こんにちわ、ゲストさん
ログイン2018年6月19日
概要
2018年は全世界的に見て、データの取扱いが規範化される年であり、欧州連合(EU)の「一般データ保護規則」(「GDPR」)は5月25日に施行され、中国の「サイバーセキュリティ法」、日本の「個人情報保護法」(改正版)も施行されてから、すでに一年以上が経過している。この1年で、中国ではデータ取扱いに関する規範化及びプライバシー保護に関連する法規を立て続けに公布し、法執行の度合いも徐々に厳しさを増しており、企業がデータの取扱いを規範化する制度を制定することはもはや必須となっている。これについて、里兆法律事務所では、近日、一連の文章を掲載し、データ取扱い規範化に関する企業サイドの不安を解消したい。今回は、データ取扱いに関して企業が陥りやすい「誤解」について重点的に考察する。
本文
■「誤解」その1:企業は、「サイバーセキュリティ法」さえ遵守すればよいのか
「サイバーセキュリティ法」(以下「『サイバーセキュリティ法』」という)は総括的法律であり、その主な目的はサイバーセキュリティの枠組みを築くことであって、データ取扱いの規範化については原則的な規定しか設けておらず、オペレーション面での指導性に欠ける。これについて、中国立法機関は「サイバーセキュリティ法」の施行前後において、一連の関連規定及びガイドラインを制定しており、企業はこれらを併せて遵守しなければならない。主な法規は以下の通りである。
類別 | 法規名 | 効力の次元 | 発効日 |
総括的法律 | 「サイバーセキュリティ法」 | 法律 | 2017年6月1日 |
刑事責任 | 「公民個人情報の侵害に係る刑事案件の法律適用の若干事項に関する最高人民法院、最高人民検察院による解釈」 | 司法解釈 | 2017年6月1日 |
個人情報保護 | 「個人情報セキュリティ規範」 | 推奨性規格文書 | 2018年5月1日 |
「個人情報非特定化ガイドライン」 | 推奨性規格文書 | 意見募集案 | |
国境を越えるデータ伝送 | 「個人情報及び重要データ国外持ち出しに関するセキュリティ評価弁法」 | 行政規則 | 意見募集案 |
「データの国外持ち出しに関するセキュリティ評価ガイドライン」 | 推奨性規格文書 | 意見募集案 | |
重要情報インフラ | 「重要情報インフラセキュリティ保護条例」 | 行政規則 | 意見募集案 |
「重要情報インフラセキュリティ検査評価ガイドライン」 | 推奨性規格文書 | 意見募集案 | |
サーバー製品及びサービス | 「サーバー製品及びサービスセキュリティ審査弁法」(試行) | 行政規則 | 2017年6月1日 |
「サーバー製品及びサービスセキュリティ通用要求」 | 推奨性規格文書 | 意見募集案 |
■「誤解」その2:GDPRは中国で登録された企業には適用されないのか
EUのGDPRは、EUに分支機構(establishment)を設立したデータ管理者及び取扱い者を規範化するだけでなく、特定の状況においては、非EUのデータ管理者及び取扱い者にも適用し、国外でも効力を有する。中国企業は以下の基準に基づき、GDPRを適用するかどうかを判断する必要がある。
適用原則 | 適用されるケース | 事例 |
属地主義 | ●データ管理者1又はデータ取扱い者2がEU領域内に分支機構を設けている場合、個人データ処理活動は分支機構の行う事業活動の場面で発生するものである(実質的な処理活動がEU領域内3で行われるかどうかを問わない)。 | ●某有名なコーヒー小売企業のドイツ支社がそのEU領域内で収集した会員登録情報(個人情報)をアメリカ本社へ伝送する場合、GDPRを適用する。 |
属人主義 | ●データ管理者又はデータ取扱い者はEU領域内に分支機構を設置していないが、EU領域内のデータ主体に対し商品又はサービス(有償・無償を問わず)を提供する。 ●この場合、管理者又は取扱い者がEUのデータ主体に対しサービスを提供する見込みが明白であるかどうかを確定する必要がある。判断根拠には、下記のものが含まれるがこれらに限らない。 ・ウェブサイトにEUの言語を使用している(ウェブサイトの表示言語として、ユーザーはEUの言語を選択できる)。 ・ウェブサイトにEU通貨で価格を表示している。 ・主要顧客がEU領域内の顧客又はユーザーであることをつねに宣伝している。 |
●中国の某ショッピングウェブサイト(EUに分支機構はない)がEUのユーザーに対しサービスを提供し、ユーザーはウェブサイト表示言語としてドイツ語を選択することができ、商品価格もユーロで表示される場合には、GDPRを適用する可能性が高い。 |
保護主義 | データ主体につきEUで発生した行為を監視する。 | ●WeChatが中国で働くドイツ人にサービスを提供し、その人の好みに合った広告を配信する場合は、GDPRを適用しない。 ●WeChatがドイツで働く中国人へサービスを提供し、その人の好みに合った広告を配信する場合は(モニタリング行為とみなされる可能性がある)、GDPRを適用する可能性が高い。 |
■「誤解」その3:企業はすでに厳格なGDPRを実施しているため、「サイバーセキュリティ法」を改めて考慮しなくともよいのか
中国がデータ保護に関する法律を制定する際には、EUのGDPRを参考にしている。しかし、国が異なれば立法の傾向も異なり、中国のデータ保護は国の安全及び個人プライバシー保護を重んじているが、EUのGDPRは人権保護を重んじている。これにより、GDPRと中国のデータ保護体系との間にはやや大きな違いが生じ、多国籍企業の中国にある実体企業がGDPRを適用する際には、EU基準と中国基準の整合性及び現地化についてとりわけ注意を払い、直接にGDPRを適用してはならない。
■「誤解」その4:「個人情報及び重要データの域外持ち出しに関するセキュリティ評価弁法」はまだ施行されていないため、企業はデータを国外へ自由に持ち出すことが可能なのか
評価弁法及び評価ガイドラインはまだ施行されていないが、「サイバーセキュリティ法」第37条では、重要情報インフラ運営者(「CIIO」)が国内で収集し発生した個人情報及び重要データは国内で保管しなければならないと定められている。業務上の都合でどうしても国外へ提供する必要がある場合、国家インターネット情報部門と国務院の関係部門が共同で制定した弁法に従ってセキュリティ評価を実施しなければならない。
よって、現段階では、企業はCIIOに該当するかどうかを主に評価しなければならない。「重要情報インフラ識別ガイドライン」はまだ制定段階にあるため、企業が「データの域外持ち出しに関するセキュリティ評価ガイドライン」付録A-重要データ識別ガイドラインを参考にし、企業が国外へ持ち出すデータが重要データに該当するかどうかを評価しておくのがよい。重要データに該当する場合、企業はデータを国外へ持ち出す必要性について慎重に検討しなければならない。「ガイドライン」によれば、以下の業界の情報は重要なデータに係わってくる可能性がある。
番号 | 業界 |
1 | 化学工業 |
2 | 交通運輸 |
3 | 鋼鉄 |
4 | 非鉄金属 |
5 | 金融(金融機関) |
6 | 食品薬品 |
7 | 電子商取引 |
8 | 通信 |
■「誤解」その5: EUと比べて、中国ではデータ取扱いの規範化方面での処罰はそれほど厳しくないのか
過料だけに着目するならば、EUの最高で2,000万ユーロ又は前会計年度の全世界売上高の4%(金額の高い方に準じる)という巨額の過料と比べ、「サイバーセキュリティ法」に違反した企業に対する過料は、通常、GDPRよりはるかに低くなる。但し、中国法上、企業が「サイバーセキュリティ法」に違反した場合、業務停止、営業停止・整頓、ウェブサイト閉鎖が命じられ、係る業務許可証/営業許可証が取り上げられるという処罰を受けるおそれもあり、その処罰の結果は信用記録に記載され、公示される。
また、「刑法」改正案九及び「公民個人情報の侵害に係る刑事案件の法律適用の若干事項に関する最高人民法院、最高人民検察院による解釈」によると、データ取扱いの規範化義務に違反した企業及び関係責任者については、情報サイバーセキュリティ管理義務履行拒否罪、公民個人情報侵害罪などが成立しうる。よって、企業はデータ取扱いの規範化に取り組む価値を過小評価してはならず、発生しうるコンプライアンスリスクに対処するために、なるべく早めに措置を講じておかねばならない。
最後に
データ取扱いに関する規範化制度には、企業のデータ取扱いに関する規範化の全体的政策の制定、国境を越えるデータ伝送のセキュリティ評価、個人情報セキュリティ影響評価、政府検査への対応、プライバシーポリシー/プロトコルの整備、従業員のデータ取扱に関するコンプライアンス意識の研修など多方面にわたるものである。企業がデータ取扱いに関する規範化制度を整備することは、行政・刑事処罰を受けるリスクを軽減し、ユーザーからの信頼を高めることに有益である。今後の連載において、筆者は日本と中国での個人プライバシー保護基準の違い、データの域外への持ち出し、個人情報セキュリティの規範化について重点を置いて考察していくため、引き続き関心を払っていただきたい。
(里兆法律事務所が2018年6月11日付で作成)
有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。
2021年8月3日
2021年3月19日
2021年2月10日
2021年1月28日
2021年1月21日