こんにちわ、ゲストさん

ログイン

個人情報の保護に関する法律に違反してはいませんか?(後編)

中国ビジネスレポート 法務
邱 奇峰

邱 奇峰

無料

2019年3月19日

■機微情報については、どのように収集し、取り扱うべきか?

機微な個人情報はGDPRにおける「特別カテゴリーの個人情報」に類似し、一旦漏えいされたり、不法に提供されたり、又は濫用されたりすれば、人身・財産上の安全に危害が及ぶ恐れがあり、個人の名誉や心身の健康を損なったり、又は不当な冷遇を受ける可能性が極めて高い個人情報を指す。上表で言及される一部の個人の資産情報、フィジカルヘルス情報、生体認証情報、本人情報、インターネット上の身元識別情報及び満14歳(14歳を含む)以下の未成年者の個人情報はいずれも機微情報に該当する。

機微情報を収集し、取り扱う場合、下記事項について注意を払う必要がある。

チェックポイント 具体的な要求
明示的な同意 ● 機微な個人情報を収集する際に、個人情報主体からの明示的な同意を得なければならない。

● 明示的な同意は、状況をよく理解したうえで自由意思により、具体的で明白な意思を表すものでなければならない。

● チェックボックス(☑)方式を採用してユーザーの同意を得る場合、初めからチェックの入っているデフォルト・オン状態に設定してはならない。

● 個人情報主体が自らチェックを入れたり、「同意」、「登録」ボタンを自らクリックするなどの方式により、「明示的な同意」を得ることができる。

暗号化処理 ● 機微情報を伝送し、保存する場合、暗号化などのセキュリティ措置を施さなければならない。
権限管理 ● 機微な個人情報へのアクセス、修正などの行為は、ロールベースアクセス制御を採用する必要があり、業務手順上の必要に応じて、操作の権限が付与される。

● 例えば、顧客から苦情を受けることにより、苦情受付担当者ははじめて当該顧客の機微情報にアクセスすることができる。

未成年者の情報 ● 満14歳未満の未成年者の個人情報を収集する場合、その成年後見人から明示的な同意を得なければならない。

■他社と個人情報を共有し、又は他社に譲渡することは可能なのか?

原則上、個人情報を共有し、譲渡することは認められていない。共有し、譲渡する必要が確かにある場合、リスクを十分に考えたうえ、以下の要求に従わなければならない。

チェックポイント 具体的な要求
個人情報セキュリティ影響評価 ● 事前に個人情報セキュリティ影響評価を行い、評価の結果に基き有効な保護措置を講じる。
告知及び同意 ● 個人情報主体に共有・譲渡の目的、データ受け手の類型を告知し、事前にその同意を得る。

● 非識別加工済みの個人情報の共有、譲渡であり、受け手が個人情報主体を識別できないことを保証できる場合を除く。

機微情報告知 ● 機微情報を共有・譲渡する前に、データ主体に対し個人機微情報の類型、データ受け手の身元及びデータセキュリティ能力を告知し、且つ明示的な同意を得なければならない
記録及び保存 ● 個人情報の共有・譲渡状況(共有・譲渡の日、規模、目的及びデータ受け手の基本情況を含む)を正確に記録する。
主体の参加 ● 個人情報の主体が受け手の保存・使用状況、及び個人主体の権利(アクセス、訂正、削除、アカウントの削除など)を把握できるようにサポートする。

■「規範」は、オフラインで収集した個人情報にも適用するのか?

「規範」の適用主体はデータ支配者であり、即ち、個人情報の取扱い目的、方式を決定する権利を有する組織又は個人である。同法の適用対象は「サイバーセキュリティ法」のインターネット運営者よりも広く、よって、「規範」はオンライン及びオフラインでの個人情報収集行為のいずれに対しても拘束力を有する。具体的には、以下の通りである。

法規 条文 解説
「サイバーセキュリティ法」第2条 中華人民共和国領域内でのネットワークの構築、運営、メンテナンス、使用、及びネットワークの安全に対する監督管理には、本法を適用する。 「サイバーセキュリティ法」では、同法はインターネットに係る行為を規範化するものであることが強調されており、よって、オフラインでの個人情報収集行為は、原則上、「サイバーセキュリティ法」の制限を受けない。
「規範」第1条 本基準は、各種組織の個人情報取扱いを規範化するうえで適用され、主要監督管理部門、第三者評価機構などといった組織による個人情報取扱いに対する監督、管理及び評価にも適用される。 「規範」では、オンラインとオフラインでの収集行為を区別せず、さらに、個人情報支配者がインターネット運営者に限定されないため、「規範」はオフラインでの個人情報収集行為にも適用される。

終わりに

「規範」が公布されたことで、企業が個人情報を保護するうえで依拠すべき規定が整備された。企業は、個人情報を収集し、保存し、共有する際には、「規範」を可能な限り遵守し、処罰リスクを低減させなければならない。

(里兆法律事務所が2018年8月7日付で作成)

ユーザー登録がお済みの方

Username or E-mail:
パスワード:
パスワードを忘れた方はコチラ

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内

最近のレポート

ページトップへ