Ⅰはじめに

近年における急速な情報技術の発展、インターネットの普及により、人々の生活やビジネスはあらゆる面で多大な影響を受けている。その一方で、個人情報を侵害する多数の事件が発生し続けている。このような事件により個人情報保護が議論の中心となっているが、ビッグデータ時代においては、個人情報の保護に関する厳しい規制が待たれる。

これを背景に、中国における個人情報保護立法が迅速に進められている。全国人民代表大会常務委員会は、2012年12月に「インターネット情報保護の強化に関する全国人民代表大会常務委員会の決定」を可決していたところ、2016年11月には「中華人民共和国インターネット安全法」（以下、「ネット安全法」という。）を可決し、同法は2017年6月1日より施行された（以下、両者をあわせて「一法一決定」という。）。この「一法一決定」の公布・施行により、企業による個人情報の処理に関する基本的・原則的な法的要求が明確化された（※1）。しかし、現行法の定めは原則的・抽象的で、企業の個人情報保護に関する詳細なガイドラインが欠けている。

このような状況に基づき、国家基準化委員会は、国内法令及び国際規則、実務を参考に、「情報安全技術　個人情報安全規範」（GB/T　35273-2017）（以下、「個人情報安全規範」という。）を制定し、2018年1月24日に公布した（2018年5月1日施行）。これが公布されると、社会的な関心を広く集め、熱い議論が展開された。

本稿は、この「個人情報安全規範」に基づき、各企業のネット上の安全、データ・コンプライアンスの実用的参考になるよう、企業が個人情報を収集・保存・使用・共有・譲渡・開示する際に注意すべき問題点について検討する。