ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

GDPR、EU域外での個人データ漏えい時の当局に対する通知ガイドライン改訂

EDPB(欧州データ保護会議)が2022/10/10に、個人データ漏えい時の当局に対する通知ガイドライン改訂案を採択、パブコメを開始した。EU域外での個人データ漏えい時の対応がより厳しくなる。

採択されたのは「Guidelines 9/2022 on personal data breach notification (個人データ漏えい通知に関する2022/9ガイドライン)」。

Guidelines 9/2022 on personal data breach notification under GDPR | European Data Protection Board

これによって2017/3に旧第29条作業部会が作成、採択されていた同じガイドライン「Guidelines on Personal data breach notification under Regulation 2016/679」が廃止される。

ARTICLE29 - Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)

といっても、改訂されたのは一か所だけ。

EU域外でGDPRの保護対象となるデータ主体の個人データ漏えいが起こった場合を定めた、Section II.C.2の第73段落部分のみだ。(なお今回の新ガイドラインはすべての段落に番号がふられているが、旧ガイドラインに段落番号はない)

旧第29条作業部会ガイドラインの該当部分はこんな内容。

第29条作業部会は、(データ漏えい時は)コントローラーの代表者が存在するEU加盟国の監督当局に通知するよう推奨する。

ガイドラインの該当部分はこんな内容。

コントローラーの代表者が一つのEU加盟国に存在しさえすれば、ワンストップ制度が発動されるわけではない。このため、漏えいの影響をうけたデータ主体が居住する、すべてのEU加盟国の監督当局に通知する必要がある。この通知はコントローラーがその代表者に課す義務を遵守し、コントローラーの責任のもとで行われなければならない。

たとえば、日本企業がGDRP対応でドイツ拠点に代表者を置いている状態で、日本でドイツ、フランス、イタリアの居住者をふくむ個人データ漏えいを起こしてしまった場合を考えてみる。

いままでは代表者がいるドイツの監督当局に通知すればよかったが、今後はドイツ、フランス、イタリアの監督当局それぞれに通知する必要があるということになる。

通常時のGDPR対応においては、代表者が設置されているEU加盟国の監督当局に対してワンストップでおこなうことができるが、いざ個人データ漏えいとなると、ワンストップは許されず、関係するすべてのEU加盟国の監督当局への通知が必要となるらしい。

ちなみに当然のことだが、日本がGDPRの十分制認定を受けているからといって、個人データ漏えい時の通知が免除されるわけではないので、日本も今回の対応が必要になる。

2022/08/01施行の中国「インターネットユーザーアカウント情報管理規定」とは

2022/08/01に施行された中国「インターネットユーザーアカウント情報管理規定」とは一体どういう法律なのか、ポイントになる部分だけを日本語抄訳する。

この法律はユーザーが発信するコンテンツに対する規制ではなく、ユーザアカウントに関する情報、つまり、アカウント名、プロフィール、アイコンなどの中身を規制するもの。身分を偽ってユーザー登録することも規制されている。

また、直接の規制対象はユーザーではなくサービスプロバイダで、罰則もプロバイダに対するものだが、アカウント閉鎖や再登録禁止などによって間接的にユーザーも規制されることになる。

例によって筆者は法律の専門家ではないので実務に利用されませぬよう。

www.gov.cn

第四条 インターネットユーザーの登録、使用とインターネット情報サービスプロバイダのインターネットユーザーアカウント情報の管理は、法律法規を遵守しなければならず、公序良俗に従い、誠実と信用をもって、国家安全と社会の公共利益あるいは他社の合法的権益を損なってはならない。

第六条 インターネット情報サービスプロバイダは法律、行政法規と国家の関連規定に基づき、インターネットユーザーアカウント管理規則、プラットフォーム規約を制定、公開し、インターネットユーザーとサービス契約に署名し、アカウント情報の登録、使用と管理に関連する権利義務を明確にしなければならない。

第七条 インターネット個人ユーザーが登録、使用するアカウント情報は、職業情報も含めて、個人の真の職業情報と一致しなければならない。

インターネット組織ユーザーが登録、使用するアカウント情報は、その組織の名称、ロゴ等と一致し、組織の性質、経営範囲と所属業種のタイプ等と符合しなければならない。

第八条 インターネットユーザーが登録、使用するアカウント情報は、以下の状態であってはならない。

(一)『サイバー情報コンテンツ生態系管理規定(网络信息内容生态治理规定)』第六条、第七条の規定に違反すること

(訳注:「网络信息内容生态治理规定」は下記リンク参照。第六条、第七条は公序良俗に反し、国家安全・国家機密を侵害するコンテンツの種類が列挙されている部分)

www.gov.cn

(二)政党、党、政府、軍組織、企業組織、人民団体と社会組織の名称、ロゴ等を騙り、偽装し、捏造すること

(三)国家(地区)、国際組織の名称、ロゴを騙り、偽装し、捏造すること

(四)ニュースサイト、出版社、放送局、通信社等ニュースメディアの名称、ロゴ等を騙り、偽装し、捏造すること、あるいは「ニュース」、「報道」等ニュースの属性をもつ名称、ロゴ等を許可なく使用すること

(五)国家行政区域、機構の所在地、象徴的な建築物等の重要な場所の地名、ロゴ等を騙り、偽装し、悪意のある関連づけをすること。

(六)公共の利益を毀損し、あるいは不正な利益を得る等の目的で、QRコード、インターネットアドレス、メールアドレス、連絡方法等を故意にすり替えること。あるいは、同じ発音、似た発音、似た文字、数字、記号、アルファベット等を使用すること。

(七)有名無実、誇大な表現等、公衆をだまし、あるいは誤解を産むようなコンテンツを含むこと

(八)法律、行政法規と国家の関連する規定が禁止するその他のコンテンツを含むこと

第九条 インターネット情報サービスプロバイダはインターネットユーザーのために情報発信、インスタントメッセージ等のサービスを提供する場合、登録申請にかかわるアカウント情報のユーザーに対して携帯電話番号、身分証番号、統一社会信用コード等の方法で真実の身分情報を認証しなければならない。ユーザーが真実の身分情報を提供しない場合、あるいは組織機構、他社の身分情報になりすまして虚偽の登録を行った場合、関連サービスを提供してはならない。

第十条 インターネット情報サービスプロバイダはインターネットユーザーが登録時に提出し、使用中に変更するアカウント情報に対して審査を実行しなければいけない。本規定第七条、第八条の規定の違反を発見した場合、登録あるいはアカウント情報の変更を許可してはならない。

アカウント情報に「中国」「中華」「中央」「全国」「国家」等の内容を含む場合、あるいは党旗、党徽、国旗、国歌、国徽等、党と国家の省庁やマークを含む場合、法律、行政法規と国家の関連する規定に基づいて厳格に審査しなければならない。

インターネット情報サービスプロバイダは必要な措置を講じ、法に基づいて閉鎖されたアカウントの再登録を防止しなければならない。登録とそれに関連度が高いアカウント情報に対して、関連する情報を厳格に審査しなければならない。

第十四条 インターネット情報サービスプロバイダはインターネットユーザーのアカウント情報の管理主体としての責任を履行し、サービスの規模にふさわしい専門的な人員と技術能力を配備し、真実の身分情報の認証を完全に確立かつ厳格に実行し、アカウント情報の審査、情報内容の安全性、環境管理、応急処置、個人情報保護等の管理制度を確立しなければならない。

第十五条 インターネット情報サービスプロバイダはアカウント情報の動態的な審査制度を確立し、適時に既存のアカウント情報を審査し、本規定の要求に符合しないものを発見した場合は、サービス提供を一時停止するとともにユーザーに期限を定めて修正するよう通知しなければならない。修正を拒否した場合は、サービス提供を停止しなければならない。

第十六条 インターネット情報サービスプロバイダは法に基づいてインターネットユーザーのアカウント情報内の個人情報を保護し処理し、かつ不正アクセスおよび個人情報漏えい、改ざん、紛失を防止する措置を取らなければならない。

第十七条 インターネット情報サービスプロバイダはインターネットユーザーが登録、使用するアカウント情報が法律、行政法規と本規定に違反することに気づいた場合、法に基づいた警告、期限を定めた修正、アカウント昨日の制限、一時使用停止、アカウント閉鎖、再登録の禁止等の措置を講じなければならず、関連する記録を保存し、かつ速やかに通信情報部等の主管部門に報告しなければならない。

第十八条 インターネット情報サービスプロバイダはインターネットユーザーのアカウント情報の信用管理体系を完全に確立し、アカウント情報に関連する信用評価をアカウント信用管理のための重要な参考指標として、かつそれに基づいて相応のサービスを提供しなければならない。

第十九条 インターネット情報サービスプロバイダは目立つ場所に使いやすい通報窓口を設置し、通報の方法を公布し、通報受理、選別、対処、回答等の仕組みを完全にし、処理プロセスと回答期限を明確にし、速やかにユーザーと公衆の通報を処理しなければならない。

第二十一条 インターネット情報サービスプロバイダに比較的大きな情報セキュリティリスクが存在する場合、省級以上の通信情報部門は情報更新、ユーザーアカウントの登録あるいはその他関連サービスの一時停止等の措置を要求できる。インターネット情報サービスプロバイダは要求に基づいて措置を講じ、改善を行い、損害を除去しなければならない。

第二十二条 インターネット情報サービスプロバイダが本規定に違反した場合、関連する法律、行政法規の規定に基づいて処罰される。法律、行政法規に規定がない場合は、省級以上の通信情報部門が職責に基づいて警告を与え、批判を通報し、期限を定めて修正を命令し、かつ一万元以上十万元以下の罰金を科すことができる。治安管理に違反する行為を構成する場合は、公安機関の処理にゆだねる。犯罪を構成する場合は、司法機関の処理にゆだねる。

第二十三条 本規定の用語の定義は以下のとおり

(一)インターネットユーザーアカウント情報とは、インターネットユーザーがインターネット情報サービスにおいて登録、使用する名称、アイコン、トップページ、自己紹介、署名、認証情報等ユーザーアカウントを識別するために用いる情報を指す。

(二)インターネット情報サービスプロバイダとは、ユーザーにインターネット情報を発信し、プラットフォームサービスを提供する主体を指すが、インターネットニュース情報サービス、オンライン出版サービス、検索エンジン、インスタントメッセージ、インタラクティブ情報サービス、オンラインライブ、アプリケーションのダウンロード等のインターネットサービスを含むが、それらに限定されないサービスを提供する主体を指す。

中国配車アプリ企業DiDi(滴滴)に中国政府が約1600億円もの罰金を科した理由

中国政府が中国のUber的な配車アプリ企業DiDi(滴滴)に約1600億円(80.26億元)もの罰金を科したとのこと。

www.cac.gov.cn

2021/07/02国家サイバースペース管理局は同社に対してサイバーセキュリティ審査を開始すると宣言していたが、今回の処罰はその結果によるもの。なおこの1年以上の間、同社は新規顧客の登録を停止されていた。

网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告-中共中央网络安全和信息化委员会办公室

処罰の理由について国家サイバースペース管理局と記者のQ&Aが公開されていたので要約してみる。五つの質問のうち一、三、五は形式的な項目なので省略した。

国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问-中共中央网络安全和信息化委员会办公室

二、滴滴にはどのような違法行為が存在したのですか?
  • ユーザーのスマホのアルバム内の画面ショット情報1196.39万件を不法に収集

  • ユーザーのクリップボード情報、アプリ一覧情報83.23億件を過度に収集

  • 乗客の顔識別情報1.07億件、年齢層情報5350.92万件、職業情報1633.56万件、家族関係情報138.29万件、自宅と会社の配車住所情報1.53億件を過度に収集

  • 乗客によるドライバー評価時、アプリのバックグラウンド実行時、スマホドライブレコーダーに接続した時の正確な位置情報(経緯度)1.67億件を過度に収集

  • ドライバーの学歴情報14.29万件を過度に収集、ドライバーの身分証番号情報5780.26万件を平文で保存

  • 乗客に明示的に告知しない状態で、乗客の外出目的情報539.76億件、現住所情報15.38億件、出張/旅行情報3.04億件を分析

  • 乗客が「順風車」サービスアプリを利用する際、無関係な電話発信権限を頻繁に要求

  • ユーザーのデバイス情報など19項目の個人情報処理目的を正確、明確に説明しなかったこと

四、滴滴に対してサイバーセキュリティ審査に関連した行政処罰の決定をした主要な根拠は何ですか?
  • 違法行為の性質:監督部門の要求に基づかず、サイバーセキュリティ、データセキュリティ、個人情報保護の義務を履行せず、国家サイバーセキュリティ、データセキュリティを顧みず、国家サイバーセキュリティ、データセキュリティに重大なリスクと損害を与えたこと。かつ、監督部門の改善命令の状況下でも、いまだ全面的で根本的な改善を行わず、性質が極めて劣悪であること。

  • 違法行為の持続期間:2015年6月から今にいたる7年間に達し、2017年6月施行の『サイバーセキュリティ法』、2021年9月施行の『データセキュリティ法』、2021年11月施行の『個人情報保護法』に継続して違反したこと。

  • 違法行為による損害:違法な手段によってユーザーのクリップボード情報、アルバムの中の画面ショット情報、家族関係情報などの個人情報を収集し、ユーザーのプライバシーに重大な侵犯をおかし、ユーザーの個人情報権益に重大な損害を与えた。

  • 違法に処理した個人情報の量:647.09億件に達する個人情報を違法に処理し、数量が巨大であり、その中に顔識別情報、正確な位置情報、身分証番号などのセンシティブな個人情報を含んでいること。

  • 個人情報の違法処理の状況:違法行為が多数のアプリにおよび、過度な個人情報収集、センシティブな個人情報の強制的収集、アプリの頻繁な権限要求、個人情報処理の告知義務の不十分な実施、サイバーセキュリティ、データセキュリティ保護義務の不十分な実施などを含む多岐にわたる状況があったこと。

以上、細かい数字にはあまり意味がなく、重大な違反をやった感を出しているだけと思われる。

中国「個人情報保護法」の「特定身份」について大手会計事務所コンサルの訳が間違っていた件

中国「個人情報保護法」第二十八条には「敏感个人信息(センシティブ個人情報)」の定義が次のように書かれている。(太字は筆者)

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

ここにある「特定身份」について、日本語で中国「個人情報保護法」を紹介する資料にたびたび誤りを見つけるのだが、最近また大手会計事務所のコンサルの資料が「特定のID」という意味不明の訳をつけていた。「特定のID」ではなぜセンシティブなのか分からないだろう。

正解は、分かりやすいところでは例えば下記の司法試験受験者向けサイトに書いてある。

gd.offcn.com

ここでは刑法との関連で「自然人的特定身份(自然人の特定の身分)」について解説されている。

「身份」によって犯罪の構成要件や量刑が変わるという文脈で、「自然人身份的范围(自然人の身分の範囲)」の一部として「特定身份的种类(特定身分の種類)」が列挙されている。

特定の公職:国家公務員、司法職員

特定の職業:航空職員、医療職員

特定の法的義務:納税者、租税徴収義務者

特定の法的地位:証人、鑑定人、犯罪者、容疑者、被告人など

特定の物品の保有者:法に基づいて配備された公務用銃器を持つ者

ある種の活動の参加者:入札者、会社の発起人

特定疾病の患者:重症の性病患者

居住地と特定組織:国外の反社会的集団の構成員

中国「個人情報保護法」で「特定身份」と言っているのはこういう意味での特定の身分のことである。(なお「重症の性病患者」とはAIDS患者などを指すらしい)

こういう意味での「身份」に当てはまるかどうかが「敏感(センシティブ)」だというのは納得できるだろう。

筆者は中国刑法について詳しくないが、刑法における「身份」について検索すると同様の解説ページが山ほど見つかる。

ということで、「特定のID」などといった意味不明の訳語はつけないでほしい。

中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)にいう「重要データ」とは何か

2022/09/01より施行される「中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)」について、一部の英語メディアで個人データだけに関する規則だと読める記述を見つけた。

riskybiznews.substack.com

このニューズレターの同規則に関する以下の部分には少なくとも3つの誤りがある。

China to enforce new data export rules: The Chinese government passed new legislation last week that introduced new rules for companies that send the data of Chinese citizens to servers abroad. Any Chinese tech company that has sent the data of more than 100,000 Chinese citizens abroad will be subject to audits and security audits by the Chinese Cybersecurity Authority (CAC). The CAC will primarily check if companies took steps to protect the exported data against hacks, interception, or tampering. The new law will enter into effect on September 1, 2022, but will apply retroactively to all companies that have exported user data abroad after January 1, 2021.

  • 重要データと個人情報の両方が対象なのに、個人情報に関する新規則だとしている点。

  • 全業種が対象なのに、テック企業が対象だとしている点。

  • 規則に反する域外移転をしていた場合、それがどれだけ以前であっても規則の施行後6か月以内の是正を求められるが、ニューズレターで遡及適用されるのは2021/1/1までとしている点。

英語のセキュリティ関連メディアが、中国の法制度について間違うのはよくあることなので仕方ないとして、このニューズレターの誤りのうち最も重大なのは同規則の重点が個人情報より「重要データ」にあることを見落としている点だ。

中国国家標準の「重要データ」の定義

では域外移転が規制される「重要データ」とは、いったいどんなデータのことなのか。それはこの規則に関連する中国国家標準に書かれている。

「情報セキュリティ技術 重要データ識別ガイドライン(信息安全技术 重要数据识别指南)」という国家標準だ。

信息安全技术 重要数据识别指南

このガイドラインは2022/01/13~2022/03/13の期間パブコメに出され、その後まだ正式版が出ていないが、パブコメ版でも「重要データ」の識別法の主旨は理解できる。

パブコメ稿はこちらにPDFファイルの直リンクがある。

https://www.tc260.org.cn/file/2022-01-13/bce09e6b-1216-4248-859b-ec3915010f5a.pdf

このパブコメ稿を抄訳してみる(太字は筆者によるもの)。

3.1 重要データ critical data

電子的な形式で存在し、いったん改ざん、破壊、漏えいあるいは不法な取得、不法な利用にあうと、国家の安全、公共の利益に危害を与える可能性のあるデータのこと。

注:重要データは国家機密と個人情報を含まない。ただし大量の個人情報に基づく統計データ、そこから派生するデータは重要データに属する可能性がある。

4 重要データ識別の基本原則

重要データの識別は以下の原則を順守すること

a) セキュリティ上の影響に焦点を当てること:国家安全、経済運営、社会の安定、公共の健康と安全などの角度から重要データを識別する。自組織にとってのみ重要あるいは機微なデータは重要データに属しない。たとえば企業の内部管理に関するデータなど。

b) 保護の重点が明らかであること:データ分類を通じて、セキュリティ保護の重点が明確であること。一般のデータは十分に流通させ、重要データはセキュリティ保護要求を満たしている前提で流通させることで、データの価値を発揮させる。

c) 既存の規定とリンクしていること:地方政府の既存の管理要求と業界の特色を十分考慮し、地方、部門がすでに制定、実施している関連するデータ管理政策と標準規範に密にリンクさせること。

d) リスクを総合的に考慮すること:データの用途、直面する脅威などさまざまな要素に基づき、データがさらされる改ざん、破壊、漏えいあるいは不法な取得、不法な利用などのリスクを総合的に考慮し、機密性、完全性、可用性、真実性、準拠性などから多角的にデータの重要性を識別すること。

e) 定量と定性の組合せ:定量と定性を組み合わせた方式で重要データを識別すること。かつ、具体的なデータの類型、特性に基づいて異なる定量的あるいは定性的な方法を採用すること。

f) 動的に識別のレビューをすること:データの用途、共有方式、重要性などの変化の発生にしたがって、動的に重要データを識別すること。かつ、定期的に重要データの識別結果をレビューすること。

5 重要データの識別要素

重要データを識別する際、以下の要素を考慮すること。

a) 国家の戦略的備蓄、緊急動員能力を反映するもの。例えば戦略物資の生産能力、備蓄量は重要データに属する。

b) 重要インフラ施設の運用あるいは重点的な工業生産領域をサポートするもの。例えば重要インフラ施設がある業種、業務運用のコアとなる領域、あるいは工業生産の重点領域をサポートするデータは重要データに属する。

c) 重要情報インフラ施設のネットワークセキュリティ保護状況を反映し、重要情報インフラ施設に対するサイバー攻撃の実施に利用されうるもの。例えば重要インフラ情報施設のサイバーセキュリティ計画、システム構成情報、中核となるソフトウェア設計情報、システムのトポロジー、緊急対応計画などの状況のデータは重要データに属する。

d) 輸出規制品に関するもの。例えば輸出規制品の基本設計、製造工程、製造方法などの情報およびソースコード集積回路レイアウト、技術的なソリューション、重要パラメータ、実験データ、テストレポートは重要データに属する。

e) 他の国家あるいは組織に利用され我が国への軍事攻撃を引き起こす可能性があるもの。例えば一定の精度が求められる地理情報は重要データに属する。

f) 重点目標、重要な場所の物理的セキュリティ保護状況あるいは未公開の地理的目標の位置を反映し、テロリスト、犯罪者によって破壊行為のために利用される可能性のあるもの。例えば重要な安全保障組織の事務所、重要な製造企業、国家的な重要資産(鉄道、石油パイプライン)の施工図、内部構造、安全管理などの状況のデータ。および未公開の高速道路、未公開の飛行場などの情報は重要データに属する。

g) 重要設備、システムコンポーネントサプライチェーンの破壊に利用され、APTなどのサイバー攻撃を引き起こす可能性のあるもの。例えば重要顧客リスト、重要情報インフラ運営者の未公開の製品・サービス購入状況、未公開の重大な脆弱性は重要データに属する

h) 集団の健康状態、民族の特徴、遺伝情報などの基礎データ。例えば国勢調査資料、人類の遺伝資源情報、遺伝子配列の生データは重要データに属する。

i) 国家の天然資源、環境基礎データ。例えば未公開の水源情報、水質観測データ、気象観測データ、環境保護観測データは重要データに属する。

j) 科学技術の実力に関連し、国際競争力に影響するもの。例えば国防、国家安全に関連する知的財産権データは重要データに属する。

k) 機微な製品の生産と取引および重要装備の配備、使用に関連し、外国政府が我が国に対する制裁を実施する可能性のある情報。例えば重要企業の金融取引データ、重要装備の生産製造情報、および国家重大プロジェクトの工程内にある重要装備の配備、使用など生産活動情報は重要データに属する。

l) 政府機関、軍事企業およびその他機微な重要機構がサービスを提供する過程で産出する公開してはいけない情報。例えば軍事企業の比較的長期間にわたる車両使用情報。

m) 未公開の政務データ、業務機密、情報データと法執行司法データ。例えば未公開の統計データ。

n) その他国家政治、国土、軍需、経済、文化、社会、科学技術、生態系、資源、核施設、海外利益、生物、大気、極地、深海などの安全に影響する可能性のあるデータ。

以上の要素の一つでも具備していれば、重要データである。

以上が「データ域外移転セキュリティ評価規則」にいう「重要データ」の識別ガイドラインだ。

なお「評価規則」の重点が個人情報ではなく重要データにあることは、同規則の2021/10のパブコメ稿と最終稿を比べると分かる。

パブコメ稿では「重要インフラ施設運営者が収集・産出する個人情報と重要データ」が一番目だったが、最終稿では業種問わず「データ処理者が域外提供する重要データ」がトップに変更されている。

パブコメ稿

(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;

(二)出境数据中包含重要数据;

(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;

(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;

(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。

最終稿

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

以上、「データ域外移転セキュリティ評価規則(数据出境安全评估办法)」にいう「重要データ」とは何かについて、重要データ識別ガイドラインで確認してみた。