個人情報の保護に関する法律に違反してはいませんか？（前篇）

～「個人情報セキュリティ規範」に関するFAQ

概要

中国データ保護制度の重要な構成部分として、「個人情報セキュリティ規範」（以下、「規範」という）が2018年5月1日から正式に施行されている。「規範」の施行実施後に、国の関連部門は一連の行動を通して、個人情報違法行為を厳しく取り締まっている。例えば、APPによる個人情報収集に対する中国消費者協会の評価の動き、工業情報化部など8部門による「網剣行動」と呼ばれるインターネット上の不正行為摘発措置などが挙げられる。政府部門による監督管理上の厳しい姿勢は、「規範」を重視し、データを取り扱う際には必ず法令を遵守せよという企業への警鐘でもある。

本文

■企業は「規範」とどのように向き合うべきか？

「サイバーセキュリティ法」は大枠としての法律であり、データの遵法管理については原則的な規定しか設けておらず、指導的な役割を果たすには足りない。「規範」が制定されたのは、まさにこの問題を解決するためであった。「規範」では、個人情報の取扱いの流れや個人情報の分類について具体的で明確な規定がなされており、また、その別紙では個人情報、プライバシーポリシー、同意選択権について重点的に説明がなされている。また、「規範」はEUの「一般データ保護規則」（GDPR）を手本にし、個人情報主体がデータを再利用しやすい形式で還元してもらえる権利（データポータビリティ権）、個人情報保護責任者などの内容にも言及しており、企業に対し非常に高い要求を行っている。

効力の次元から見てみると、「規範」は推奨性国家基準に該当する。つまり、企業は「規範」を採用するよう義務付けられてはいない。厳密に言うならば、政府部門は直接「規範」に依拠して処罰することはできないのだが、「規範」は、政府部門が監督管理措置を講じる際の重要な参考根拠となり得るものであり、また同時に、裁判所は判決書において「規範」を引用し、裁判の判断を導き出すに至った根拠として説明する可能性もある。なお、「規範」内容の多くは「サイバーセキュリティ法」に記載された原則を具体化したものである。企業が「規範」に違反した場合は、「サイバーセキュリティ法」第64条に違反したものとして認定され、最高で違法所得相当額以上10倍以下（10倍を含む）又は100万以下の過料に処し、ひいては企業の係る経営免許証及び許可証が取り上げられるおそれがある。したがって、処罰されてしまうリスクを軽減するためにも、企業は実行可能な状況においては、なるべく「規範」に従うことが望ましい。

■個人情報とは何か？

法規

条文

解説

「サイバーセキュリティ法」第76条第5項

個人情報とは、電子又はその他方式により記録される、単独で又はその他の情報を踏まえることで、自然人の身元を識別できる各種の情報をいい、これには自然人の氏名、生年月日、本人証明書番号、個人生体認証情報、住所、電話番号などが含まれるがこれらに限らない。

● 「サイバーセキュリティ法」では、個人情報を判断する手段は「識別」であり、具体的な自然人を特定し識別できる情報であれば、個人情報に該当する。

● 例えば、本人証明書番号であれば、それだけをもって特定の自然人を識別することができるが、氏名の場合、他の補助情報（例えば、生年月日など）がなければ、特定の自然人を識別することはできない。

「規範」3.1条

個人情報とは、電子又はその他方式により記録される単独で又はその他の情報を踏まえることで特定の自然人の身元を識別できるか、又は特定の自然人の活動を反映できる各種の情報をいう。

● 「規範」では、識別手段のほか、「関連性」によって個人情報を判断する方式を追加した。つまり、ある特定の自然人について、当該自然人のその活動において生じる情報も個人情報である、とするもの。

● 例えば、自然人である張三氏がいるとして、張三氏のその活動において生じる位置情報、通信記録、閲覧履歴なども個人情報に該当するというもの。

■個人情報にはどのような分類があるのか？

「規範」の別紙Aでは、個人情報が分類され、具体例が挙げられており、そこからは、個人に関連するほとんどの情報が個人情報の範疇に該当することがわかるのだが、これにより、データ取扱に関するコンプライアンス対策面では、企業にかなり大きな負担がかかってくる。主な分類とよくある個人情報は、下表の通りである。

類別	例
個人基本資料	●氏名、生年月日、性別、民族、国籍、住所、電話番号、メールアドレスなど
個人の本人確認情報	●本人証明書、旅券、社員証、入退室カード、居住証、社会保障カードなど
個人生体認証情報	●遺伝子、指紋、声紋、虹彩、顔の特徴点など
インターネット上の本人識別情報	●システムログインID、IPアドレス、メールアドレス及び前述に関連するパスワード、暗号など
個人のフィジカルヘルス情報	●個人の病気の診療などに係る記録。例えば、既往症、入院治療記録、処方箋、検査報告、薬の服用履歴など ●身長、体重、肺活量など
個人の資産情報	●銀行口座番号、識別情報（パスワード）、預金情報、不動産情報、与信記録、興信情報、銀行カードの利用明細、出入金明細など ●仮想通貨、バーチャル取引、ゲーム類のクーポンコードなどのクリプトアセット情報
個人の教育・就業情報	●個人の職業、職位、勤務先、学歴、学位、学業経歴、職歴、研修記録、成績表など
個人の通信情報	●通信記録と内容、ショートメッセージ、電子メールなど
連絡先情報	●電話帳、友人リスト、グループチャットリスト、メールアドレス帳など
個人のよく利用する設備の情報	●ハードウェアシリアル番号、設備のMACアドレス、ソフトウェアリスト、端末識別番号など
個人位置情報	●足取り、正確な位置情報、宿泊情報、経緯度など
その他の情報	●結婚歴、信仰宗教、性指向、未公開の犯罪歴など

■個人情報はどのように収集し、使用すべきか？

「サイバーセキュリティ法」第41条は、インターネット運営者が個人情報を収集し、使用する際には、「適法、必要、安全、公開・透明性、同意、主体の参加」などの原則に従わなければならないことを明確にしている。「規範」では、これらの原則を一つ一つ具体化し、内容を補充している。具体的には以下の通りである。

「サイバーセキュリティ法」の要求

「規範」において具体化された要求

適法、正当の原則：

インターネット運営者は法令・契約に違反して、個人情報を収集し、使用してはならない。

個人情報支配者は、下記のことを行ってはならない。

●情報を提供するよう個人情報主体を欺き、騙し、強要すること。

●製品又はサービスが個人情報の収集機能を有していることを隠しごまかすこと。

●不法なルートから個人情報を取得すること。

●法律法規で収集が禁止されている個人情報を収集すること。

必要（最低限）の原則：

インターネット運営者は、自己の提供するサービスと無関係な個人情報を収集してはならない。

個人情報支配者は、次に掲げることを遵守しなければならない。

●収集した個人情報の類型は、製品又はサービスの機能の実現と直接に関係するものでなければならない。

●自動的に採集する個人情報の頻度は、製品又はサービスの機能を実現するために必要とされる最低限の頻度でなければならない。

●間接的に収集する個人情報の数量は、製品又はサービスの機能を実現するために必要とされる最低限の数量でなければならない。

公開・透明性の原則：

インターネット運営者は、収集・使用規則を開示し、情報を収集し、使用する目的、方式及び範囲を明示しなければならない。

個人情報支配者はプライバシーポリシーにおいて、下記事項を公表しなければならない。

●個人情報を収集し、使用する目的、及びその目的が網羅する各業務機能。例えば、個人情報を商業広告の配布に使用することなど。

●それぞれの業務機能により収集される個人情報、及び収集方式、頻度、保管場所、保存期限。

●個人情報セキュリティ原則、個人情報主体の権利及びその実現方法、リスクなど。

同意の原則：

インターネット運営者は個人情報を収集し、使用する場合、収集される者の同意を得なければならない。

個人情報支配者は下記事項をしなければならない。

●公開・透明の原則に基づき、収集の目的や方式などをデータ主体に明確に告げ、それをもって同意を得なければならない。

●個人情報を間接的に取得した場合には、

→提供者に対し、個人情報の出処を説明するよう求め、出処の適法性を確認しなければならない。

→個人情報主体からの授権・同意の範囲（譲渡、共有、公開・開示などに同意するかどうかを含む）を把握しなければならない。

安全の原則：

インターネット運営者は技術上の措置及びその他の必要な措置を講じ、収集した個人情報の安全を確保し、情報の漏えい、毀損、紛失が生じないようにしなければならない。

●非識別加工[i]：個人情報支配者は、収集後に非識別加工を施し、かつ技術及び管理措置を講じ、非識別加工済みのデータを個人の識別を復元することに使用可能な情報を分けて保存することで、その後の個人情報の取扱いにおいて、特定の個人が改めて識別されないようにしなければならない。

●保存期間の最短化：

→個人情報の保存期間はその目的を実現するために必要とされる最短期間でなければならない。

→上記期間を超えたときには、個人情報を削除し、又は匿名化処理[ii]を行わなければならない。

主体参加：

インターネット運営者が法令・契約に違反して個人情報を収集したことを個人が発見した場合、削除を求める権利を有する。情報に誤りがあることを発見した場合、訂正を求める権利を有する。

●訂正、補足：個人情報主体が個人情報に誤り又は不備があることを発見した場合、個人情報支配者は情報を訂正し、又は補足する方法を提供しなければならない。

●削除の理由：

→法令・契約に違反して収集した個人情報。

→法令・契約に違反して第三者と共有したり、第三者に譲渡するなどした個人情報。

→法令・契約に違反して公衆に開示した個人情報。

（後編へ）

[i] 非識別加工：個人情報の技術処理を通じて、他の情報に頼ることなく、個人情報主体を識別することが不可能になるように処理する過程を指す。

[ii] 匿名化：個人情報の技術処理を通じて、個人情報主体が識別されることを不可能にし、且つ処理後の情報を復元できないように処理する過程を指す。匿名化処理済みの個人情報から得た情報は、個人情報に該当しない。

ユーザー登録がお済みの方

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内