31 コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

CIPP/E・GBL研究所理事　浅井敏雄^[1]

【目　次】

■　はじめに

■　GDPR上の域外移転規制の概要

■　本判決に至るまでの経緯

■　本判決(Schrems II事件判決)の概要

■　本判決に関するEDPBのFAQ

■　本判決・FAQなどを踏まえた対応・影響

はじめに

以下のニュースで報じられている通り、2020年7月月16日、欧州連合（EU）の最高裁判所に当たるEU司法裁判所（CJEU）は、いわゆる「Schrems II」事件において、米当局による監視プログラムなどを理由として、EU域内から米国への個人データ移転の手段である「プライバシーシールド」（正確にはこれに対する欧州委員会による十分性認定）を無効とする先決裁定[2]（以下「本判決」ともいう）を下しました（判決本文、CJEUのプレスリリース文）。

・日本経済新聞　『米への個人情報移転ルールを無効と判断、欧州司法裁』

・ Yahoo!ニュース　『「プライバシー保護失格」2度目のちゃぶ台返し、Facebookはデータ移転ができなくなるのか？』

一方、CJEUは、同じ判決の中で、他の移転手段であるSCC（Standard Contractual Clauses）については「条件付き」で有効としました。本判決に関しEDPB（EU加盟国の監督機関の連合体）は、2020年7月23日付でFAQを公表しました。

本判決とFAQなどを踏まえると以下のような対応が必要でありまた影響が考えられます。

①日本企業の欧州子会社などが、従来、EU域内の消費者・従業員などの個人データをプライバシーシールドに基づき米国に移転しておりかつSCCを併用していない場合、直ちにその移転を中止するかまたはSCCを締結する必要があります。

②EDPBは、SCCに基づく移転についてもそれが有効かは移転の状況および補完的（保護）措置によるとしています。EDPBはこの措置に関する指針を作成・公表する予定としていますが、現在はないので、短期的には指針の公表を待つしかないと思われます。

③英国にも諜報機関に対し広範な監視権限を与える法律があり本判決により英国に対する十分性認定は困難になったように思われます。同時に英国からEUへの十分性認定（と同様の措置）も不確定になったように思われます。従って、日本企業の英国またはEU域内の子会社は、2021年1月1日以降の英国・EU間の移転についてSCCの締結を準備しておくことが安全と思われます。

④日本に対する十分性認定も欧州委による見直しにおいて厳しく審査される可能性があると思われます。従って、仮に、従来、日本への移転を十分性認定のみに基づき行っていた場合はSCCを併用することがより安全と思われます。

⑤中国・ロシアなどへの移転の有効性が懸念されますが、SCC（および可能なら補完的措置）によるしかないと思われます。

⑥SCCが廃止されGDPRに基づいたSDPCが採択される可能性があると思われます。

以下、GDPR上の域外移転規制の概要などを含め詳述しますが、必要に応じ参照して下さい。

page top

GDPR上の域外移転規制の概要

1. 十分性認定による移転

GDPR上、EU域内から域外への個人データの移転（EU域外の第三者に対し個人データにアクセス可能にする全ての行為）は、欧州委員会（「欧州委」）が、移転先第三国（「移転先国」）が十分な個人データの保護をしていると認定（adequacy decision）（「十分性認定」）した場合その他所定の場合のみのみ行うことができます(44, 45(1))（数字は条文番号。以下同じ）。

欧州委は、これまでに欧州委が十分性認定を受けた国・地域をWebサイト上で公表しています。その中に条件付き十分性認定国として米国と日本が含まれています。この条件とは、EU域内から移転される個人データについて、米国についてはプライバシーシールドで定める条件が、日本については「補完的ルール」が遵守されることです。

2. SCC(標準契約条項)などによる移転

GDPRは、十分性認定以外の域外移転のための「適切な保護措置」（appropriate safeguards）の一つ（他は拘束的企業準則(「BCR」)など）として、欧州委が採択または承認した「標準データ保護条項」（Standard Data Protection Clause)(「SDPC」)を定めています(46(2)(c)(d))。但し、現在は、SDPCはまだ採択・承認されておらず、GDPRの前身である「データ保護指令」（26(2),(4)）に基づく「標準契約条項」(Standard Contractual Clause)（「SCC」）が暫定的に有効とされており(46(4))、多くの企業が移転先とSCCを締結して個人データをEU域外に移転しています。

但し、SCCを含む「適切な保護措置」による移転は、データ主体の法的強制が可能な権利（enforceable data subject rights）およびデータ主体に対する実効性ある司法的救済（effective legal remedies）が確保されることも条件とされています(46(1), (2))。

page top

本判決に至るまでの経緯

1. セーフハーバー協定

米国には包括的な個人データ保護法制がなかったことなどから米国の国自体についてEUから十分性認定を受けることは困難と考えられ、EUと米国は、外交交渉の結果、EU域内から米国への個人データの移転を容易にする"Safe Harbor Framework"（「セーフハーバー協定」）に合意し、2000年、欧州委はこれに対し十分性認定を行いました。

2. Schrems I 事件判決

【事件の概要】　Facebookユーザであるオーストラリア人Maximilian(Max) Schrems氏（弁護士・プライバシー活動家）は、他のユーザとともに、アイルランドの監督機関に申立てし、同氏らからFacebookに提供されたデータがFacebookのアイルランド子会社から米国内のサーバに送信（移転）・処理されていることに関し、米国国家安全局（NSA）等による諜報活動についてスノーデン氏が暴露した事実を考慮すれば、米国は公的機関の諜報活動に関し個人データを十分に保護していないとの理由で、その移転禁止を求めました。なお、この事件は、申立人の名前から次のSchrems II事件との関係でSchrems I事件と呼ばれています。

これに対し、アイルランドの監督機関は、欧州委が米国とのセーフハーバー協定について十分性認定をしていること[およびFacebookはセーフハーバーに参加しこれに基づき移転していること]などを根拠とし申立を退けました（[ ]内は筆者の補足。以下同じ）。

これに対し、Maximillian氏らは、アイルランド高等法院(The High Court of Ireland)に対し不服申立てをしました。同法院は、自らこの事件の判決を下す先決問題として、欧州委の十分性認定が、監督機関による調査およびデータ移転禁止権限の妨げとなるか否かについてCJEUの判断（先決裁定）を求めました。

【判決（先決裁定）の要旨】　2015年10月6日、CJEUは、次の点を認定し、結論としてセーフハーバー協定（による個人データの保護に対し欧州委によりなされた十分性認定）は無効であるとの判決を下しました。（判決本文、CJEUのプレスリリース文）

(a) 個人データ保護に関する各監督機関の権限は欧州委の判断により妨げられない。欧州委の判断の有効性を判断する権限および責務を有するのはCJEUだけである。従って、CJEU自ら協定の有効性を判断する。

(b) 協定により拘束されるのは参加企業だけであって米国の公的機関は拘束されない。米国では国家安全、公益および法の執行が協定に優越するから米国の国家安全等と協定上の義務が抵触する場合、参加企業は協定上の義務を無視する義務を負う。公的機関によるアクセスの許容は個人の私的生活に関する基本権を損なうものである。

3. 本事件（Schrems II 事件）

セーフハーバー協定を無効とした上記Schrems I 事件判決の翌月2015年11月、Facebook Irelandと米FacebookはSCCを締結しましたが、Max Schrems氏は、アイルランドの監督機関に対する申立内容を、FacebookによるSCCに基づく移転の禁止に修正しました。これに対し同監督機関は、Schrems氏の主張の当否はSCCの有効性に左右されるとの理由で、アイルランド高等法院に対しCJEUの先決裁定を求めるよう申立てました。2016年にはプライバシーシールドに対する十分性認定が行われており、同法院は、CJEUに対し、SCCおよびプライバシーシールドの有効性に関し先決裁定を要求しました。

page top

本判決(Schrems II事件判決)の概要

1. プライバシーシールドの有効性

プライバシーシールド（に対する欧州委による十分性認定）（以下単に「プライバシーシールド」ともいう）は、以下の理由により無効である（164～）（数字は判決文中の段落番号。以下同じ）。

(a) プライバシーシールドは、セーフハーバー協定と同様、米国の国家安全保障、公益および法執行の必要性が、EU基本権憲章上保障されるデータ主体の基本権（私的生活・家庭生活および個人データの保護）(7,8)に優先することを認め、当該基本権の侵害を認めるものである。

(b) 米国法上、EU域内から移転される個人データに対しても実施され得る米当局による監視プログラム(surveillance programmes)は、EU法上の比例原則(the principle of proportionality)上要求される必要最小限の(strictly necessary)範囲に制限されていない。

(c) プライバシーシールドに定めるオンブズパーソン[EU市民からの苦情申立先]の制度は、オンブズパーソンの独立性および米国諜報機関に対する拘束力ある命令権の欠如などから判断すれば、データ主体に対しEU法と同等の法的救済を保障するものではない。

2. SCCの有効性

SCCは以下の理由から有効である。[なお、本判決で言及されているSCCは移転先が「処理者」のSCC]

(a) EU基本権憲章に照らせば、GDPR上、個人データのEU域外への移転に関し要求される保護（SCCなどの「適切な保護措置」並びにデータ主体の法的強制が可能な権利およびデータ主体に対する実効性ある司法的救済）のレベルは、データ主体が、GDPR上EU域内で与えられるものと本質的に同等でなければならない。このレベルの判断上、移転先国当局による個人データへのアクセスおよび法制度も考慮しなければならない（94～105）。

(b) SCCは、契約であるから、その当事者ではない移転先国当局を拘束することはできない。しかし、それだけでSCCが無効になるわけではない。SCCが有効か否かは、SCC（正確にはSCCを採択した欧州委の決定。以下同じ）に以下の両方を担保するメカニズムが組み込まれているか否かによる(136,137)。

① EU法上要求されると同等のレベルの個人データ保護が確保されること。

② 移転先がSCCを遵守せずまたは遵守できない場合には移転が中止されること。

① 移転元（SCC上の「データ輸出者」）および移転先（同「データ輸入者」）に対し、個人データ移転前に移転先国の保護レベルを確認する義務を課していること(SCC 4(a)・(b), 5(a), 9, 11(1))。　（SCCの筆者による解説と訳はこちら）

② 移転先はSCCを遵守できないと判断した場合その旨データ輸出者に通知する義務を負うこと(SCC 5(a), (b), (d)(i))。（なお、移転元はその旨監督機関に報告する義務を負う(SCC 4(g)）。

③上記②の場合、移転元は、個人データの移転を中止しまたはSCCを解除する義務を負うこと(基本権憲章7,8, GDPR 46(1),(2)(c), SCC 5(a), 4(a))。

④データ主体は、データ輸出者またはデータ輸入者がSCCに違反した場合、SCC上、[第三受益者として]損害賠償請求する権利を与えられていること(SCC 3, 6)。

page top

本判決に関するEDPBのFAQ

EU各加盟国の監督機関の連合体であるEuropean Data protection Board（「EDPB」）は2020年7月23日付で本判決に関するFAQである”Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 -Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems”（「FAQ」）を公表しました[3]。以下にFAQの要旨を示します。（「FAQ」の後の数字はFAQ中の質問番号）。

1. 今後のプライバシーシールドによる移転の可否　（FAQ 3,4）

本判決によりプライバシーシールドは無効とされている。従って、もはや猶予期間なくプライバシーシールドのみに基づいて移転することは違法であり禁止される。

2. SCCに基づく米国への移転の可否　（FAQ 5）

SCCに基づき個人データを移転できるか否かは、移転の状況をケース・バイ・ケースで判断し、SCCに加え講じられる補完的（保護）措置(supplementary measures)（本判決文中では”additional safeguards”)により、SCCが保障する十分なレベルの保護を米国法が損なう（impinge on)ことを防止できるかによる。[本判決134参照]

移転の状況および可能な補完的措置を考慮した上で、十分なレベルの保護が確保できないと判断される場合には、個人データの移転を一時停止しまたはやめなければならない。それでもなお、移転を希望する場合には、管轄監督機関に相談しなければならない。

3. BCRによる移転　（FAQ 6）

拘束的企業準則（Binding Corporate Rules）（「BCR」）(GDPR 47)による移転については上記SCCによる移転と同様のことが当てはまる。

4. GDPR 49条例外事由（データ主体の同意／契約履行の必要性など）を根拠とする米国への移転　（FAQ 8)

なお可能である。但し、各事由に定める要件を満たす場合に限られる。

[しかし、49条例外事由は適用要件が厳格で適用できる場合は限られます。FAQで述べられている通り、例えば、同意の場合(49(1)(a))、データ主体に対し、十分な保護がされない国に移転することを事前に通知しなければなりません。契約履行の必要性を移転の根拠とする場合(49(1)(b))、その移転は偶発的(occasional)でなければならず恒常的に根拠とすることはできません。また、49条例外事由は、元々、移転先国について十分性認定がない場合またはSCCなど適切な保護措置がない場合の規定(49(1)第1文柱書)です。これは、何らかの合理的事情でSCCにもよることさえできない例外的場合に限り移転の根拠にできることを意味すると思われます。いずれにせよ、49条例外事由は、どれも、一般企業が通常継続的に根拠にできるものではないと思われます。なお、日本への移転については、十分性認定があるので49条例外事由を移転の根拠にすることは49条の文理解釈上疑問があります。]

5. SCCまたはBCRに基づく米国以外の国への移転　（FAQ 9)

原則として可能。但し、米国以外の国についても、判決が示した通り、移転元および移転先は、SCCの締結だけでなく、移転先国でGDPRによるEU域内での保護と実質的に同等の保護レベルが確保されるか否かを事前に判断しなければならない。移転先国における保護が十分でない場合は次の両事項を判断しなければならない。

①　EU域内で与えられるのと本質的に同等のレベルの保護を確保するための追加保護措置を講じることが可能か。

②　移転先国の法令がこの追加保護措置の効果を妨げないか。

6. 補完的措置の内容　（FAQ 10)

補完的保護措置は、基本的には、移転元・移転先が、ケース・バイ・ケースで[その内容を判断し]講じなければならない。但し、EDPBは、今後指針(guidance)を検討し公表する予定である。

page top

本判決・FAQなどを踏まえた対応・影響

1. 従来EU域内から米国への移転をプライバシーシールドに基づき行っていた場合

本判決によりプライバシーシールドは既に無効と認定されており、FAQでは、もはや猶予期間なくプライバシーシールドのみに基づいて移転することは違法であるとされています。従って、日本企業の欧州子会社などが、従来、EU域内の消費者・従業員などの個人データをプライバシーシールドに基づき米国に移転しておりかつSCCを併用していない場合、直ちにその移転を中止するかまたはSCCを締結する必要があることになります。

今後、EU・米国間でプライバシーシールドに代わる新たな枠組みを交渉するとしても成立までには長期間を要し、また、仮に成立したとしても再びCJEUに無効とされる可能性があると思われます。

なお、プライバシーシールド参加企業は、プライバシーシールドで定めるPrivacy Principlesに従ったプライバシーポリシーを公表している筈なので、プライバシーシールド無効後も引続き同ポリシーを遵守しなければなりません[5](違反すれば、連邦取引委員会 (Federal Trade Commission）(FTC)による執行対象となる（FTC法5条）)。

2. 従来EU域内から米国への移転をSCCに基づき行っていた場合（プライバシーシールドと併用していた場合を含む）

本判決ではSCCによる移転も無条件で有効とされているわけではありません。FAQでは、SCCに基づき個人データを移転できるか否かは、移転の状況および補完的措置次第であるとされています。従って、現在、SCCに基づき移転している場合も移転の状況により補完的措置がなければ今後違法とされる可能性が皆無ではないことになります。

FAQによれば、この補完的措置は、SCCが保障する十分なレベルの保護を米国法（外国諜報活動監視法など）が損なうことを防止できるものでなければなりません。しかし、果たしてそのような措置があり得るのか。例えば、一応、データの暗号化、移転先との間の契約上の手当（例：移転先に対し当局への開示範囲を法令上可能な限り最小限にする義務を課す[6]）など考えられますが、現時点ではEDPBの指針もありません。従って、短期的にはEDPBの指針の公表を待つしかないと思われます[7]。

3. EU域内から日本への移転

米国以外の国へのSCCに基づく移転は原則として可能とされています。日本には、米国法のような当局による広範な監視権限を定めた法律はないので、今後も日本へのSCCに基づく移転は可能と思われます。

一方、プライバシーシールドが無効と認定されたことから同じ十分性認定である日本に対する十分性認定も欧州委による見直し[8]において厳しく審査され（場合により取消される）可能性があると思われます。日本に対する十分性認定については、特に、次のような補完的ルールの法的拘束性が問題とされる可能性があると思われます。

日本の憲法(41)は、国会は「国の唯一の立法機関である」と規定し（「国会中心立法の原則」）、国民の権利を制限しまたは義務を課すことは、国会で成立した「法律」またはこの法律から個別具体的な委任を受けた「政省令」（「委任立法」）でなければ行うことができないと解されています^[9]。この点、補完的ルールは、移転先に個人情報保護法にはない義務を課しており（だからこそ同法の「補完的ルール」）、個人情報保護委員会も同法よりも厳格なルールを定めるものと説明していますが、上記の法律または政省令のいずれでもありません。

従って、仮に、従来、EU域内から日本への移転を十分性認定のみに基づき行っていた場合は、SCCに切り替えるかまたはSCCを併用することがより安全と思われます。

4. EU・英国間の移転

英国は本年1月31日にEUを離脱しました。しかし、現在は本年12月31日までの移行期間中であり、引続きGDPRが英国に適用され、また、EU・英国間の移転はEU域内での移転と同様に扱われています。この移行期間終了時には、英国で既に成立している法律に基づき、GDPRの内容を英国国内法に読み替えた法律が自動的に成立します。これまでは、この移行期間中にEU・英国間で相互に十分性認定を行い、移行期間終了後もSCCの締結などを不要とすることが目指されていました。しかし、英国にも諜報機関に対し広範な監視権限を与える「2016年英国捜査権限法」（Investigatory Powers Act 2016）があり、その存在が十分性認定との関係で懸念されており[10]、本判決により英国に対する十分性認定は更に困難になったと思われます。そして、仮に、EUから英国に対し十分性認定がなされない場合、英国がEUに対し十分性認定（と同様の措置）を行うのかは疑問と思われます。

従って、日本企業の英国またはEU域内の子会社は、2021年1月1日以降の英国・EU間の移転についてSCCの締結を準備しておくことが安全と思われます。

5. 中国・ロシアなどへの移転

世界には、中国、ロシア、その他米国以上に当局が国家安全保障・治安などの名目で国民を監視する広範な権限を有している国があります。例えば、中国では「国家情報法」[11]で、国家安全省、公安省情報部門および人民解放軍情報部門に「技術的偵察措置」(通信傍受など)を含む広範な諜報活動の権限を与え、国民にこれに協力する義務を課しています（5, 15, 7）。本判決を厳格に適用すれば、EU域内から中国、ロシアなどへの移転は、SCCの締結その他どのような措置を講じてもGDPR上違法・無効となる可能性があると思われます。

しかし、EUにとり中国およびロシアは重要な貿易相手国であり、政治的にはそのような違法認定がされることはないと思われます。また、（本判決によるプライバシーシールド無効の判断はEU基本憲章およびGDPRの忠実な解釈でありある意味当然の帰結だとしても、）CJEUとしても両国へのSCCに基づく移転まで違法・無効とし両国への移転の途を閉ざしても、その判断が尊重されない可能性があるので、仮にそのような問題を提起されたとしても何らかの理由で判断を回避するように思われます。

従って、企業としては、EUから両国への移転も、移転が必要であれば、SCC（および可能なら補完的措置）に基づき移転するしかないと思われます。

6. SCC廃止・SDPC採択の可能性

現在のSCCは、以下の理由から、本判決を契機として廃止されSDPCが採択される可能性があると思われます。

(a) 仮に、EDPBの言う補完的措置が契約上の手当てにより可能なものであれば、その内容を反映したSDPCが作成され欧州委により採択・承認される(GDPR 46(2)(c)(d))可能性あると思われます。

(b) 前述の通り、EU域内から第三国への移転を可能とする契約としては、本来、SDPCが予定されており、SCCは暫定的に有効とされているに過ぎません。また、SCCは、データ保護指令に基づき作成されたものなのでその内容はGDPRを十分に反映していません。例えば、本判決で問題とされたSCCは移転先が処理者の場合のSCCですが、個人データの処理を第三者に委託する場合には、GDPR第28条第3項に定める事項を規定した契約を締結しなければなりません（FAQ 10参照）。しかし、SCCにはその一部しか規定されていません。CJEUは、本判決において、そのことを理由にSCCも無効とすることは可能であったと思われますが、プライバシーシールドもSCCも無効としたのでは、その判断が尊重されない可能性があるのでSCCは無効としなかった可能性があると思われます。従って、このこともSCCを廃止しSDPCを作成する理由になり得ると思われます。

page top

以　上

【筆者の最近のプライバシー関連の主な著作】

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」（2020年7月）

【注】

[1] CIPP/E (Certified Information Privacy Professional/Europe)／一般社団法人GBL研究所理事／UniLaw 企業法務研究所代表

[2] 【先決裁定】　「先決裁定」(preliminary ruling)とは、「欧州連合運営条約」（「TFEU」）TFEU 第267条に定める制度で、EU加盟国の裁判所においてEU法の解釈などが問題となり、かつ、その裁判所が判決を下す先決（前提）問題として必要と判断した場合、当該問題についてCJEUに判断（先決裁定）を求めることができる制度である。GDPRの前文143では、GDPRに基づき、データ主体から法的救済を求められた加盟国裁判所は、同条に従い、その裁判所が判決を下す上で先決問題となる事項について、CJEUに対しGDPRを含むEU 法の解釈に関する先決裁定（preliminary ruling）を求めることができ、または、所定の場合には先決裁定を求めなければならないと述べられている。

[3] 【判決に関するEDPBのFAQ全訳】　西村あさひ法律事務所　「ヨーロッパニューズレター 2020年7月29日号」II. 添付資料

[4] 【外国諜報監視法(FISA)702および大統領令(EO)12333】　（参考）Brennan Center for Justice at NYU Law "Foreign Intelligence Surveillance (FISA Section 702, Executive Order 12333, and Section 215 of the Patriot Act): A Resource Page"

[5] 【プライバシーシールドの継続遵守義務】　（参考）　HERDEM Attorneys at Law - Aslı Naz Ünlü　"EU-US Privacy Shield Ending: Future Strategies" July 29 2020, Lexology

[6] 【移転先に対し当局への開示範囲を法令上可能な限り最小限にする義務を課すこと】　(参考) Brian Hengesbaugh, Elisabeth Dehareng "7 predictions for the road ahead after 'Schrems II'" 28, 2020, IAPP

[7] 【補完的措置に関する指針の早期公表の見込み】　以下の参考資料によれば、本判決に対する評価に関し各監督機関は対応に関し混乱があるようであり、EDPBとしての統一した指針の早期公表の可能性は低いようにも思われる。（参考）　Christian Schröder, Shannon Yavorsky, Dennis Schmidt and Yumiko Olsen "How to Comply with International Transfers – The Regulatory Guidance Overview on the “Schrems II” Decision" July 29, 2020, Orrick Herrington & Sutcliffe LLP.

[8] 【日本に対する十分性認定の見直し】　EUの日本に対する十分性認定の決定文の第3条4項では、欧州委は、決定(2019年1月23日)から2年以内に、および、その後最低限4年ごとに十分性認定を見直すこと、ならびに、同5項では、欧州委が、日本において十分な保護水準が確保されなくなった兆候を発見した場合、十分性認定を一時停止、修正もしくは取消しまたは認定の範囲を狭めることができることが規定されている。

^[9] 【「国会中心立法」の原則】　憲法第41条を反映して内閣法第 11 条では次のように規定されている。：「政令には、法律の委任がなければ、義務を課し、又は権利を制限する規定を設けることができない。」　　また、国家行政組織法第12条第3項では次のように規定されている。：「省令には、法律の委任がなければ、罰則を設け、又は義務を課し、若しくは国民の権利を制限する規定を設けることができない。」　　（委任立法の限界）　日本大百科全書(ニッポニカ)の解説「国会中心主義をとる日本国憲法の原則に照らして、委任は個別具体的でなければならず、白紙委任は許されない。」　［阿部泰隆］

[10] 【英国に対する十分性認定】　（参考）Beiten Burkhardt - Dr. Axel von Walter "Brexit and Data Protection: Secure Your Data Transfers!" July 8 2020, Lexology

[11] 【中国国家情報法】　（中国語原文）「中华人民共和国国家情报法」、（解説と和訳）岡村志嘉子「中国の国家情報法」 2017-12, 国立国会図書館デジタルコレクション

メルマガ会員登録