一つでも條件を満たすことができない場合、2022年9月1日から実施されている『データ越境移転安全評価弁法』の要求に基づき、所在地の省級インターネット情報部門を通じて國家インターネット情報部門にデータ越境移転安全評価を申請しなければならない。
企業はガイドラインの要求に基づき標準契約の屆出を行う際、「書面資料ならびに資料の電子版を付帯する方式」により、省級インターネット情報弁公室に標準契約書、身分証明書、個人情報保護影響評価報告書等の原本を屆出なければならない。これらの書類は、個人情報取扱者が一部を保存、屆出へ一部を提出、そして國外の受け取り側が一部の、1セット3部を保証しなければならない。
今回のガイドライン公布に伴う個人情報保護影響評価報告書のテンプレートと、これ以前のデータ越境移転リスク自己評価報告書のテンプレートは基本的に似通っており、企業はデータ越境移転リスク自己評価報告書のテンプレートにならって記入?申告を行うことができるが、次の3つの差異に注意しなければならない。
1. 評価作業の概要において、第三者機関の評価への関與狀況を明確にする必要がある。
2. 越境移転活動の全體的な狀況において、第三者に個人情報を提供するか否か、標準契約條項の実施を如何に確保するか、個人情報保護の要求を如何に満たすかなどを明確にする必要があり、企業は業務の具體的な場面、データ移動の方向や各主體間の関係を詳細に説明し、実務経験を踏まえて個人情報使用の正當性、適法性および個人情報保護の妥當性の論証を行うことができる。
3. 越境移転活動の影響評価狀況は、個人情報の権益のみに焦點を當てなければならず、國家の安全、公共利益への影響を評価する必要はない。
また、企業は標準契約の発効日から10営業日以內に所在地の省級インターネット情報部門に屆出することに注意するほか、ガイドラインが規定する屆出のやり直しが必要な狀況にも注意しなければならない。最も一般的な標準契約の補充あるいは再締結のほか、企業は常に國外の法律法規、個人情報保護政策、また企業內部の個人情報の処理方式、用途および使用期間にも関心を持たなければならず、変更が個人情報の権益に影響を及ぼす場合、インターネット情報部門に改めて屆出を行う必要がある。
