こんにちわ、ゲストさん
ログイン2021年9月9日
概要
「個人情報保護法」(草案二次審議稿、2021年4月29日全国人民代表大会常務委員会が公表)、「遺伝子識別データセキュリティ要求」(意見募集案、2021年5月11日に情報セキュリティ標準化技術委員会が公表)、「自動車データセキュリティ管理若干規定」(意見募集案、2021年5月12日国家インターネット情報弁公室が公表)及び「データセキュリティ法」(正式法案を2021年6月10日に全国人民代表大会常務委員会が公表)といった、データ及び情報保護分野に関する4つの法規案が先頃相次いで公表された。そのうち、「データセキュリティ法」は、2021年9月1日から施行されるが、その他の3つの法規は、いずれも制定段階にあり、まだ発効していない。本稿では、4つの法規[1]における個人情報保護に関する要求について簡潔に考察する。
本文
一、4つの法規の規制対象及び主体
4つの法規は、いずれも個人情報に係る規定であるが、その規制対象及び規制主体はそれぞれやや異なり、詳細について下表に整理し、説明する。
法規 |
規制対象 |
規制主体 |
「データセキュリティ法」 |
● データとは、如何なる電子又はその他の方式による、情報の記録をいう。 ● データの取扱いとは、データを収集、保存、使用、加工、伝送、提供、公開する等の行動をいう。 |
● 規制主体は、データの取扱いに従事する主体である。 |
「個人情報保護法」 |
● 個人情報とは、電子形式又はその他の形式で記録される、既に識別された又は識別可能な自然人に関する各種情報をいう。 ● 個人情報の取扱いとは、個人情報を収集、保存、使用、加工、伝送、提供、公開する行動をいう。 |
● 規制主体は、個人情報の取扱いに従事する主体である。 |
「遺伝子識別データセキュリティ要求」 |
● 遺伝子識別データとは、人類の遺伝物質から得られた個体又は群体の遺伝情報を伝達するデータをいい、当該データは、直接又は間接的に人類個体又は群体を識別することができる。例えば、ゲノムDNA塩基配列データ、機能ゲノムデータ等がある遺伝子識別データは、個人情報に該当する)。 |
● 規制主体は、遺伝子識別データ支配者(即ち、遺伝子識別データ取扱目的、方式等を決定する能力を有する組織又は個人)である。 |
「自動車データセキュリティ管理若干規定」 |
● 自動車データとは、個人情報及び重要データ[2]をいい、そのうち、個人情報には、自動車の所有者、運転者、同乗者、通行人等の個人情報、及び個人の身元の推定や個人の行動の説明が可能となるような各種の情報が含まれる。 |
● 規制主体は、運営者、即ち自動車の設計、製造、サービス提供企業又は組織(それには、自動車メーカー、部品及びソフトウエアのサプライヤー、ディーラー、修理機構、配車サービス企業、保険会社等が含まれる。)を指す。 |
以上から、4つの法規の規制対象は完全に一致しているわけではなく、共通しているところもあれば、異なるところもある。具体的にみていくと、「データセキュリティ法」の適用範囲がもっとも広く、個人情報のほか、個人情報に該当しないその他のデータも含まれる。「個人情報保護法」は、個人情報を対象とする個別法令である。「遺伝子識別データセキュリティ要求」及び「自動車データセキュリティ管理若干規定」の規制対象は、主に特定種類の個人情報である。なお、規制対象が異なれば、規制主体も相応に異なってくる。
二、個人情報の分類
個人情報の漏えい等によりもたらし得る危害の度合いに応じて、個人情報は、機微な個人情報と一般的な個人情報という2種類に分けることができる。機微な個人情報は、より厳しい保護要求を適用しなければならない。
機微な個人情報と一般的な個人情報の分類について、下表に簡潔に説明する。
類別 |
定義 |
具体的な例示 |
機微な個人情報 |
● 機微な個人情報とは、ひとたび漏えい、不法使用された場合に、個人がそれにより不当な扱いを受け、又は身体、財産安全が重大な損害を被る恐れがある個人情報をいう。
● 14 歳未満の未成年者の個人情報も機微な個人情報である。 |
● 本人証明書、社会保険カード、信仰宗教、通信記録及びその内容、移動の足取り、銀行口座番号、鑑別パスワード、預金情報、個人の病気治療等によって生じる記録、個人遺伝子情報[3]、指紋、顔認識特徴等[4]。 ● 車両の位置、運転者又は同乗者の音声映像等、及び法律法規に違反した運転の判断のために利用できるデータ等も機微な個人情報に該当する(「自動車データセキュリティ管理若干規定」)。 |
一般的な個人情報 |
● 一般的な個人情報とは、機微な個人情報以外の個人情報をいう。 |
● 個人の氏名、生年月日、電話番号、職業、職位、勤務先、学校、学歴等。 |
三、個人情報の取扱過程における重点留意事項
個人情報の取扱過程には、具体的には、収集、保存、使用、加工、伝送、提供、公開等といった行動が含まれており、かかる行動においては「同意原則」、「リスク評価及び記録」及び「越境伝送」という3つの方面の内容が相対的に重要であると考えるため、ここで以下、具体的に説明する。
■ 同意原則
「同意原則」は、個人情報取扱いの核心原則として、個人情報を取扱うにあったっての重要な適法性の基礎であり、企業が個人情報を適法に取り扱ううえで、非常に重要である。
法律に定める幾つかの例外状況1を除き、個人情報を取り扱ううえでは個人の同意を得なければならず、且つその同意は、個人が十分に事情をよく把握したうえで、自由意思により、明確に行われなければならない。
類別 |
事情の把握 |
同意 |
一般的な個人情報 |
● 個人情報を取扱う前に、以下の事項を個人に告知しなければならない。(一)個人情報を取扱う者の身元及び連絡先。(二)個人情報の取扱目的、取扱方法、取り扱う個人情報の種類、保存期限。(三)個人が個人情報の照会、複製、訂正等の権利を行使する方式及び手続き。(四)法律、行政法規で告知しなければならないと定められているその他の事項。 |
● 個人の一般的同意を得ればよい。例えば、プライバシーポリシー、同意説明文書等において、左記の事項を明記し、被収集者に「同意」ボタンをクリックしてもらうか、又は署名による確認をさせる等。 ● 現在、多くの企業は、個人情報の取扱いに関する個人顧客の同意を得るために、プライバシーポリシーを作成し、且つ公表している。だが、企業の運営過程においては、通常、従業員及びディーラー、サプライヤー等といった者たちの個人情報の取扱いにも係ってくるため、この点について、企業は、専門家の指導及び協力の下、従業員と委任同意書を締結する方式を通じて、従業員の同意を得ておくのがよいと考える。なお、ディーラー、サプライヤー等との契約書の中で、かかる個人情報保護条項を追加し、「その共有する個人情報の入手方法が適法であり、且つかかる個人もその個人情報の共有に同意済みである」ことをディーラー、サプライヤーに承諾させるのがよい。 |
機微な個人情報 |
● 上述(一)号乃至(四)号の内容のほか、個人に対し、機微な個人情報取扱いの必要性及び個人への影響を告知しなければならない。 |
● 個人の個別の同意を得なければならない。個別の同意については、現在、法規上明確な画定はなされていないが、筆者の理解では、「個別の同意」は、個人情報を取扱う者が個人情報を取り扱う際に、個人が明確に知得しているという前提で同意するかどうかの決定を行えるよう、個別の同意を必要とする状況について個別に注意喚起することを強調するものであると考える。 ● 例えば、機微な情報の取扱状況、共有、越境伝送、一般向けに公開される個人情報に係る内容を、プライバシーポリシー又は同意説明文書から書き出して、1部又は複数の単独の文書又はWebサイトのページに記載し、個人に個別的に当該文書について「同意」ボタンをクリックさせ、又は署名させるのであり、プライバシーポリシー又は同意説明文書の全ての内容に対する個人の同意を包括的に取得するわけではない。 ● 個別の同意という要求に対応するために、企業は、個別の同意を得るべき場面2を整理し、専門者の協力の下、単独の告知文書を作成し、且つ同意メカニズムを整備しなければならない。 |
共有される個人情報 |
● 上述(一)号乃至(四)号の内容のほか、個人に対し、受領者の身元、連絡先、受領者の取扱目的、取扱方法及び取り扱う個人情報の種類を告知しなければならない。 |
|
国外に対する(越境伝送)個人情報の提供 |
● 上述(一)号乃至(四)号の内容のほか、個人に対して国外受領者の身元、連絡先、国外受領者の取扱目的、取扱方法及び取り扱う個人情報の種類、個人が境外受領者に対し個人情報を照会、複製、訂正等といった権利を行使する方式を告知しなければならない。 |
|
一般向けの個人情報公開
|
● 上述(一)号乃至(四)号の内容 |
|
車内での個人情報の収集 |
● ユーザマニュアル、車載用ディスプレイ又はその他適切な方式を通じて、収集するデータの類型、目的、用途、種類ごとのデータ収集のトリガー条件及び収集停止の方法、データの保存場所、期限(又は保存場所、期限を確定するためのルール)、車内の個人情報の削除、車外へ提供済みの個人情報の削除を要請する方法と手順、ユーザ権益の処理を担当する責任者の有効な連絡先を告知しなければならない。 ● 車両位置、運転者又は同乗者の音声映像、法律法規に違反した運転の判断のために利用できるデータを収集する際に、車内ディスプレイ又は音声等の方式により、これらの個人情報を収集していることを運転者及び同乗者に告知しなければならない。 |
毎回、運転する際には、その都度運転者の委任同意を取得しなければならない。運転者の委任同意は、本件運転のみに対して有効であり、運転終了(運転者が運転席を離れた)後、本件委任は自動的に失効する。
|
遺伝子識別データ |
● 「遺伝子識別データセキュリティ要求」別紙E(同意説明文書テンプレート)において、それぞれの場面に応じて、個人に告知すべき内容を具体的に列記した。例えば、医学サービスの場面であれば、告知内容には検査測定項目の紹介、検査測定の限界性、リスクに関する説明、検査測定結果及びプライバシー保護説明、医師告知及び同意が含まれる。 |
● 個人が同意説明文書を締結するという方式を通じて、個人の同意を得る。 ● 「遺伝子識別データセキュリティ要求」では、遺伝子識別データの共有に係る場面に対し、共有に関する同意説明文書の様式を個別に提供した。従って、遺伝子識別データの共有に係る場合、その共有に関する同意説明文書を個人に個別に署名させる必要がある。 |
■ リスク評価及び記録
個人情報のセキュリティをよりよく保護し、事前に個人情報の取扱いにより生じ得るリスクを判断するために、「個人情報保護法」では、個人情報を取扱う特定の状況において、個人情報取扱者は、自主的に事前にリスク評価を行い、且つ個人情報の取扱状況を記録しなければならないとしている。リスク評価及び記録は、新たな要求の1つであり、これまで公布された「サイバーセキュリティ法」及び「民法典」等の個人情報保護に関する法規においては言及されておらず、企業は重点的にこの点に注目すべきである。当該リスク評価及び記録の要求に対応するために、現段階において、企業は、リスク評価及び記録を実施すべき場面に係るかどうかに関する確認に着手し、且つかかる規定(例えば、「情報セキュリティ技術 個人情報セキュリティ影響評価手引」)に基づき、係る場面に対し差し当たりの評価を実施し、その評価結果に応じてセキュリティ保護措置を講じなければならないだろう。
項目 |
具体的な内容 |
リスク評価を行い、且つ取扱いについての記録を行わなければならない状況。 |
● 機微な個人情報の取扱い。 ● 個人情報を利用した自動化意思決定の実施(例えば、個人の閲覧習慣に基づき、WEBサイト上において、個人の趣味・ 嗜好に合わせた製品又は広告を配信する等) ● 個人情報の取扱いを第三者に委託する(例えば、個人情報の収集等を第三者に委託する)。 ● 第三者への個人情報の共有。 ● 一般向けの個人情報の公開。 ● 国外への個人情報の提供。 ● その他個人に重大な影響を持つ個人情報の取扱い。 |
リスク評価に含まれるべき内容 |
● 個人情報の取扱目的、取扱方式等が合法、正当、必要であるか。 ● 個人への影響及びリスクの度合い。 ● 講じるセキュリティ保護措置が合法、有効であり、且つリスクの度合と釣り合っているか。 |
リスク評価の手順 |
● 「情報セキュリティ技術 個人情報セキュリティ影響評価手引」(GB/T 39335-2020)を参照する。 |
評価の実施者 |
● 評価の実施者は、個人情報取扱者である。 ● 自動車業界の運営者にとっては、リスク評価を独自に実施する以外に、「自動車データセキュリティ管理若干規定」では、「国家インターネット情報部門は、国務院関連部門と共同で、データ取扱状況に基づき、運営者に対してデータセキュリティ評価を実施し、運営者はそれに協力しなければなれない」とより明確にされている。 |
評価報告の保存期限 |
● 少なくとも3年間は保存しなければならない。 |
評価頻度 |
● 「個人情報セキュリティ規範」によれば、通常、毎年少なくとも1回はリスク評価を実施しなければならない。 ● 筆者の理解では、企業は、場面を単位としてリスク評価を実施しなければならず、個人情報を取扱う前に、その都度個別評価を実施する必要はないものと考える。例えば、企業が個人情報を宅配便会社に対して共有する状況を、1つの情報共有場面としてリスク評価を行い、毎年1回評価を実施すること等が考えられる。個人情報の共有方式、種類、目的等に変化が生じない限り(変化が生じる場合、改めて評価を実施する)、本件評価結果は、1年間以内に企業が個人情報を宅配便会社に対して共有する全ての状況に適用されることができる。即ち、実際に個人情報を宅配便会社と共有する前に、その都度個別のリスク評価を実施する必要はない。 |
個人情報取扱いの記録 |
● 現在、法律法規では、記録の必要内容について規定していない。筆者の理解では、企業は、台帳又は個別文書の形式をもって、少なくとも個人情報の取扱方式、種類、目的、取扱記録の形成時間を記録しなければならないと考える。共有、取扱委託、越境伝送においては、更に個人情報受領者の名称及び連絡先も記録しなければならない。条件が揃えば、取り扱う個人情報の数量も記録しなければならない。 ● 利便性の視点から見れば、個人情報取扱いの場面が複雑な企業の場合、個人情報取扱記録の登記に用いる専門システムを開発することが考えられる。 |
個人情報取扱い記録の保存期限 |
● 少なくとも3年間は保存しなければならない。 |
■ 個人情報の越境伝送
多国籍企業と国外主体間の連絡は相対的に緊密であり、個人情報の越境伝送は、多国籍企業が最も注目している個人情報保護上の問題の1つである。「サイバーセキュリティ法」第37条では、「重要情報インフラストラクチャーの運営者が中国の国内での運営において収集、発生した個人情報は、国内で保存しなければならない。業務上の必要により、確かに国外に提供する必要がある場合には、セキュリティ評価を行わなければならない」と定めている。しかし、実践において、「サイバーセキュリティ法」第37条の付帯法規はなかなか公布されないため(例えば、重要情報インフラストラクチャー運営者の範囲はまだ明確にされておらず、セキュリティ評価の手順も確定されていない等)、当該個人情報の国外向け伝送セキュリティ評価制度は、実際には貫徹されていない。従って、現段階では、監督管理の空白期間であるとも言える。通常の場合、個人情報は、自由に越境伝送を行うことができ、事前手続きを実施する必要はない。但し、情報セキュリティの重要性を考慮して、今後、中国政府は、個人情報越境伝送に対する実際の監督管理を強化していくはずである。4つの法規におけるかかる規定を踏まえ、現在、個人情報越境伝送に対する中国政府の監督管理態度は以下の3点にまとめることができる。即ち、政府部門が制定した標準契約(一般的状況適用)の締結、専門機構による認証の取得又は政府部門の評価を受けること(特別状況)であり、その詳細を下表の通に整理する。
個人情報越境伝送原則 |
具体的な内容 |
標準契約の締結を基礎とする |
● 専門機構の認証又は政府部門の評価を必要としない状況において、個人情報取扱者は、国外受領者との間、国家インターネット情報部門が制定する標準契約(現在、標準契約はまだ社会向けに公布されていない)を締結し、双方の権利義務を約定することができる。 ● 現段階では、企業は、個人情報越境伝送に係る場面を整理し、どの場面で既に国外受領者と契約を締結したか、どの場面でまだ契約を締結していないかを明確にしたほうがよいと考える。既に契約を締結した場面については、将来、契約を改訂する可能性がある。まだ契約を締結していない場面については、契約を補充締結する必要がある。 |
専門機構の認証、政府部門の評価を例外とする |
● 国家インターネット情報部門が定める専門機構による個人情報保護認証を経なければならない状況(現在、保護認証を実施しなければならない状況が公表されていない)に合致する場合、かかる規定に基づき、専門機構による個人情報保護認証を受けてから、初めて個人情報越境伝送を実施することができる。 |
● 以下の状況のいずれか1つに該当する場合、個人情報の越境伝送の前に、国家インターネット情報部門が組織するセキュリティ評価を受けなければならない。 ✓ 個人情報取扱者が重要情報インフラストラクチャー運営者[5]に該当するとき。 ✓ 取り扱う個人情報が国家インターネット情報部門が定める数量(現在、具体的な数量限界が公布されていない)に達したとき。 ✓ 自動車業界運営者が国外に個人情報を伝送するとき。 |
|
国外司法、法執行部門が、国内で保存される個人情報を調査し収集する |
● 「個人情報保護法」及「データセキュリティ法」の規定を踏まええると、国外の司法機関又は法執行機関が、中国国内で保存される個人情報を調査し収集する調査を求めてきた場合、中国主管機関の許可なく、これらを提供してはならない。従って、今後、企業が国外司法機関又は法執行部門からの調査協力要請を受けた場合には、求められるがままに提供してはならず、事前に主管部門の許可を得なければならない。 |
終わりに
4つの法規案が公表され、且つパブリックコメントを募集していることは、中国が個人情報保護分野における立法及び監督管理の方面において、さらに一歩前進したことを意味するものであり、これは企業にコンプライアンス上の大きな試練をもたらすものである。従って、万が一のときに、なす術がなくなってしまうことのないよう、企業は、個人情報管理作業を整理し、とりわけ前もって準備をしっかりと行い、「個別の同意」、「リスク評価及び記録」、「個人情報越境伝送」等の重点要求を貫徹し、4つの法規の発効によりもたらされうる影響等を事前に評価しておくのがよい(必要に応じて、専門家の協力を求める必要がある)。
(執筆者:里兆法律事務所 丁志龍、陳暁鳴 2021年7月5日)
[1] 「遺伝子識別データセキュリティ要求」は推薦性国家基準であり、厳密に言えば、それは法規には該当しない。本稿においては、便宜上それを法規という。
[2] 重要データには、以下のものが含まれる。(一)軍事管理区域、国防科技工業などの国家機密に関わる機関、県レベル以上の党・政府機関等の重要・機微なエリアでの車・人の交通データ。(二)国が公開している地図よりも精度が高い測量データ。(三)自動車充電ネットワークの運行データ。(四)道路上の車両の種類、交通量などのデータ。(五)顔認証や音声認識、ナンバープレートなどの車外音声映像データ。(六)国家インターネット情報部門と国務院関連部門が明確にする、国家の安全や公共利益に影響を及ぼし得るその他のデータ。「自動車データセキュリティ管理若干規定」では、重要データの取扱について、一定の要求を行っている。例えば、重要データを取扱う前に、政府部門に報告しなければならない。重要データは国内で保存されなければならず、どうしても国外へ提供する必要がある場合、インターネット情報部門が組織する国外向け伝送セキュリティ評価を経なければならない。紙面に限りがあるため、本稿では、重要データの保護要求についての紹介は割愛する。
[3]通常の理解では、遺伝子識別データも「個人遺伝子」に該当し、機微な個人情報である。しかし、「遺伝子識別データセキュリティ要求」では、遺伝子識別データを一般的な個人情報に分類したようであり、「情報セキュリティ技術 個人情報セキュリティ規範」(GB/T 35273-2020)等の法規との間の整合性がとれていない。今後、遺伝子識別データをどのように分類するかについては、筆者も引き続き注目していきたい。
[4]機微な個人情報の例示については、「情報セキュリティ技術 個人情報セキュリティ規範」(GB/T 35273-2020)別紙Bにおいてやや詳細な規定をしている。
[5]「サイバーセキュリティ法」第31条の規定によれば、重要情報インフラストラクチャー運営者は、公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービス等国の安全、国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れおそれのある重要業界及び分野に集中しており、重要情報インフラストラクチャー運営者の具体的な範囲はまだ対外に公布されていないが、外資企業は、通常、重要情報インフラストラクチャー運営者に該当しないはずである。
有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。
2024年3月6日
2023年11月13日
2023年8月25日
2023年6月16日
2023年2月7日