概要

2021年11月1日から施行された「個人情報保護法」は「事情を知り、同意する」、「個人情報保護の影響評価」という視点から個人情報の取扱いに対し要求を行っているだけでなく、個人情報管理制度及び運用規程の制定並びに個人情報等級分類の実施義務も明確にしており、これらはいずれも企業が然るべき付帯する制度文書を制定して対応していかなければならないものである。

本文

 A．個人が事情を知り、同意するという前提のもとで個人情報を取扱う

 「個人情報保護法」の規定によると、企業が個人情報を取扱う[i]場合、原則として「事情を知り、同意する」という原則[ii]を順守しなければならない。具体的には次のとおりである。

■　個人に対し、個人情報を取扱う企業の名称と連絡先、個人情報を取扱う目的、取扱い方式、取り扱う個人情報の種類、保存期限、個人が法定権利（閲覧権、複写権、修正権等）を行使するための方法と手順を告知しなければならない。

■　機微な個人情報[iii]を取扱う前に、機微な個人情報を取扱う必要性及び個人の権益に対する影響を告知する必要がある。

■　個人情報を共有する前に、受け手の名称又は氏名、連絡先、取扱い目的、取扱い方式及び個人情報の種類を告知しなければならない。

■　国外の主体に個人情報を提供する前に、国外の受け手の名称又は氏名、連絡先、取扱い目的、取扱い方式、取り扱う個人情報の種類及び個人が国外の受け手に対し法定権利（閲覧権、複写権、修正権等）を行使するための方法と手順を告知しなければならない。

■　企業は上記事項を告知し且つ個人の同意[iv]を取得した後、ようやく個人情報を取扱うことができる。

 上記の「事情を知り、同意する」という要求に対応するため、筆者が掌握する実務経験を踏まえると、企業が作成し又は整備すべき文書について、下表のとおり具体的に集計を取り説明を行う。 

番号	文書名称	文書制作においての説明
1	従業員の個人情報取扱同意書[v]	● 従業員の個人情報を取扱うことについて、企業は従業員個人情報取扱い同意書を作成し、それに上述の法定告知事項を記載することを検討するとよい。企業は従業員に同意書に署名してもらうことで、従業員の同意を取得する。 ● このほか、実務においては、企業は通常、労務派遣スタッフ、外注スタッフ、労務スタッフ（例えば、インターン生、定年退職後再登用した者など）を採用することもあり、異なる性質の者では、個人情報取扱いの種類及び目的等がそれぞれ異なることが多いため、企業は正社員、労務派遣スタッフ、外注スタッフ、労務スタッフごとに異なる書式の同意書を準備しておくとよい。
2	業務提携先の担当者個人情報取扱規則	● 企業の日常の運営過程では、日常的な連絡、文書や荷物の送付等の目的から、企業顧客、ディーラー、サプライヤー等の業務提携先の担当者の個人情報を取扱うことになる。業務提携先の担当者の個人情報の取扱いについて、企業は業務提携先の担当者個人情報取扱規則を制定し、当該規則の中で告知事項を明確にしておくとよい。 ● 企業は当該取扱規則を企業の公式サイトに掲載しておくことができる。後日、業務提携先と締結する契約の中で、当該取扱規則へのリンク先を援用し又は取扱規則を契約の別紙とする。契約の中で業務提携先に対し、企業が業務提携先の担当者の個人情報取扱規則に基づき、担当者の個人情報を取扱い、業務提携先には自己の担当者も当該取扱規則に基づき個人情報が取り扱われることに同意させることを明確に告知する。
3	プライバシーポリシー	● もしも企業の業務が個人消費者向けである場合、企業は通常、プライバシーポリシーを制定し、且つプライバシーポリシーの中で上記の法定告知内容を説明するようにする。通常、企業はAPP、ミニプログラム等の方式を通じて、個人消費者にサービスを提供し、且つその過程で個人消費者の個人情報を取扱うことになる。そのため、個人消費者がAPP、ミニプログラムのインターフェースからプライバシーポリシーに同意する方式を通じて、消費者の同意を取得することができる。 ● 「個人情報保護法」が発効するまでは、企業は一般的に「個人情報安全規範」に依拠してプライバシーポリシーを制定していた。「個人情報保護法」が発効したのに伴い、従来からのプライバシーポリシーの内容では、すでに「個人情報保護法」の要求を満たすことができなくなってしまったため企業はプライバシーポリシーの係る内容を整備する必要がある。
4	児童個人情報取扱規則	● 「個人情報保護法」では、企業が14歳未満の未成年（「児童」）の個人情報を取扱う場合、個別の個人情報取扱規則を制定しなければならないと定めている。そのため、もしも企業において児童の個人情報を日常的に取扱う業務があるような場合は、児童の個人情報取扱規則を制定する必要がある。 ● 同時に、「個人情報保護法」では、児童の個人情報を取扱う場合は、児童の両親又はその他後見人の同意を取得しなければならないと定めている。そのため、児童の両親又はその他後見人に児童の個人情報取扱規則に同意してもらわなければならない。

B．個人情報保護の影響評価について

 「個人情報保護法」によると、下記状況のいずれかに該当する場合、企業は個人情報を取扱う前に個人情報保護影響評価を実施し、且つ取扱状況について記録しなければならないとしている。（1）機微な個人情報を取扱う場合、（2）個人情報を利用し、オートメーション決裁を行う場合、（3）個人情報の取扱いを委託する場合、（4）個人情報を共有する場合、（5）個人情報を公開する場合、（6）国外に個人情報を提供する場合、（7）個人の権益に重大な影響のあるその他個人情報取扱い活動。

そのため、係る企業は個人情報保護の影響評価及び取扱記録の書式を前もって制定しておかなければならない。評価の書式は、個人情報を取扱う方式、種類、目的、講じる保護措置、取り扱う個人情報の数、関係してくる第三者の名称（例えば、共有したり、国外に伝送する際の受け手、取扱いを委託する際の受託者など）、第三者と契約を取り交わす状況等を重点的に含めなければならない。

そのほか、「個人情報保護法」によれば、評価の内容には（1）個人情報の取扱い目的、取扱い方式等の適法性、正当性、必要性、（2）個人の権益に対する影響及び安全リスク、（3）講じる保護措置の適法性、有効性及びリスク度合いとのバランスなどが含まれていなければならない。

「個人情報保護法」では取扱いの記録内容そのものについて明確な要求はまだないが、筆者の理解では、取扱いの記録には通常、個人情報を取扱った日時、取扱い方法（例えば、収集、使用、共有、取扱いの委託、国外への伝送、削除など）、取り扱う個人情報の種類、数量、取扱い目的、記録が形成された日時等の内容が含まれる必要があると考えられる。

C．個人情報管理制度及び運用規程の制定に関する要求等への対応について[vi]

 「個人情報保護法」では、個人情報を取扱う状況ごとに、企業は個人情報管理制度、運用規程及び個人情報安全事件の緊急時対策案等も制定する必要があるとさらに明確に定められており、また個人情報については分類別管理を求めている。

この点について、よくある企業の対応方法は、個人情報管理規則を相応に制定するというものである。具体的には、まず、個人情報の収集、保存、使用、共有、取扱いの委託、国外への伝送、公開、譲渡、削除といった節目の中で、個人情報の取扱いを担当する従業員が果たすべき義務等について具体的に定めておく。次に、個人情報安全事件（例えば、個人情報の漏洩など）の緊急時対応案をその中に網羅しておき、同時に、機微な個人情報及びそれ以外の個人情報について異なる管理要求を行い、「個人情報保護法」で求められている「個人情報についての分類別管理」に応えるというものである。

従来の多国籍企業にサービスを提供する過程においても、企業が直接に国外の親会社又は関連会社の個人情報管理規則を直接に利用しているのをよく見かけてきたが、国外の親会社又は関連会社の個人情報管理規則は通常、国外の法律に依拠して制定されたものであり、中国の「個人情報保護法」と完全に整合性が取れるものではないことを考慮すると、企業はやはり「個人情報保護法」を根拠として、自己に適用する個人情報管理規則を個別に制定する必要がある。

このほか通常、企業は自己が所持する個人情報を第三者と共有したり（例えば、物流会社と共有するなど）、又は第三者に取り扱いを委託したり（例えば、第三者であるクラウドサービス業者のサーバーを利用して個人情報を保存する等）、又は第三者と個人情報を共同で取扱ったり（例えば、第三者と懸賞活動を共同主催し、参与者の個人情報を共同で取扱うなど）することがあり、その場合、個人情報の安全を一層保護するために、企業は第三者と締結する契約の中で、個人情報条項を明確にし、個人情報の取扱い目的、方法、種類、保存期間、保護措置等を明確にしておかなければならない。個人情報を国外に提供する状況については、「個人情報保護法」の要求に基づき、企業は通常、受け手とネットワーク情報部門が制定した標準契約を締結し、国外の受け手の個人情報保護義務を明確にしておくことができる。

終わりに

個人情報の保護をその目的とした中国で最初の法律として、「個人情報保護法」の適法範囲は非常に広く、おそらくB To B企業の認識として、自分たちの製品やサービスは主に企業向けであり、個人消費者の個人情報は直接には取り扱わないため、「個人情報保護法」による影響は限定的であると考えているかもしれないが、実際には、B To B企業も従業員の個人情報や業務提携先の担当者の個人情報を日常的に取り扱っており、これらの個人情報も同様に「個人情報保護法」の保護を受けることになるため、B To B企業も積極的に対応措置を講じる必要がある。

個人情報保護の厳しい要求があるほか、これに違反した企業に対しては、「個人情報保護法」では最高で五千万元又は前年度売上の5％以下の罰金を設定しており、これは企業にとって割高な違反コストをもたらすことになる。そのため、多くの企業が「個人情報保護法」の発効前に、すでに弁護士の協力のもと、個人情報保護に関する制度文書の制定作業を完成させている。現在、「個人情報保護法」はすでに発効しており、対応策を講じていない企業は直ちに行動に移し、係る文書の制定作業を開始しなければならない。

（里兆法律事務所  丁志龍、陳暁鳴）

[i] 取扱うとは、個人情報の収集、保存、使用、加工、伝送、提供及び公開等をいう。

[ii] 告知の例外:

個人情報取扱者が個人情報を取扱う場合、法律、行政法規にて秘密を保持しなければならず又は告知が不要と定められている状況に該当する場合、個人に告知しなくともよい。

緊急を要する状況のもと、自然人の生命健康及び財産の安全を守るため、個人に対し遅滞なく告知を行うことができない場合、個人情報取扱者は緊急を要する状況がなくなった後で遅滞なく告知を行うものとする。

同意の例外:

下記の状況のもとで個人情報を取扱う場合、個人の同意を取得する必要はない。

• 個人を一方の当事者とした契約を締結し、履行するために必要であり、又は法に依拠して制定した労働規則制度及び法に依拠して締結する労働協約に基づき、人的資源管理を実施するために必要である場合。
• 法定職責又は法定義務を履行するために必要である場合。
• 突発的な公共衛生事件に対応するため、又は緊急を要する状況の下で、自然人の生命健康及び財産の安全を守るために必要である場合。
• 公共の利益のためにニュース報道、世論の監督等の行為を実施し、合理的な範囲内で個人情報を取扱う場合。
• 合理的な範囲内で個人が独自に公開した又はその他すでに適法に公開されている個人情報を取扱う場合。又は、
• 法律、行政法規に定められているその他状況。

[iii] 機微な個人情報とは、ひとたび漏洩し又は不法に使用されることで、自然人の人格が著しく損なわれ又は人身、財産の安全が脅かされやすくなる個人情報をいい、これには，生体情報、宗教の信仰、特定の身元情報、医療健康、金融口座、足取り等の情報、及び14歳未満の未成年の個人情報を含む。

[iv] 「個人情報保護法」では、機微な個人情報を取扱い、個人情報を共有し、国外伝送し、公開する場合、個人の単独同意を取得しなければならないと定めている。

[v]「個人情報保護法」では、法に依拠して制定した労働規則制度及び法に依拠して取り交わす労働協約に基づき人的資源管理を実施するために、個人情報を取扱う必要がある場合、従業員の同意を取得することを免除できると定めてはいるが、実務運用上は、何をもって「必要がある場合」とするのか、争いが生じやすく、相対的に困難であることから、やはりなるべく従業員の個人情報取扱同意書を通じて従業員の同意を取得しておくのがよい。

[vi] 「個人情報保護法」では、重要なインターネットプラットフォームサービスを提供し、ユーザー数が巨大であり、業務の形態が複雑な個人情報取扱人は、やはりプラットフォーム規則を制定し、プラットフォーム製品又はサービス提供者が個人情報を取扱う際の規範及び個人情報を保護する義務を明確にしておくとよい。また個人情報保護の社会責任報告を定期的に発布し、社会からの監督を受けなければならない。