中国に進出した外資系企業にとって、海外の関連会社に人的資源管理データ（以下、「HRデータ」という）を提供するのは切実なニーズだと思われる。したがって、多くの外資系企業や海外の関連会社はHRデータ越境ルートや最近のHRデータの越境に関する政策・法律に関心を寄せている。

国務院と綱信弁は、データ越境に関する外資系企業の合理的なニーズを満たすために、データ越境の利便性を高めるための一連の政策を策定した。その一環として、今年3月22日に「データの越境流動規範と促進規定」（以下、「促進規定」という）が公布された。これらの政策の注目点として、外資系企業と本社のデータ交換に支持することが挙げられる。HRデータ越境のニーズに応えたうえで、立法の面でHRデータの越境申告免除を明確化した。

しかしながら、立法と管理監督の視点から見れば、企業にとって、越境申告を免除されても関連のコンプライアンス義務を厳守する必要がある。現在の立法や管理監督下、中国に進出した外資系企業はHRデータ越境のシナリオでのdata flowとdata mappingをどのように展開すればいいのか？越境申告を免除された現在、外資系企業はどのようなコンプライアンス義務を厳守しなければならないのか？業界の実務はどうでしょうか？今回は関連法律や実務を踏まえて下記の通りにまとめた。

まず、企業は、企業の人事システムとデータ資源が「促進規定」を含めた法律規定に抵触しないことを確認するためには、HRシナリオでのデータ越境状況について整理を行う必要がある。すでに整理を行った場合は「促進規定」の要求に従って再度整理する必要がある。関連の整理報告書は下記の内容を含まなければならない。

−     サブ・シナリオ：処理目的に基づいてサブ・シナリオを決めている。ここでいう処理目的は求人、労働契約書作成、給料&ボーナス、社員持ち株制度、従業員能力評価、出勤、行政管理、出張管理、保険管理、家族ケア、会社セキュリティ管理、内部コンプライアンス調査などが挙げられる。すなわち、業界や企業の実態に基づいてデータ越境の目的をまとめたうえで、HRデータ越境シナリオに入られるか否かを識別する。

−     システムと経路：ウォークスルー、インタビュー、アンケート調査などの方法を通して、前述のサブ・シナリオを徹底的に整理する必要がある。またシステムのサプライヤー、システムの構築方法と運営方法、越境方法、個人情報の有無、越境経路などをもとに、ネットシステム資源表とdata flowを作成しなければならない。

−     テータ主体：実務上、応募者、候補者、正社員、非正規労働者（インターン/派遣/アウトソーシングなど）、定年退職者、その他（家族/緊急連絡先など）のように身分でデータ主体を決めることが多い。管理監督部門の意見や業界の実務に基づき、「促進規定」に定めた「社員」の定義を分析しなければならない。

−     個人情報：SPIと社員ではない者のPIに重点を置いて、サブ・シナリオに含まれた個人情報を全面的に調査する。管理監督部門の意見や業界の主流基づき、統計の期間や非構造化データの基準などを合理的に設定する必要がある。

前述の整理で作成されたdata mappingは越境ルートのコンプライアンス状況の確認に役立つ資料だけでなく、データ分類分級の一環でもある。なお、今後のコンプライアンス分析や整理整頓の必須データにもなる。

企業は内部の整理結果を踏まえ、「促進規定」を理解・厳守し、法律と管理監督の面で越境申告免除に適用する範囲を分析し、専門家に法的意見書を出してもらう必要もある。さらに、越境ルートのコンプライアンス状況を確認するために、年に一度再確認をすべきである。

例えば、行政管理・家族ケア・社員持ち株制度・セキュリティを含めたサブ・シナリオがHRデータ越境に属しているか否か、応募者・候補者・正社員・非正規労働者が「社員」の定義に入られるか否か、越境運営システムがデータ越境に該当するか否かについては、いずれも管理監督部門の意見、業界の実務に基づき分析しなければならない。

法律の理解や適用をめぐって争いがある場合は、、コンプライアンスリスクを最小限に抑えるように、段階的に進めるべきだと思われる。

また、「促進規定」公布前に既に安全評価と標準契約の届出を行った企業は、業界の実務や、監督管理機関による審査進捗、「促進規定」の公布に伴う関連法律の効力に基づいて、次にやるべきことを総合的に判断する必要がある（申告の撤回、再届出など）。

「促進規定」の定めを満たした場合、海外の関連会社にHRデータを提供する外資系企業は越境申告を免除できるが、企業は、依然としてPIPL及び「促進規定」第十条、第十一条の規定を厳守し、コンプライアンスを厳守しなければならない。基本的に、越境申告を免除されたHRデータに関するコンプライアンスリスクの責任は下記の通りだと思われる。

（一）基礎のコンプライアンス責任

HRシステムとHRデータの適用法を正しく判断し、中国の法律に適用すると判断する場合は、「CSL」、「DSL」、「PIPL」、「暗号法」、「アーカイブ法」、「電信条例」、「インターネット情報サービス管理弁法」を厳守し、MLPS、ICP届出、ネットワーク届出、アルゴリズム届出、暗号化&非特定化処理、分類分級管理、従業員向けの教育・トレーニングなどを貫く必要がある。

（ニ）告知及び同意取得の義務

「促進規定」第五条第（ニ）項に定めた越境行為の「確需（確かに必要がある）」とPIPL第十三条第（ニ）項に定めた処理行為の「必須」とは同じものではなく、また、「促進規定」第十条及びこれまでの安全評価の実務から考えると、申告が免除されたHRデータの越境についても、告知及び同意取得の義務を履行する必要がある。

したがって、企業はHRデータの越境に関する同意を取得できるよう、社内マニュアルと労働契約書に記載された個人情報保護の条項を更新しなければならない。

なお、HRというシナリオには様々なサブ・シナリオが含まれており、処理目的も多種多様である。処理方法や処理のデータ範囲は企業グループ全体の方策やシステムアーキテクチャの変化によって変わってくる可能性がある。そのため、確認・更新の利便性を向上できるよう、前述のdata mappingの結果に基づいて、「越境HRデータのリスト」を作成する企業も増えている。さらに、同リストをURLやQRコードやウェチャット企業版やMS Formsなどの形で公布・保存される企業も増えてくる。

(三)労働制度の整備

「促進規定」第五条第（ニ）項の規定によると、申告免除の前提は法律に基づく労働制度の策定と労働集団契約の締結である。労働集団契約を採用していない企業にとって、法律に基づいて労働制度を整備し、HRデータの越境に関する規定を取り入れることで、申告免除することができると思われる。

労働契約の全面的な更新は色々なものに影響を与えることから、実務では単独の社員データ越境安全管理制度を策定する企業が多い。データ量が多くかつシナリオが複雑である企業については、「データセキュリティ制度→データ越境管理弁法→社員データ越境管理規範」という三つの構造を通してデータ管理のコンプライアンス性及び効率を向上させることが考えられる。

通常、社員データ越境管理規範には、各サブ・シナリオの越境目的、データ越境の必要性、管理責任、セキュリティ対策、権利保護、データ量の実時分析に関するSOPが記載されることが多い。

（四）個人情報越境に関する法律文書の締結

申告が免除されるデータ越境に関し、企業はPIPLの第二十一条、第二十三条、第三十八条の規定に基づいて法律文書の締結を通して国外受信側の権利と義務を明確しなければならない。なお、国外受信側はPIPLなどにおける義務を厳守しなければ個人情報を取り扱えない。

ビジネス負担や、コンプライアンスリスクを抑えるよう、HRデータの越境以外、企業に他のデータ越境がある場合、他の越境シナリオの状況も同文書の別紙に入れることも考えられる。

（五）データ越境に関する緊急対策の策定と実施

HRデータの越境は申告免除により、「国家機関による事前評価」から「全領域・全段階の管理監督」に変わった。よって、企業は事後安全管理の一環としてデータ越境安全管理に重点を置くことがますます重要となる。

したがって、企業はPIPL第五十一条、「促進規定」第十一条の規定に基づいて、データ越境に関する緊急対応策を策定する必要がある。

（六）HRデータ越境に関するPIA

申告が免除されたHRデータの越境について、企業は依然としてPIPL第五十五条、「促進規定」第十条の規定に基づいて個人情報保護評価（PIA）を行う必要がある。

評価の方法として、企業は内部の越境整理結果を踏まえて申告が免除されたHRデータ越境に関わっている各サブ・シナリオのPIAを集中的に行うことが可能である。報告内容については「個人情報越境契約届出ガイドライン（第二版）」の報告雛形を参考に作成することが考えられる。また、越境のHRデータリストを別紙として添付することをお勧めする。なお、報告書が監督管理機関の要求に合致するよう、外部の専門家に作成してもらうことがよく見られる。

なお、評価基準（データ主体とデータ越境の必要性、保存期限、権利保護制度、国外受信者の正当性など）については、リスクを回避するためにこれまでの管理監督部門の審査基準を参照する必要がある。報告書を作成する同時に、内部整理の過程において見つけたリスクについて、是正する必要がある。

上述の通り、中国に進出した外資系企業は「促進規定」などデータ越境に関する政策を全面的かつ正確的に理解しなければならない。申告が免除された越境HRデータについてもそれなりのコンプライアンス対応が必要である。「全領域・全段階の管理監督」の影響を受け、外資系企業は利便性を享受すると同時に、コンプライアンス責任を厳守しなければならない。越境データの安全を確保すると同時に、関連データ主体の合法的な権利を確保しなければならない。

HRデータは依然として法律によって監督管理されたものであることから、関連のコンプライアンス義務を逃れることができない。