概要

「個人情報保護法」の視点から言えば、個人情報を第三者に提供する場合、個人情報を中国域外へ提供する場合のいずれにおいても、適法性確保のための措置を講じる必要がある。本稿においては、参考までに、企業がグループ内（中国域内、域外にある関連会社を含む）で、従業員の個人情報、取引先の担当者の個人情報、消費者の個人情報を共有する場面において、その取扱の適正化を図る上でどのような対応をすべきかについて述べてみたい。

本文

 「個人情報保護法」は2021年8月20日に公布されており、2021年11月1日から正式に実施されることになっている。企業による個人情報の取扱活動について、「個人情報保護法」において、義務に関する規定が多数設けられている。企業において、社内の各部門に対してアンケート調査を実施することを通して、社内で取り扱っている個人情報の種類、取扱目的、取扱方式などを把握し、体系的に整理し、自社における個人情報取扱の適法性をセルフチェックし、自社の現状を先ず把握しておくとよいであろう。

情報を共有する制度を実施するグループ企業においては、多くの場合、次の３つの方面に係る個人情報を共有する場面が生じることになる。即ち、①従業員の個人情報を共有する場面、②取引先の担当者の個人情報[i]を共有する場面、③消費者の個人情報を共有する場面。国境をまたいで個人情報を共有する需要がある多国籍企業の場合、前述の３つの方面に係る個人情報を共有するにあたっては、さらに個人情報の越境伝送の適法性を確保するための措置を講じる必要もある。中国域内外にある関連会社に対して個人情報を共有するにあたって講じることになる適法性確保のための措置は、概ね次の通り整理される。即ち、A.個人情報主体から個別的同意を取得すること、B.事前の個人情報保護影響評価を実施すること、C.中国域外にある受け手との間において標準契約を締結すること[ii]等である。

A．個別的同意の取得 

場面	法的分析	対応策
従業員から個別的同意を取得する	法に依拠し取得した従業員の個人情報について、企業がこれを中国域内にある関連会社に共有する行為は、個人情報を第三者へ提供するものであり、企業がこれを中国域外にある関連会社に共有する行為は、中国域外へ個人情報を提供するものであり、いずれも法に依拠し従業員から個別的同意を得ておく必要がある。	●  「個人情報保護法」第13条第2項は、「個人が当事者である契約を締結、履行するために必要である、又は法に依拠し制定された労働規則制度及び法に依拠し締結された集団契約に従い、人的資源管理を実施するのに必要である」個人情報について、個人から同意を取得する必要はないことを定めている。しかし、ここでいう「必要」とされる個人情報の範疇について更に具体的に解釈した関連文書は今のところない。 ●  実践において、企業は、従業員に対する告知義務を法に依拠し履行することを前提に、「事情説明同意書」への署名を従業員に求めるといった手法により、「個人情報を第三者へ提供すること」、「個人情報を中国域外へ提供する」ことについて、従業員から個別的同意を取得しておくのがよい。
取引先の担当者から個別的同意を取得する	法に依拠し取得した取引先の担当者の個人情報について、企業がこれを中国域内にある関連会社に共有する行為は、個人情報を第三者へ提供するものであり、企業がこれを中国域外にある関連会社に共有する行為は、中国域外へ個人情報を提供するものであり、いずれも法に依拠し取引先の担当者から個別的同意を得ておく必要がある。	●  展示会、面会などの場において、取引先の担当者が自発的に提供した個人情報（例えば、名刺に記載している個人の氏名、勤務先、職位、電話番号、電子メールアドレス、オフィス所在地などの個人情報）は、当該取引先の担当者が反対の意思を明確に表示した場合を除いては、日常の連絡、業務上の交流、物品郵送など合理的な目的で、名刺を受け取った者によって、自己の個人情報が利用されることに同意しているものとみなすことができる。しかし、その個人情報の利用者は、名刺を受け取った企業内の人員に限定する必要がある（ここでいう企業内の人員には、名刺を受け取った側の中国域内外にある関連会社（グループ内会社）、及びその他一切の第三者を含まない）。従って、個人情報を共有、越境伝送する需要がある企業は、以下の対応策を講じておくとよい。 1)       展示会において、取引先の担当者から名刺を取得するにあたっては、「同意書」を準備しておき、当該取引先の担当者から署名をもらうようにするとよい。 2)       面会時に取引先の担当者から名刺を取得したときに、その場で「同意書」を渡すことが困難である場合、当該取引先の担当者に対してメールで関係事項を告知したうえで、メールで同意を取得するようにするとよい。 ●  企業は事前に取引先の担当者の名刺上の個人情報に対してマスキング（非識別化）処理（例えば、個人情報を全て削除したり、又は個人情報を略語で表す）を行ってから、中国域内外にある関連会社に共有するようにするといった方法が考えられるが、名刺上の「個人の氏名、勤務先、職位、電話番号、電子メール、オフィス所在地などの個人情報」を事前にマスキング処理した場合、それをグループ内で共有する意味がなくなるであろう。
消費者から個別的同意を取得する	B to C企業の場合、消費者に係る個人情報の取扱が、個人情報取扱の適正化を図る上で、重要なポイントになる。 法に依拠し取得した消費者の個人情報について、企業がこれを中国域内にある関連会社に共有する行為は、第三者へ個人情報を提供するものであり、企業が中国域外にある関連会社に共有する行為は、中国域外へ個人情報を提供するものであり、いずれも法に依拠し消費者から個別的同意を得る必要がある。	●  企業はタオバオ、JDドットコム等のECプラットフォーム上で製品を販売するだけであり、消費者の個人情報を直接収集することはない場合、一般的には、当該プラットフォームに設けられている個人情報管理に関する規則を直接適用するだけで足り、企業は通常、「プライバシーポリシー」を独自に制定する必要はないものの、企業は当該プラットフォームの規則に従い、消費者の個人情報を取扱う必要がある。もし当該プラットフォームの規則により、企業は第三者又は中国域外へ消費者の個人情報を提供できないことになっている場合、そのような取扱を実施するにあたって、企業は、消費者から個別的同意を別途得る必要がある。 ●  企業が自社の公式サイト、APP、wechat公式アカウントなどを通じて、消費者に対してオンライン販売を行う、又は企業が自社の販売チャネル若しくは代理店チャネルなどを通じて、対面式販売を行う過程で消費者の個人情報を収集する場合、企業は「プライバシーポリシー」を独自に制定し、且つ消費者から個別的同意を得る必要がある。

 

B．事前の個人情報保護影響評価

「個人情報保護法」第55条、第56条は、企業が第三者又は中国域外へ個人情報を提供するにあたっては、個人情報保護影響評価を事前に実施し、且つ取扱状況を記録しなければならない。そして、その個人情報保護影響評価内容には、個人情報の取扱目的、取扱方式などは合法、正当、必要であるか、個人の権益に対する影響及び安全リスク、講じる保護措置は合法、有効であり、且つリスクの度合いと見合っているかといった内容が含まれていなければならないことを定めている。

企業内部において、個人情報保護影響評価制度を構築し、影響評価制度を遂行する部門及び人員を割り当てる必要があり、また上述した３つの方面に係る個人情報を共有する場面に係る状況や、越境伝送、共有の需要がある場合、個人情報を第三者又は中国域外へ提供することに関する個人情報保護影響評価報告書を事前に作成し、且つ取扱状況を記録し、それを少なくとも３年間、保存しておかなければならないであろう。

C．域外にある受け手と標準契約を締結する

企業が中国域内において法に依拠し収集した個人情報を中国域外にある関連会社に共有することは、個人情報の越境伝送にあたる。先ず、原則的には、中国において収集、発生した個人情報は中国域内に保存しておく必要がある。しかし、個人情報を中国域外に提供することがどうしても必要な場合、前述した個人情報主体の個別的同意の取得、事前の個人情報保護影響評価の実施のほか、企業は、さらに「個人情報保護法」第38条に定める４つの条件のうち、いずれか一つを満たす必要もある。実践において、個人情報を越境伝送する需要のある企業[iii]にとって実行しやすいものは、３つ目の条件として掲げられている「域外にある受け手と標準契約を締結すること」である。しかし、現在未だ、国家インターネット情報部門は、この「標準契約」を公布していない。

もし「個人情報保護法」が正式に実施された時（2021年11月1日から正式に実施されることになっている）にも、国家インターネット情報部門が標準契約を公布していない場合、企業は域外にある受け手との間において、独自に作成した個人情報越境伝送に係る契約を締結することも方法として考えられるであろう。

終わりに

このほか、「個人情報保護法」では、内部管理制度の制定、従業者に対する定期的な教育訓練の実施などを企業に義務付けている。「個人情報保護法」は、個人情報を違法に取扱い、しかも情状が重いとき、個人情報取扱者を5000万元以下又は前年度の売上高の5%以下の過料に処し、且つ係る業務の一時停止又は営業停止による整頓を命じ、関係主管部門に通報し、係る業務許可又は営業許可証を取り消すことができる。直接責任を負う主管人員及びその他の直接責任主体を10万元以上、100万元以下の過料に処した上で、係る企業の董事、監事、高級管理職者及び個人情報保護責任者への就任を一定期間禁止する旨を決定できることを定めている。

現在、弁護士のサポートを受けながら、企業内部におけるアンケート調査、「事情説明同意書」の作成及び従業員の署名取得、取引先の署名をもらうための「同意書」の作成、「プライバシーポリシー」の作成、個人情報保護影響評価制度及び取扱記録のひな形作成、個人情報越境伝送に関する契約の作成、「個人情報保護法」に係るコンプライアンス研修実施など、各種の法定義務の履行に向けた取り組みを積極的に進めている企業も少なからずある。

「個人情報保護法」はまだ正式に実施されておらず、関連する規定、措置、文書などの公布が待たれるところであるが、筆者は係る立法の動向を注視しつつ、企業におけるコンプライアンス体制の構築をサポートしていきたいと考える。

（作者：里兆法律事務所  邱奇峰、熊瀟）

[i] 取引先の担当者の個人情報とは、展示会、面会などの場で、顧客、サプライヤーなどの取引相手又は今後取引することが見込まれる相手方における担当者の個人情報（たとえば、名刺上の個人情報など）を指す。

[ii] 本稿にいう域外にある受け手との間で標準契約を締結することにより、個人情報の越境伝送の適法性を確保する企業には、重要情報インフラ運営者及び取扱う個人情報の数量が国家インターネット情報部門所定の数量に達している企業は含まれない。《個人情報保護法》によると、重要情報インフラ運営者及び取扱う個人情報の数量が国家インターネット情報部門所定の数量に達している企業は、中国域内において収集し、発生した個人情報を中国域内に保存することが義務付けられており、中国域外へ提供することがどうしても必要である場合、国家インターネット情報部門によって実施される安全評価を通過しなければならないことになっている。しかし、現時点までにおいて、この安全評価に係る関連措置は公布されておらず、また現在、国家インターネット情報部門もここでいう「所定の数量」を明確に示していない。

[iii] 脚注2を参照のこと。