作者:金茂律师事务所 段洁琦 律师
はじめに
近年、中国ではデータセキュリティや個人情報保護に関する法律法規が徐々に整備され、その保護面においてますます強化されているため、外資系企業のそれに対する注目度も高まっています。特に最近では中国初の個人保護に関する法律として「個人情報保護法」が正式に公布され、かつ今年(2021年)の11月より施行されることとなります。
実務上、多くの外資系企業が現地の従業員を雇用していますが、運営管理のために従業員の個人データ情報を国外の親会社に移転することが少なくないようです。このような行為が個人情報保護関連の法令に抵触するかどうかは、外資系企業にとって大きな関心事です。本稿では、前述の問題のポイントを簡潔に説明いたします。
1. 個人情報の定義
個人情報の定義については、「個人情報保護法」4条1項に「個人情報は電子またはその他の方式により記録された、既に識別され、又は識別することができる自然人に関する情報であり、匿名処理された情報は含まれていない」と定められています。また、「サイバーセキュリティ法」76条、「民法典」1034条2項でも類似の規定を設けています。
司法実務では、裁判所は、個人情報に該当するか否かについての判断基準として、「識別の可能性要件」と「一定媒体のある要件」を満たすことであるとされています。例えば、北京地方裁判所の判決((2019)京0491民初6694号)では、「識別の可能性とは、当該情報が単独で、またはその他の情報と結びついて特定の自然人を識別することができる程度に達することであり、個人情報の中核的な要件である。識別の可能性の有無を精査するにあたって、個々の情報を機械的、切り離し的に判断することなく、具体的な状況に応じて、情報処理者が処理した関連情報を組み合わせて判断する必要がある。もし個々の情報を機械的に切り離して、個人情報の該当性を検討する場合に、個人情報の利用実態から離れることになるだけでなく、個人情報の保護を強化するという立法趣旨にも反する。特定の自然人を識別できる情報を既に収取した場合、その情報と他の情報の組み合わせによっても特定の自然人を識別できるとすると、この種の組合せ情報は個人情報に該当する。また、一定媒体のある要件を満たすとは、個人情報が電子または他の方式で記録されるべきからである。これは、個人情報の形式的な要件である」と判示しています。
さらに例を挙げますと、例えば、身分証明書番号だけでも特定の自然人を正確に識別することができるため、識別可能性要件が充足していますし、かつこの番号は身分証明書に記録されており、一定媒体のある要件も満たしています。したがって、これが個人情報に該当するには疑問がありません。また、自然人の氏名は社会個体として他人から区別し、社会生活の中で識別できる名称または記号でもあり、他人の氏名と重複しても、性別、生年月日、勤務先等の情報を結びつけることで、特定の自然人を識別することができます。なお、携帯電話番号は、電話管理部門が携帯に設定した番号であり、番号の実名制の実施と普及に伴い、携帯電話番号と特定の自然人との関連性がより密接になります。
2. 労働関係における従業員の個人情報の内容
使用者が採用時に従業員に個人情報を申請書に記入させることは通常の手続きです。その情報の内容には、氏名、身分証明書番号、性別、生年月日、学歴、職歴、住所、個人スキル等が一般的ですが、家族に関する情報が含まれる場合もあります。
そのため、外資系企業が従業員を採用する際に、従業員の家族情報を含む多種類の個人情報を収集しています。これらの情報の全部または一部を国外の親会社に送る場合、個人情報の移転に関する法規制が関わってきます。
実務上、従業員の氏名だけを編集して国外の親会社に送るのが個人情報移転に該当するかと、ある外資系企業のクライアント様からご質問を受けることがありました。この点について、自然人の氏名はそもそも条文上に個人情報として明記されていますし、当該従業員がこの企業で働いているといった情報に結び付ければ、特定の自然人を識別できる程度に達しているということができると思われます。
3. 従業員の同意の必要性
「労働契約法」8条の後段では、「使用者は、労働契約に直接関連のある労働者の基本状況を知る権利を有し、労働者は、事実のとおりに説明しなければならない」と定めています。すなわち、同条は、労働契約に関連する従業員の情報を知る権利を使用者に明確に与えています。
また、「民法典」1035条によると、個人情報を処理する際に、当該自然人の同意を得なければなりません。「個人情報保護法」17条によると、個人情報を処理する前に、目立つ方式で、かつ、明確で分かりやすい言葉で当該自然人に個人情報の処理の目的、方式等の内容を告知しなければならないとされています。したがって、使用者は適法に従業員の個人情報を取得することができますが、使用・処理の際に、従業員の承認を得なければなりません。そして、企業が従業員の個人情報を国外の親会社に移転することは個人情報の処理に該当し、企業がこれを行う前に、従業員の同意を得る必要があり、さもなければ、従業員から個人情報が侵害されると主張されるリスクがあります。
4. 従業員の個人情報を国外に移転できるか
(1)データ国外に移転に関する法規制
2021年9月1日に施行される「データセキュリティ法」ではデータの国外移転について厳格に規制されています。同法31条は、「重要情報インフラの運営者が中国領域内において運営する際に収集し、又は発生した重要データに関する国外移転の安全管理は、『サーバーセキュリティ法』が適用される。他のデータ処理者が中国領域内に運営する際に収集・生成した重要データの国外移転の安全に関わる管理方法について、国家インターネット・電信部門と国務院の関連部門と連携して制定される」と定めています。
「サイバーセキュリティ法」37条は「重要情報インフラの運営者は、中華人民共和国国内での運営において収集及び発生した個人情報及び重要データを、中華人民共和国国内で保存しなければならない。業務の必要により、確かに国外に提供する必要がある場合は、国家インターネット情報部門が国務院の関連部門と共に制定した規則に従って安全評価を行わなければならない。法律・行政法規に別途規定がある場合は、それに従う」と規定しています。
2017年の「個人情報及び重要データ国外移転に関する安全評価弁法(パブコメ)」7条によると、ネット運営者がデータを国外に移転する前に、原則として自ら安全評価を行われなければならない。また、50万人以上又は累計で50万人以上の個人情報を、若しくはデータ量が1000㎇を超える場合の国外移転等に限り、事業所管官庁または監督部門に報告し、安全評価を受ける必要があります(同弁法9条1項(一)号、(二)号)。その後、国家インターネット情報弁公室(網信弁)が2019年に公布した「個人情報輸出に関する安全評価弁法(パブコメ)」第3条では、前述2017年の評価弁法の規定内容を改めました。即ち、「個人情報を国外に移転する前に、ネット運営者は所在地の省級インターネット情報部門に個人情報の国外移転安全評価を申告しなければならず、別々の受領者に個人情報を提供する場合、それぞれ安全評価を申告しなければならない。また、同一の受領者に重複または連続で個人情報を提供する場合、複数の評価を行う必要はない。しかし2年ごとに、または個人情報の国外移転の目的、類型及び国外での保存時間に変化がある場合、改めて評価を行われなければならない」と定めています。すなわち、当初の個人情報の人数もしくはデータ容量に関する条件付評価は定期的で無条件の評価方式に変えられました。
(2)適用条件
「サイバーセキュリティ法」と二つの弁法は個人情報の国外移転行為を厳格に規定していますが、上記規定の適用は個人情報の国外移転主体がネット運営者であることを前提としています。「サイバーセキュリティ法」76条3項によると、ネットワーク運営者とは、ネットワークの所有者、管理者及びネットワークサービススプロバイダを指します。ネットワーク運営者に該当しない企業については、「データセキュリティ法」31条では「他のデータ処理者」に関する規定が適用されます。しかし、同条の適用は、国外に移転されたデータが重要データであることを前提としています。「個人情報及び重要データの国外移転に関する安全評価弁法(パブコメ)」17条によると、重要データとは、国家安全、経済発展及び社会公共利益と密接な関係のあるデータを指します。
したがって、外資系企業がネットワーク運営者に該当する場合、国外の親会社に従業員の個人情報を国外に移転する行為は「サイバーセキュリティ法」と「個人情報輸出に関する安全評価弁法」(正式に公布される場合)により規制されます。他のデータ処理者たる企業について、国外に移転された従業員の情報が重要データに該当しない限り、「データセキュリティ法」の規制を受ける必要がないかと思われています。
5. 対応策について
外資系企業は、従業員を採用する際に、会社が経営管理上必要な範囲で従業員の個人情報を関連会社に提供できることにし、かつ従業員がこれを同意する条項を、あらかじめ労働契約書に盛り込むことができます。 在職の従業員に対しては、労働契約の更新時にこれを入れ、または別途同意書を締結することができます。
国外に移転する個人情報は、可能な限り簡素化し、労働者の氏名、性別、職歴、学歴など、労働関係に直接関連する基本情報に限定すべきであります。また、異なる業界の異なるニーズに応じて、上記の基本情報以外の他の個人情報を必要最小限の範囲で収集し、国外に移転することができます。なお、情報を移転する前に、従業員の書面による同意を得なければなりません。
仮に外資系企業がネットワーク運営者である場合、「サイバーセキュリティ法」等の規定に従って、個人情報を国外に移転する前に、自ら安全評価を行い、国家インターネット情報部門の安全評価を受けるべきです。また、従業員の個人情報を処理する際に、国外の受領者への取扱いにつき中国の係る保護基準に満たされるために、関連契約を締結し、双方の権利義務を明記することをお薦めます。
終りに
データセキュリティ及び個人情報保護の分野における中国の法制度が徐々に整えつつあるにつれ、外資系企業はデータセキュリティの面においてより多くのコンプライアンス問題に直面することになるのですが、これらの問題の中には、従業員の個人情報の保護といった多くの企業に共通する課題はありますし、eコマース(電子商取)企業のネットワークのデータセキュリティといった業界特有の課題もあります。データセキュリティのリスクを減らすために、中国国内の外資系企業は、これに関するコンプライアンスを重視し、かかるコンプライアンス制度を構築しておくことが必要にとなります。
【執筆者】
弁護士 段潔琦
金茂律師事務所所属(2012年弁護士登録)。2010年に華東師範大学を卒業し法学修士学位を取得。2008年-2009年間に日本神戸大学に留学。2010年9月に当事務所入所。2012年に岩田合同法律事務所に短期研修。主に金融取引関連(ファイナンスリース、商業ファクタリング、デリバリー商品)、外商投資、会社法関連の分野に携わっている。
過去トピック(往期链接):
1.「中華人民共和国外商投資法」に伴う外資参入段階の基本的な方針について
(岩田合同法律事務所経由で配信)
https://www.iwatagodo.com/publications/uploads/file/201906_inttopic_jinmao.pdf
2.先物法(草案)におけるシングル・アグリーメント制度とネッティング制度の確立
https://mp.weixin.qq.com/s/L7pwpLRGV7_p86phKluJNg
3.データセキュリティー法の要点についての解説
https://mp.weixin.qq.com/s/UJyAxxdmzX5HoDg5gyeBgA