電子商取引の「TPP3原則」と中国・韓国の法制度の比較

電子商取引の「TPP3原則」とも称される「情報の自由な越境移転」「サーバー等の自国内設置要求の禁止」「ソースコードの開示・移転要求の禁止」に対応する中国・韓国の法制度をみると、中国ではサイバーセキュリティ法等（草案を含む）による規制や手続きなどが事業者に課せられている。他方、韓国では特に情報の越境移転について一定の制約が課せられている。

電子商取引の国際ルール整備への関心の高まり

2018年12月に発効した、環太平洋パートナーシップに関する包括的および先進的な協定（CPTPP、いわゆるTPP11）では、「事業実施のための国境を越える情報移転の自由の確保」「サーバー等コンピュータ関連設備の自国内設置要求の禁止」「ソースコードの開示・移転要求の禁止」（いわゆる電子商取引の「TPP3原則」）を定めている。また、2019年1月には、スイス・ダボスで開催されたWTOの電子商取引に関する非公式閣僚会合で、「電子商取引分野の交渉開始の意思を確認する。可能な限り多くのWTO加盟国の参加を得て、高い水準の成果をめざす」とする共同声明が発表された。さらに、2019年6月に開催のG20大阪サミットでは、デジタル経済への制度面の対応について議論の予定とされ、電子商取引の国際ルール整備に向けた議論の本格化が期待されている。

本稿では、日本にとって最大の貿易相手である中国、および第3位の韓国を対象に、電子商取引の「TPP3原則」に関連する各国の法制度（2019年3月時点）を整理した。なお、中国では2017年にサイバーセキュリティ法が施行されたものの、幾つかの関連法令等は、草案（意見聴取稿）の意見聴取を経た後、制定公布されていないことから、最終的にどのような規定になるか分からない部分がある。本稿では、暫定的に法令等の草案も含めて整理を試みた。ちなみに、サイバーセキュリティ法および関連法の草案によると、電子商取引の「TPP3原則」に対応する中国の法制度（案）は、関連する事業者に規制を課し、新たな手続きなどを義務付ける内容となっている。

国境を越える情報移転について

中国では、業務上必要なデータ（個人情報または重要データ）の越境移転に規制がある。事業者は、データ越境の安全評価を行い、必要に応じて外部（主管部門）の評価を受けなければならない。

現在審議中の「セキュリティ評価ガイドライン（意見募集稿）」によれば、データの安全リスクの等級は「低い、普通（中）、高い、極めて高い」の4区分からなり、「高い」または「極めて高い」に判定された場合はデータ越境ができないという案になっている。

他方、韓国では個人情報を国外に越境させる場合には、原則として個人情報の利用目的や項目などについての一定の内容を個人に通知し、同意を得なければならない（注1）。 個人情報以外については、重要情報（注2）、空間情報（注3）、金融会社が保有する個人顧客の固有識別番号（注4）に関して越境移転の制限がある。

サーバーなどのコンピュータ設備の自国内設置要求

中国では、サイバーセキュリティ法に基づき、重要情報を取り扱う事業者（重要情報インフラ運営者）は、中国国内で収集・生成した個人情報および重要データを中国国内で保管しなければならない。

一方、前述した「セキュリティ評価ガイドライン（意見募集稿）」によると、重要情報取扱事業者に限らず、ネットワークに関わる多くの事業者（すべてのネットワーク運営者）に対し、個人情報および重要データを保管するサーバーの中国国内設置を要求する案となっており、今後の法制動向に注意が必要である。

他方、韓国ではサーバーなどのコンピュータ設備の国内設置を求める一般的な法令は存在しない。ただし、（1）行政機関および公共機関に対してクラウドサービスを提供する場合（注5）、（2）韓国国内に本店を置く金融機関の電算室、災害復旧センターの場合（注6）、（3）医療機関が電子カルテシステムとそのバックアップ装置を外部で管理・保管する場合（注7）には、コンピュータ設備を韓国国内に設置する必要がある。

ソースコードの開示・移転要求

中国の弁護士事務所の見解によると、中国には（法律のレベルでは）関連企業などに対してソースコードの提供を要求する規定はない（注8）。ただし、特定の業界および製品については、その監督管理上の特殊性により、関係政府部門からソースコードの提供を要求された事例があるという。

また、重要情報インフラのセキュリティ検査評価は、セキュリティスキャンを行う必要があり、それに、ソースコードバグスキャンが含まれる。従って、重要情報取扱事業者は、ソースコードの提供を要求される可能性があるとのことだ。

他方、韓国ではソースコードの公開を要求する一般的な法令は存在しない。ただし、行政機関が電子文書を保管・流通するために使用するシステムについては、行政機関の長は国家情報院長によって安全性の確認ができたセキュリティ措置を講じる義務があり、国家情報院はそれが履行されているかどうかを確認することができると規定されている（注9）。

---

注1：

根拠法は「個人情報保護法」第17条、「情報通信網利用促進および情報保護等に関する法律」第63条。

注2：

「情報通信網利用促進および情報保護等に関する法律」第51条第1項は「政府は、国内の産業、経済および科学技術に関する重要情報が情報通信網を通じ国外に流出することを防ぐため、情報通信サービス提供者または利用者に必要な措置をとることができる」と規定している。次いで、第2項で重要情報の範囲として「国家安全保障に関連した保安情報および主要政策に関する情報」「国内で開発された先端科学技術または機器の内容に関する情報」を挙げている。さらに、「産業技術の流出防止および保護に関する法律」第11条に基づく国家コア技術、「対外貿易法」第19条に基づく戦略物資に該当する情報は、越境移転の際に関係当局の許可、承認、申告などが必要な場合がある。

注3：

「空間情報の構築および管理等に関する法律」第16条第1項は「国土交通部長官の許可なしに基本測量の成果のうち、地図等または測量用写真を国外に搬出してはならない。（以下、略）」と規定している。公共測量についても、同法第21条第1項で同様の規定を設けている。

注4：

「金融会社の情報処理業務委託に関する規定」（金融委員会告示）第5条で、金融会社が情報処理業務を第三者に委託する場合、「個人顧客の固有認識情報は（中略）国外に移転しないようにしなければならない」と規定されている。 なお、固有識別番号とは、住民登録番号、旅券番号、運転免許証番号といった個人ごとに付与される番号をいう。

注5：

行政安全部「行政・公共機関の民間クラウド利用ガイドライン」による。

注6：

「電子金融監督規定」第11条による。

注7：

「電子義務記録の管理·保存に必要な施設と装備に関する基準」（保健福祉部告示）第7条による。

注8：

現在、中国が制定審議中の関連法令・規則等の内容や運用によっては、ソースコードの開示が要求される可能性があるのではないかとの議論や懸念もみられる。

注9：

「電子政府法」第56条第3項および国家情報院の内部指針による。