北京、上海などの地方主管機関、オンライン ブラック ジャック

中国政府は近年、データの域外移転に関する法整備を進めており、2021年に施行した「データセキュリティー法」と「個人オンライン ブラック ジャック保護法」では、重要データの域外移転と、一定の条件に当てはまる個人オンライン ブラック ジャックの域外移転に対する安全評価を義務化した（注1）。これを受け、国家インターネットオンライン ブラック ジャック弁公室は2022年7月7日、安全評価の適用範囲や手続きなどについて定めた「データ域外移転安全評価弁法」（弁法）を公布、9月1日に施行した（注2）。その後、同弁法の運用が注目されていたが、2023年に入って北京市や上海市などの主管機関が同評価の審査・合格状況を相次いで公表（注3）し、運用実態の一端が明らかとなった。

データ域外移転安全評価に実際に申告・合格した事例は現時点で少数

北京市インターネットオンライン ブラック ジャック弁公室の1月18日の発表によると、同弁公室は弁法施行から発表時点までに700件余りの電話での問い合わせに回答し、医療、金融、自動車、民間航空などの業種の16企業・団体に正式に申告を行うよう指導し、そのうち10企業・団体が形式審査に合格し、さらにそのうち2企業・団体がデータ域外移転安全評価に合格したと発表した。合格した2件のうち1件は、首都医科大学付属北京友誼病院とオランダのアムステルダム大学医学センターの共同研究プロジェクト（注4）、2件目は、中国国際航空の持ち株会社のプロジェクトと公表した。なお、同弁公室は、北京市でデータ域外移転活動を行っていながら、弁法の規定を満たしていないデータ取扱者は速やかに改善を行い、「データ域外移転安全評価申告ガイドライン」（注5）のフォーマットの仕様に厳格に従って申告資料を準備し、弁公室に速やかに提出するよう呼びかけた（注6）。

また、上海市インターネットオンライン ブラック ジャック弁公室は、弁法施行以来1月31日までに1,300件余りの電話での問い合わせに回答し、67件の申告資料を受理し、うち小売り、自動車、金融、医薬品などの業種の35件が形式審査に合格したほか、17件が現在形式審査中と明らかにした。このほか、同弁公室は審査に関する主な問い合わせに対する回答などをQ＆A形式で公表している。

現時点までの発表を見る限り、申告・合格事例は比較的少数にとどまっているものの、弁法では施行までに行われたデータの域外移転が弁法の規定に適合しない場合、施行日から6カ月以内（2月28日まで）に是正しなければならないとしていることから、今後は申告件数が増加するとも予測されている。

（注1）弁法第4条では、安全評価の申告が必要な状況について、以下のとおり定めている。

1. データ取扱者が重要データを域外に提供するとき。
2. 重要オンライン ブラック ジャックインフラ運営者や、100万人以上の個人オンライン ブラック ジャックを取扱っているデータ取扱者が個人オンライン ブラック ジャックを域外に提供するとき。
3. 前年の1月1日から累計で10万人以上の個人オンライン ブラック ジャックまたは1万人以上の機微な個人オンライン ブラック ジャックを域外に提供しているデータ取扱者が個人オンライン ブラック ジャックを域外に提供するとき。
4. 国家インターネットオンライン ブラック ジャック機関が定めるデータ域外移転安全評価の申告を必要とするその他の事由があるとき。

（注2）データの域外移転安全評価に関する詳細は、や、ジェトロ調査レポート「『データ域外移転安全評価弁法』に関する解説および実務対応(355KB)」を参照。

（注3）いずれも、それぞれの機関の公式ウィーチャットアカウントで発表されたもの。

（注4）同弁公室は、同案件が全国初の弁法に適合したデータの域外移転事例と紹介した。

（注5）同ガイドラインは、国家インターネットオンライン ブラック ジャック弁公室が弁法の施行に先立つ2022年8月31日に公表したもので、データの域外移転安全評価の申告に関する詳細や、申告書類（申告書、自己評価報告書など）のひな型を参照することができる。

（注6）北京市インターネットオンライン ブラック ジャック弁公室は、申告受理に関する問い合わせ用電話番号や、データの域外移転安全評価申告書、データの域外移転リスクに関する自己評価報告書のフォーマットを公開している。

（小宮昇平）