概要

2023年8月3日、国家インターネット情報弁公室は「個人情報保護コンプライアンス監査管理弁法（意見募集案）」（「監査弁法」）を公布し、パブリックコメントを募集している。「監査弁法」は個人情報保護コンプライアンス監査の具体的な要求、形式、頻度などの内容を明確にしており、本文ではQ&Aの形式で当該制度を解説する。

本文

Q1　個人情報保護コンプライアンス監査とは何か？

 A1   個人情報保護コンプライアンス監査とは、企業の個人情報処理活動が法律、行政法規を順守しているかどうかを審査し、評価する監督活動をいう。企業は、コンプライアンス監査を通じて個人情報保護に存在する不十分な箇所や見落としを発見し、相応の対応措置を講じて、それら不十分な箇所と見落としを補い、個人情報処理活動のコンプライアンス水準を高め、個人情報の権益を保護することができる。

Q2 どのような企業が個人情報保護コンプライアンス監査を実施する必要があるのか？

A2 2021年11月1日に発効した「個人情報保護法」第54条では、個人情報を扱うすべての企業（従業員や業務提携先の個人情報を扱うB To B企業、および消費者の個人情報を扱うB To C企業を含む）が、定期的に個人情報保護コンプライアンス監査（即ち、定期監査）を行う必要があることを明確に規定している。その第64条ではさらに、企業の個人情報処理活動に比較的高いリスクが存在し又は個人情報セキュリティ事件（例えば、個人情報の漏洩、不正な改ざんなど）が発生したことを政府部門が発見した場合、政府部門は職権に依拠して、個人情報に関する監査を専門機構に依頼するよう企業に対し要求することができる（即ち、職権監査）とも定めている。

定期監査については、「監査弁法」では定期監査を行う頻度を明確にしている。100万人を超える個人情報を取り扱う企業は、個人情報保護コンプライアンス監査を少なくとも毎年1回は実施しなければならず、他の企業は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。実務運用においては、ほとんどのB2B企業が取り扱う個人情報の数は100万人よりはるかに少ないため、そのような企業は2年に1回の監査を行わなければならない。一方、大手B2C企業は年に1回の監査を行わなければならないと考えられる。

職権監査については、「監査弁法」は「個人情報保護法」第64条の規定を継続し、即ち、個人情報処理活動に比較的高いリスクが存在し、個人情報セキュリティ事件が発生したことを政府部門が発見した場合、専門機構にコンプライアンス監査を依頼するよう企業に求めることができる。ただし、「監査弁法」は存在する比較的高いリスクおよび安全事件についての基準を明確に規定しておらず、政府部門に一定の裁量の余地を与えており、職権監査の適用条件に不確実性を与えている。

Q3 企業が個人情報保護コンプライアンス監査を行う方法にはどのようなものがあるのか？

A3  定期監査については、企業は個人情報保護コンプライアンス監査を自ら行うこともで、第三者専門機構（例えば法律事務所）に監査を依頼することもできる。職権監査については、企業は第三者専門機構を通じて監査を展開しなければならず、自ら監査を展開してはならない。

Q4 個人情報保護コンプライアンス監査報告書を政府機関に報告する必要はあるのか？

A4 職権監査については、企業は専門機構に個人情報保護コンプライアンス監査を委託した後、専門機構が発行したコンプライアンス監査報告書を政府部門に提出しなければならない。専門機構が是正の提案を行った場合、企業は専門機構から発行された是正案に基づき是正し、専門機構の再審査を経て、是正状況を政府部門に報告しなければならない。

定期監査については、「監査弁法」では監査報告書を政府部門に報告する必要があるかどうかが明らかされておらず、筆者の理解では、たとえ定期監査の報告書を提出する必要がなくとも、企業は射倖心を抱いてはならず、定期監査義務は履行しなければならない。政府部門が法執行検査を展開したが、企業が監査報告書を提供できない場合は、「個人情報保護法」及び「監査弁法」に違反し、是正及び/又は罰金を命じられることになる。

Q5 企業が個人情報保護コンプライアンス監査を完了させるまでにどれくらいかかるか？

A5 「監査弁法」によると、職権監査は90営業日以内に完了させなければならず、状況が複雑な場合は、政府部門に報告して承認をもらった後、適切に延長することができる。定期監査については、「監査弁法」では監査完成期限を明確には定めていないため、企業に一定の余地を与え、企業は監査の完成期間を独自に把握することができる。

Q6 個人情報保護コンプライアンス監査はどのような内容を監査する必要があるのか？

A6「監査弁法」は企業に監査の参考ポイントを提供しており、参考ポイントを見る限り、監査は個人情報のトータルライフサイクル管理（個人情報の収集、共有、委託処理、国境を越えた提供、公開、削除などを含む）及び管理措置を網羅していなければならない。

例を挙げると

●収集段階で、個人の同意を得たかどうか、その同意は個人が十分に事情を知っている前提で自発的かつ明確に行われたか。

●共有段階で、個人の単独の同意を得たかどうか。

●取扱委託段階で、企業は受託者と契約を締結したかどうか、取扱委託の目的、期限、方式及び個人情報の種類、受託者が講じるべき技術措置と管理措置、双方の権利義務などを定めたかどうか。

●国境を越えた段階で、個人情報越境の前置手続き（標準契約、個人情報保護認証または安全評価）を履行したかどうか。

●公開段階で、個人の単独同意を取得したかどうか。

●法定削除条件（例えば、個人情報取扱の目的が実現済み、実現できない、または取扱目的を実現するために必要ではなくなった）を満たした後、削除処理を行ったかどうか’。

●管理措置において、企業は法律、行政法規の規定に依拠して内部管理制度と操作規程を制定し、組織の枠組みや持ち場の職責を明確にし、仕事の流れを確立し、内部統制制度を整備し、個人情報取扱のコンプライアンスと安全を保障したかどうか。取り扱う個人情報の規模、種類に応じたセキュリティ技術措置を講じたかどうか。

終わりに

個人情報保護コンプライアンス監査を展開することは企業の法定義務であり、「管理弁法」の公布は、国が個人情報保護コンプライアンス監査に対する監督管理を意図的に強化することを意味している。転ばぬ先の杖として、企業は「管理弁法」の要求に照らし合わせ、コンプライアンス監査の要求を満たすことができるよう、企業内部の個人情報保護コンプライアンス監査制度の構築に着手すると同時に、個人情報保護コンプライアンス監査の最新の規制要求と動態に積極的に関心を持ち続けるようにしたい。

（作者: 里兆法律事務所  董紅軍、陳暁鳴）