【23-04】中国の個人情報保護法の概要及びその対応
2023年06月12日
柳 陽(Liu Yang):
柳・チャイナロー外国法事務弁護士事務所代表
北京大学、慶應義塾大学法学修士。2006年より弁護士業務を行っており、日本企業の中国における新規投資、M&A、事業再編、不祥事対応、労務及び紛争処理等中国法業務全般を取り扱っている。
事務所ウェブサイトhttp://www.chinalaw-firm.jp
近年、中国でも個人情報の漏洩やセキュリティの問題が急増し、大規模なデータ漏洩事件や個人情報の不正利用による社会的な問題が浮き彫りになり、個人情報の保護が喫緊の課題となっている。こうした中、中国は、2020年に「個人情報保護法」[1]を制定し、当該法律は2021年11月1日に施行された。本稿では、中国の個人情報保護法(以下、「本法」という)の概要及びその対応について説明する。
1 個人情報保護法の概要
(1) 適用範囲
本法は、中国において個人情報を取り扱う(収集、保存、使用、加工、転送、提供、公開、削除などを含む。以下同じ)際に適用される(本法4条2項)。また、中国国外においても、一定の条件を満たせば、本法が適用される。
具体的には、中国国外であっても、中国国内の自然人の個人情報を取り扱う活動であって、①中国国内の自然人に向けて商品又はサービスを提供することを目的とする場合、②中国国内の自然人の行動を分析し、評価するものである場合、③法律・行政法規に定めるその他の事情がある場合には、本法を適用することとなる(本法3条2項)。
(2) 個人情報とは
本法は、個人情報を広範囲に定義し、氏名、住所、電話番号、メールアドレス、生物学的特徴、財務情報などの、個人の身元を特定することができる情報がそれに該当する。即ち、個人情報とは、「電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない」とされている(本法4条1項)。
(3) センシティブな個人情報
本法では、一度漏洩し、又は不法に使用されると、自然人の尊厳が侵害される、又は人身、財産の安全に危害を与える可能性の高い個人情報を、「センシティブな個人情報」とし、生物的識別、宗教・信仰、特定の身分、医療・健康、金融口座、行動記録等の情報、及び14歳未満の未成年者の個人情報がそれに該当する(本法28条1項)。センシティブな個人情報は、取り扱う際に個別の同意が必要とされるなど、より厳しい制限が設けられている。
(4) 個人情報を取り扱う場合の条件
個人情報を取り扱う場合、一定の事由を除き、個人情報取扱者は、当該個人から同意を得る必要がある(本法13条)。また、個人情報の取り扱い目的、取り扱い方法及び取り扱う個人情報の種類に変更が生じた場合には、改めて個人から同意を得なければならないとされている(本法14条2項)。
また、個人情報を取り扱うには正当な理由が必要であり(本法5条)、目的外での使用や無関係な情報との結びつけを禁止している。
(5) 個人情報主体の権利
本法は、個人情報主体(個人情報の所有者)の権利を保護している。個人情報の収集や使用に関する情報を提供する義務や、個人情報の削除や訂正を要求する権利があり、また、個人情報主体は不正な情報取り扱いに対して苦情を申し立てる権利も持っている。
(ア) 個人は、その個人情報の取り扱いについて知る権利及び決定権を有し、他人によるその個人情報の取り扱いを制限又は拒否する権利を有する(本法44条。ただし例外事由あり)。
(イ) 個人は、個人情報取扱者に対して、その個人情報を閲覧又は複製する権利を有する(本法45条1項。ただし例外事由あり)。
(ウ) 個人は、その個人情報が不正確又は不完全であることを発見した場合は、個人情報取扱者に対し、訂正又は追加を請求する権利を有する(本法46条1項)。
(エ) 個人は、個人情報取扱者に対し、その個人情報取り扱いルールについて解釈及び説明を求めることができる(本法48条)。
(6) 個人情報責任者
本法は、中国国内国外を問わず、一定の条件を満たす組織には個人情報責任者の設置を義務付けている。個人情報責任者は、個人情報取り扱い活動及び講じている保護措置等を監督する役割が求められる(本法52条)。
個人情報取扱者が中国国外にある場合、中国国内に専門機構を設立し、又は代表者を指定し、個人情報保護に関連する事務の取り扱いをさせるものとし、また、当該機構の名称又はだ表者の氏名、連絡先等を主管部門に報告しなければならない(本法53条)。
(7) 個人情報の越境移転
本法は、個人情報の中国国外への移転に関して特別な要件を設けている。個人情報取扱者は、中国国外に個人情報を提供する場合、以下のいずれかの条件を満たさなければならない(本法38条)。
(ア) 中国のネットワーク情報部門が行う安全評価に合格すること
(イ) 中国のネットワーク情報部門の規定に従い専門機構が行う個人情報保護の認証を受けること
(ウ) 中国のネットワーク情報部門が制定する標準契約に従い国外の移転先と契約を締結し、双方の権利及び義務を約定すること
(エ) 法律、行政法規又は中国のネットワーク情報部門が定めるその他の条件
(8) 法違反に対する罰則
企業が個人情報保護法に違反した場合、主管部門により是正命令、警告、違法所得の没収、サービス提供の一時停止又は終了等の処分を受けることがあり、また、是正を拒否したときは、100万元以下の過料を併科される可能性もある(本法66条1項)。さらに、個人情報保護法に違反し、その違反の情状が重いときには、5000万元以下又は前年度売上高の5%以下の過料に処され、また、営業停止となることもあり得る(本法66条2項)。
2 個人情報保護法への対応
個人情報保護法の施行により、個人情報を取り扱う際のルールが明確になった。本法に違反すれば、法律違反による罰則以外にも、企業や団体の信頼性が低下するなど、様々な不利な影響が考えられる。したがって、日本企業が中国で事業を展開する際に、個人情報保護法の遵守が非常に重要な課題となる。
具体的には、本法の施行に伴い、企業は以下のような対応を取ることが必要と考えられる。これには、内部の組織・方針の見直し、個人情報の管理と保護の強化、従業員に対する教育の実施、関連規程の整備、そして適切なコンプライアンス体制の確立などが含まれる。
(1) 個人情報保護の組織と方針の確立
企業は、個人情報保護の責任を明確にするために、個人情報保護専任のチームや役職を設置することが望まれる。個人情報保護の方針とガイドラインを策定し、社内で広く周知する必要がある。例えば、個人情報管理委員会を設けて戦略的な方針を策定し、それを従業員に伝えることが挙げられる。
(2) 個人情報の管理と保護の強化
企業は、個人情報の収集、使用、保存、処理、転送などのすべての段階において適切なセキュリティ対策を講じなければならない。これには、技術的な対策(データ暗号化、アクセス制御、セキュリティソフトウェアの導入など)と組織的な対策(アクセス権限の管理、データの分類と分離、定期的な監査と評価)の両方が含まれる。
(3) 従業員に対する教育の実施
企業の従業員も、個人情報の適切な取り扱い方法を理解し、法令と企業の個人情報保護方針を遵守する必要がある。企業は従業員に対して定期的な教育と訓練を実施し、個人情報の取り扱いに関する最新の法令や手順について研修を受けさせるようにするのが望ましい。
(4) 個人情報保護に関する規程の整備
企業は、個人情報の取り扱い方針やプライバシーポリシーを作成し、それらには、収集される個人情報の種類、目的、第三者への提供、個人情報の保管期間、個人情報主体の権利などを含めるべきであろう。
また、企業は、個人情報主体が自身の個人情報にアクセスし、修正や削除を要求できるようにする必要がある。また、苦情の処理手続を整備し、個人情報主体からの苦情に対して迅速かつ適切に対応する体制を確立することも重要である。
(5) コンプライアンスの監視と評価
企業は、個人情報保護のコンプライアンス状況を定期的に監視し、評価する必要がある。内部監査や外部の専門家による監査を実施し、適切なコンプライアンス対策が実施されていることを確認する。また、必要に応じて、改善策を策定し、適切な対応を行うことが求められる。
以上
[1] 中华人民共和国个人信息保护法