概要

2025年2月12日、国家インターネット情報弁公室が「個人情報保護コンプライアンス監査管理弁法」（以下「監査弁法」という）を正式に発布し、2025年5月1日から施行されることとなった。2023年の意見募集稿と比較してみると、「監査弁法」は複数の方面から企業のコンプライアンスコストを軽減するものであり、企業にとっては大きな朗報である。

本文

「個人情報保護法」「ネットワークデータセキュリティ管理条例」といった法令では、いずれも個人情報取扱者に対し、個人情報保護コンプライアンス監査（以下「PIPCA」という）を定期的に実施するよう求めているが、具体的にどのようにPIPCAを実施すべきかについては、法令の次元ではブランク状態のままである。今回発布された「監査弁法」では、PIPCAについてより詳細な規定を行い、且つ「個人情報保護コンプライアンス監査ガイドライン」を別紙として、企業向けに明確なガイドラインを提供している。本文では、「監査弁法」の中で企業とって注目に値する重要な課題について、Q&Aの形式をもって考察する。

Q1：どのような企業がPIPCAを実施する必要があるのか。

A1：PIPCAは個人情報取扱者の義務である。企業は少なくとも高級管理職者、従業員の個人情報を取扱う必要があるため、結論から言えば、すべての企業が個人情報取扱者であり、PIPCAを実施する義務を負う。

しかしながら、すべての企業が厳格なPIPCAを実施する必要があるわけではないと筆者は考える。企業はそれぞれの業務が違っており、個人情報取扱活動もそれぞれ異なる。個人情報の取扱いシーンが比較的簡単で、取扱い上のリスクが低い企業（例えば、to B業務を主とする多数の企業）の場合などは、厳格なPIPCAを実施することが個人情報のセキュリティ保護という目的の実現に必ずしも顕著に効果があるとは限らず、むしろ企業にとって割高なコンプライアンスコストをもたらすことになる。反対に、個人情報の取扱いシーンが複雑で、取扱リスクが高い企業（例えば、to C業務を主とする多数の企業）の場合、個人情報に関する違法行為が業務の正常な運営に悪影響をもたらさないようにするためにも、PIPCAにより多くのコストを投入した方がよいと考えられる。

Q2：企業は、毎年PIPCAを実施する必要があるのか。

A2：「監査弁法」によれば、取扱う個人情報が1000万人を超える個人情報取扱者は、少なくとも2年に1回、PIPCAを実施しなければならないが、その他の個人情報取扱者は定例PIPCAを実施する頻度を独自に決定することができると定められている。

取扱う個人情報が1000万人を超えない企業に対し、法令ではPIPCAの頻度を明確には限定していないが、個人情報保護に関する法律法規及び実務状況が頻繁に変化することを考慮すると、PIPCAの時間的間隔をあまり長めに設定するのは好ましくなく、個人情報取扱活動の実際の状況を踏まえながら、3 ~ 5年に1回の頻度でPIPCAを実施するくらいが相対的に好ましいと言える。また、企業が異なる業務活動ごとに、それぞれのPIPCA頻度を設定することも考えられ得る方法である。例えば、取扱活動が比較的安定しており、変化が少ない従業員個人情報の取扱活動に対しては、5年に1回のPIPCAを実施し、マーケティングなどの複雑な個人情報取扱活動に対しては、3年に1回のPIPCAを実施する等である。

特に注意する必要があることとして、「未成年者ネットワーク保護条例」の規定によると、未成年者の個人情報を取扱う個人情報取扱者は、未成年者の個人情報の自身の取扱いが法律、行政法規を遵守している状況についてコンプライアンス監査を毎年実施し、監査状況をインターネット情報管理部門などの部門に遅滞なく報告しなければならない。

Q3：企業はPIPCAの実施を専門機関に依頼するしかないのか。

A3：PIPCAには、独自監査と監督管理監査という2つの基本的なパターンがある。

独自監査とは、企業が独自に実施する定例PIPCAである。企業は、個人情報保護に関する専門知識を有する要員により構成される内部機構を設置していれば、内部機構を通じてPIPCAを実施することができる。企業がこのような内部機構を設置していない場合、又は独立した第三者を通じて個人情報の取扱状況のコンプライアンス問題をより客観的に審査したい場合などは、外部の専門機構に依頼してPIPCAを実施することもできる。

監督管理監査とは、監督管理部門が企業の個人情報取扱活動に個人の権益に深刻な影響をもたらし、又は安全対策に極めて欠けているなどの高いリスクが存在し、数多くの個人の権益を侵害するおそれがあり得ることが見つかり、又は個人情報安全事件が発生し、100万人以上の個人情報若しくは10万人以上の機微な個人情報の漏洩、改ざん、紛失、毀損を招いた場合、企業にPIPCAの実施を命じるものである。この場合、企業は専門機構にPIPCAの実施を依頼し、見つかった問題にを是正し、是正が完了してから15営業日以内に、監督管理部門に是正状況報告を報告しなければならない。

Q4：企業内ではだれがPIPCA関連業務を担当すべきか。

A4：企業が個人情報保護専門部門を設置している場合、個人情報保護に関する要求に詳しいことから、通常、同部門がPIPCA関連業務を担当するのが好ましい。企業が個人情報保護専門部門を設置していない場合、法務部門、監査部門、又は総務部門などが率先して担当するのがよい。

100万人以上の個人情報を取扱う個人情報取扱者の場合、「監査弁法」の規定によると、個人情報保護責任者を指定し、PIPCA業務を担当しなければならない。同時に、「個人情報保護法」の規定に基づき、個人情報保護責任者の連絡先を公開し、個人情報保護責任者の氏名、連絡先などを監督管理部門に報告しなければならない。しかし、現在の実務運用上、報告の方法についてはまだ明らかにされていない。

Q5：企業は、どのタイミングで初回のPIPCAを実施すべきなのか。

A5：「監査弁法」は2025年5月1日から正式に施行され、且つ「個人情報保護法」の施行から3年余りが経過しており、ここ数年で個人情報監督管理実務において多くの新たな変化があることを踏まえると、企業は2025年下半期に初回のPIPCA実施の準備を開始するのがよいと思われる。

企業ごとの実際の状況に応じて、PIPCAを実施する具体的なタイミングは弾力的に手配することができる。例えば、個人情報の取扱シーンが複雑な企業であれば、PIPCAに必要となる時間は一般企業よりはるかに多くなるため、早めにPIPCA実施の準備を始めるのがより好ましい。

終わりに

「監査弁法」が公布されたことによって、また1つの個人情報コンプライアンス要求が正式に実施されることになり、法令の要求に従ってPIPCAを実施していなければ、監督管理部門は法に依拠して処罰する権利を有する。コンプライアンス義務を着実に履行し、企業の個人情報取扱活動が法令の要求を満たすよう、企業はできる限り早めに専門家に相談し、PIPCAの実施を準備しておくのが好ましい。

（作者：里兆法律事務所 董紅軍、鄭旭斌）