中国は6月初旬、国境を越えた個人情報の移転に関する標準契約に関する規制を正式に施行し、データ処理業者(100万人未満のデータを処理する企業を含む)は移転前に海外の受取人と契約を結ぶことが義務付けられた。
新たな規則は、国家安全保障の名の下に国内データの管理を強化しようとする北京の取り組みの一環だ。
現在、データプライバシー管理に関する国のトップの法的枠組みは、サイバーセキュリティ法、データプライバシー法、個人情報保護法の 3 つの法律で構成されています。
これを受けて、中央政府は個人データ輸出管理制度を整備しました。標準契約における措置に加え、企業に対し、国家インターネット監督機関へのセキュリティ評価登録、または所管官庁への個人情報保護認証の申請を義務付ける規定も含まれています。
対外経済貿易大学のデジタル経済と法律革新研究センター所長の徐克氏は、規制当局はデータセキュリティの強化とデータ主導の経済成長の促進のバランスを取るのに苦労していると述べた。
企業数が多いが承認率は低い
9月1日に発効した国境を越えたデータ移転に関するセキュリティ評価措置により、100万人を超える個人データを処理する企業は、データを海外に移転する場合、セキュリティ評価を受けなければならない。
企業は、セキュリティ自己評価レポートを地元のネットワーク規制当局と中国サイバースペース管理局(CAC)に提出し、2回の審査を受ける必要がある。
現在、データの海外への転送は、転送者が受信者と契約を締結し、転送されるデータが管轄当局のセキュリティ テストに合格したことを提出した場合には合法とみなされます。
この措置は9月に施行されたが、対象企業の数が多く、セキュリティ報告書を評価する人材が不足しているため、実施が困難となっている。
4月末までに上海のサイバースペース管理局は400件以上の評価報告書を受け取ったが、そのうちCACに承認されたのはわずか0.5%だった。
状況は他地域でも同様だ。財新の情報筋によると、全国で当局は1,000件以上のデータ海外移転申請を受けており、そのうち2回の審査を通過したのは10件にも満たないという。
国家レベルでは、セキュリティ報告書の審査と承認の作業の大部分は、合計約 100 人のスタッフを擁する CNCERT/CC サイバーセキュリティ技術センターによって行われています。
「曖昧な」基準
人員の制約に加え、評価基準が明確でないことが承認プロセスを遅らせており、必要なデータ転送がなぜ必要なのかについて規制当局と企業の間で意見の相違が生じている。
たとえば、申請者は、処理のためにデータを外国の当事者に転送することが合法、合理的かつ必要である理由を説明する必要がありますが、それ以上のガイダンスは提供されていません。
徐克氏は、「オールインワン」のメカニズムを適用すると、国家安全保障上の懸念を引き起こすレベルが異なるため、特定の産業や分野に過度な制限がかかり、データの自由な流れが妨げられる可能性があると警告した。
上海交通大学データ法研究センターの何元エグゼクティブディレクターは、従業員数が100万人未満の企業も6月から標準契約に署名する必要があるため、地方規制当局の作業量が大幅に増加する可能性があると指摘した。
中国当局は2023年以降、企業がデータ移転ルールを理解できるよう指導するなど、広報活動を強化している。
しかし、高いコンプライアンスコスト、海外の受取人とのコミュニケーションの難しさ、規制の不確実性などは、北京が企業のために解決できていない要因の一部である。
高い
トラブルを避けるため、企業はセキュリティ評価レポートの提出に関して第三者機関に相談する傾向があります。
しかし、これらのコンサルティング会社が請求するサービス料金は数億元にまで達することがあり、中小企業にとっては不利な状況となります。また、サービスの質も会社によってばらつきがあります。
コンサルタントの支援を受けても、多くの企業は依然として承認を得るのに苦労している。上海に拠点を置く法律事務所、サン・アンド・ヤング・パートナーズのパートナー、チャン・ヤオ氏は、初回申請の多くは規制要件を完全に満たしていないと指摘する。
規制当局は、どのようなデータを海外に転送する必要があるか、どのシステムを介して、誰に転送するか、セキュリティリスクがあるかどうかなど、中核的な問題に関する要件を明確化しているが、「これらの問題を整理するには、企業側に多大なコストと労力がかかります」。
また、多国籍企業の場合、たとえ個人データを海外に送ることに成功したとしても、その後の使用に際しては継続的なコンプライアンス投資が必要となると、北京のZhong Lun Law FirmのパートナーであるChen Jihong氏は述べた。
さらに、データ移転者は海外の受領者に関する情報を報告書に提出する必要があるが、これを積極的に共有する企業はほとんどない。例えば、巨大企業マイクロソフトは、中国のデータセキュリティ評価要請に対し「非協力的」であると公言している。
(日経アジアによると)
[広告2]
ソース
![[写真] 第1回世界文化祭でユニークな体験を発見](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/11/1760198064937_le-hoi-van-hoa-4199-3623-jpg.webp)
![[写真] 朝鮮労働党創立80周年記念パレードに書記長が出席](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/11/1760150039564_vna-potal-tong-bi-thu-du-le-duyet-binh-ky-niem-80-nam-thanh-lap-dang-lao-dong-trieu-tien-8331994-jpg.webp)
コメント (0)