こんにちわ、ゲストさん

ログイン

「個人情報保護法」の対応において企業からのよくある質問Q&A

中国ビジネスレポート 法務
丁志龍

丁志龍

無料

2022年8月10日

概要

「個人情報保護法」が2021年11月1日から施行され、多くの企業が「個人情報保護法」の要求に従い、積極的に各種対処策を講じている。この過程でよく寄せられる質問について、他の企業も「個人情報保護法」に対処する際に参考にすることができるよう、以下の通り整理し、Q&Aの形式をもって解答する。

本文

Q1中国域外の会社も「個人情報保護法」に拘束されるのか?

A1「個人情報保護法」第3条によると、中国域外において中国域内の自然人の個人情報を取扱う活動が以下のいずれかに該当する場合、やはり「個人情報保護法」が適用される。(1)中国域内の自然人に製品またはサービスを提供することを目的としていること。(2)中国域内の自然人の行為を分析し、評価するもの。(3)法律、行政法規に定められたその他の状況。すなわち、「個人情報保護法」は中国域外適用がなされ、中国域外の会社も同様に「個人情報保護法」の拘束を受ける可能性がある。

具体的には、例えば、中国域外の会社が中国域内の自然人向けに製品を販売するウェブサイトを構築し、このウェブサイトが中国語サービスを提供している場合、中国域内の自然人が同サイトを閲覧し、注文する過程で、同サイトは中国域内の自然人の個人情報を取扱うことになる。このとき、当該中国域外の会社は通常、「中国域内の自然人に製品またはサービスを提供することを目的として」おり、中国域内の自然人の個人情報を取扱うことに該当すると見なされ、「個人情報保護法」が適用される。

Q2「個人情報保護法」は中国域内のB 2 B企業にも適用されるか?

A2「個人情報保護法」は中国域内のすべての主体が実施する個人情報取扱活動を規制し、中国域内のB 2 B企業の個人情報取扱活動も同じくこの規制対象に含まれている。

B 2 B企業からみると、主に取り扱うことになるのは、従業員や業務パートナー(クライアント、サプライヤー、ディーラーなど)の関係者(例えば、窓口担当者)の個人情報である。

Q3従業員の個人情報を取扱う際に、どのようなことに特に注意すべきか?

A3最も重要なことは、個人情報の取扱状況を従業員に告知し、従業員からその個人情報の取扱に対する同意を取得することである。

「個人情報保護法」第13条では、個人が当事者の一方となって契約を締結し、履行するために必須である(例えば、労働契約など)、又は法に依拠し制定された労働規則制度及び法に依拠し締結された労働協約に基づき人的資源管理を実施するうえで必須となる個人情報を取扱うために、個人から同意を取得する必要はないと定めており、これは、企業が従業員の個人情報を取扱う際の「同意免除」に根拠を提供しているのだが、次の点に注意しなければならない。

1.実務運用上、何をもって「必須」であるとするのか、それ自体が論争を生みやすい。

2.同意が免除されても、告知義務は免除されない。すなわち、企業は従業員の個人情報を取扱う目的、方法、種類、個人情報を保存する期限、従業員が法定権利を行使する手順などを従業員に告知しなければならない。

従って、企業が従業員の個人情報を取扱う際に、比較的妥当かつ安全な方法は、企業が従業員の個人情報の取扱に関する同意説明文書を作成しておき、同意説明文書の中で従業員の個人情報を取扱う状況について告知し、且つ従業員からその同意を得ることである。

Q4中国域内企業が中国域外の実体に対し、国境をまたいで個人情報を提供することに制限はあるか?

A4中国域内企業は告知の実施+個別の同意取得の義務と個人情報保護影響評価及び記録義務を履行し、個人情報の域外移転前置条件を満たす必要がある。

告知の実施+個別の同意取得の義務については、「個人情報保護法」第17及び第39条によると、中国域内企業は、中国域内企業の名称及び連絡先、個人情報の域外移転の目的、種類、方法と目的、個人が中国域内企業及び中国域外受領者に対し法定権利(個人情報の照会、複製、訂正などの権利)を行使する方法と手順、中国域外受領者の名称、連絡先などを個人に告知しなければならない、とされている。また、上記の内容を告知する前提で、個人の個別の同意[1]も取得しなければならない。

個人情報保護の影響評価及び記録については、「個人情報保護法」第55条によると、中国域内企業は個人情報保護の影響評価を行い、取扱状況を記録する必要があるとされている。個人情報保護の影響評価には、個人情報の取扱目的、取扱方法などが適法、正当、必要であるか否か、個人の権益に対する影響及び安全リスク、講じる保護措置が適法、有効であり且つリスクの度合いと見合っているかどうかといった内容が含まれていなければならない。個人情報保護影響の評価報告書と取扱状況記録は少なくとも3年間は保存しなければならない。

個人情報の域外移転前置条件を満たすことについては、「個人情報保護法」第38条によると、中国域外に個人情報を提供する際に、以下のいずれかの前置条件を満たす必要があるとされている。

  • 国家インターネット情報部門によって実施される安全評価を通過すること。この規定は、主に重要情報インフラ事業者(略称「CIIO」)と「取扱う個人情報の数量が国家インターネット情報部門が定める数量に達している個人情報取扱者」を対象としている。CIIOは主に公共通信と情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業などの重要な業界と分野に集中しており、具体的には主管部門により認定される(認定結果は企業に通知される)。一般的には、外資系企業がCIIOに属する可能性は低い。

「取扱う個人情報の数量が国家インターネット情報部門が定める数量に達している個人情報取扱者」については、「データ域外移転安全評価方法(意見募集稿)」によれば、この数量の基準は以下の通りである。

● 情報保有者に着眼すると、取扱う個人情報の合計数が100万人分に達する企業は、中国域外に個人情報を伝送する際には安全評価が必要となる。すなわち、実際に越境伝送する個人情報の具体的な数量とは関係なく、中国域内企業が100万人以上の個人情報を保有している場合、越境伝送行為が発生する時点で、安全評価を行う必要がある。

▷越境伝送数量に着眼すると、企業が越境伝送する個人情報の数量が累計10万人分を超えたり、機微な個人情報の数量が累計1万人分を超えたりした場合、中国域外に個人情報を伝送する際には安全評価が必要である。すなわち、ここで注目されるのは実際に越境伝送される個人情報の種類と数量であり、中国域外受領者と中国域内提供者の種類とは無関係である。

▷国家インターネット情報部門の規定に従い、専門機関を通じて個人情報保護認証を行うこと(現在、認証手順と専門機関のリストはまだ公表されておらず、引き続き関心を払うのがよい)。

●中国域外受領者との間において国家インターネット情報部門が制定した標準契約を締結すること。上記の他の2つの前置条件に比べて、本条件は最も簡便であり、企業が最初の選択肢とすることが多い(現在、国家インターネット情報部門は「個人情報域外移転標準契約規定」を制定しており、引き続き関心を払うのがよい)。

Q5企業は個人情報取扱に関する規則制度を制定する必要があるか?

A5「個人情報保護法」第51条によると、企業は個人情報の内部管理制度及び運用規程を制定し、個人情報に対して分類別管理を行い、相応の暗号化、非識別化などの安全技術措置を施し、個人情報取扱の運用権限を合理的に確定し、且つ従業員に対して定期的な安全教育と訓練を行い、個人情報の安全面での危機が生じた際の緊急時対応策を制定し、実施するようにしなければならない。

そのため、企業は個人情報管理制度を制定しなければならない。具体的には、まず、個人情報の収集、保存、使用、共有、取扱の委託、越境伝送、公開、譲渡、削除の過程において、個人情報の取扱を担当する従業員が果たすべき義務などを具体的に定め,次に、個人情報の安全面での危機が生じた際(例えば、個人情報の漏洩など)の緊急時対応策をこれの中に網羅しておくこと。これと同時に、機微な個人情報とそれ以外の個人情報に対して異なる管理要求を行っておくことで、「個人情報保護法」で求められる「個人情報に対して分類別管理を行う」ようにする。また、個人情報を取扱う者の権限を整理及び管理し、過度な授権は避けるようにする。

個人情報管理制度をよりよく貫徹し、実施するために、管理制度と従業員マニュアル/就業規則における罰則と紐づけ、従業員が個人情報を取扱う過程で規定を違反した際に受け入れるべき処分を明確にしておくのと同時に、従業員のために個人情報管理制度に関する研修を実施し、従業員の個人情報に関するコンプライアンス意識を高めるようにしておくのが好ましい。

終わりに

「個人情報保護法」の施行は、企業のコンプライアンス分野での新たな試練であり、企業は「個人情報保護法」の要求を積極的に学習し、貫徹し、「個人情報保護法」関連法令の施行状況に関心を払わなければならない。個人情報保護に関して疑問点があれば、専門家に相談し、専門家の助けを得ながら対応していくとよい。

 

(作者:里兆法律事務所 丁志龍、陳暁鳴

[1] 「ネットワークデータセキュリティ管理条例(意見募集稿)」によると、個別の同意とは、データ取扱者が具体的なデータ取扱活動を実施する際に、各個人情報に対して個人から同意を取得することをいい、複数の個人情報、取扱活動に対する一括的同意は含まない。

ユーザー登録がお済みの方

Username or E-mail:
パスワード:
パスワードを忘れた方はコチラ

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内

最近のレポート

ページトップへ