《個人情報保護法》要点解説(日本語版)

    中国の「個人情報保護法」は、2021年8月20日に採択されし、11月1日から施行される予定である。 《個人情報保護法》は、以前に公布された「ネットワーク安全法」「データ安全法」とともに、ネットワーク安全、データ安全、個人情報保護の分野における三つの基礎的な法律を構成する。

一、概要

    個人情報保護法は、(1)個人情報の取扱(国境を跨るやり取りを含む)に関する規則、(2)個人情報取扱活動における個人が有する権利、(3)個人情報取扱者の義務、(4)個人情報取扱活動に関わる全ての関係者の法的責任等の内容について体系的に規定した。 その出発点は、個人情報の取扱に関する個人が有する権利を保護し、企業やその他の個人情報取扱者が遵守すべき規則及び義務を明確にし、同時に違法行為と権利侵害行為の法的責任を明確にすることである。

二、個人情報保護法の要点

(一) "個人情報 "と "センシティブな個人情報" 

    「個人情報保護法」では、一般的な個人情報とセンシティブな個人情報を区別している。 個人情報は幅広い概念であり、センシティブな個人情報が個人情報の中で特別に保護された部分である。 個人情報取扱者は、その取扱う情報によって、一般か、センシティブかで異なる義務を負うことになる。

    「個人情報とは、電子的又は他の手段で記録され、識別された又は識別可能な自然人に関するあらゆる種類の情報である。ただし、匿名処理後の情報は除く。」(第4条)即ち、記録形式と手段を問わず、自然人を識別できる情報は個人情報という。典型的なのは姓名、電話番号、電子メール、WeChat口座などがあげられます。

    「センシティブな個人情報とは、一旦漏洩もしくは不正に利用されると、自然人の人格尊厳が容易に侵害され、人身や財産の安全に危険を及ぼすおそれのある個人情報であり、生物識別、宗教信仰、特定な身分情報、医療・健康情報、金融口座情報、行動軌跡などの情報及び14歳未満の未成年者の個人情報が含まれる。」(第28条)即ち、個人情報の内、29条でリストされている情報が特別な個人情報として特別の保護と取り扱いが要求される。

    個人情報やセンシティブな個人情報の具体的な範囲及びその判定については、「情報安全技術 個人情報安全規範」(GB/T 35273-2020)等の文書の規定を参照して実施することができる。

    また、「個人情報保護法」は、匿名化処理された個人情報が同法で保護・規制される個人情報とはみなされず、「匿名化とは、個人情報を特定の自然人と識別できないように処理し、且つ復元できないプロセスをいう」と規定した(第73条第4項)。

(二) 「国内適用」と「国外適用」

    「個人情報保護法」は、国内での個人情報の取扱と国外での個人情報の取扱の両方とも規制し(第3条)、具体的には以下の場合が含まれる。

  •     国内適用:中国国内における自然人の個人情報を取扱する活動、すなわち、取扱者、国内の取扱活動など。 例えば、国内の企業が従業員情報の収集。
  •     国外適用:個人情報取扱者、取扱活動などが中国国外にあっても、その取扱者の取扱う個人情報が中国国内の自然人の個人情報であり、且つ以下の状況に該当する場合は、「個人情報保護法」を適用できる。

                a. 国内の自然人に対する製品またはサービスの提供を目的としたもの

                b. 国内の自然人の行為を分析・評価する

                c. 法律で定めるその他の状況

    従って、個人情報取扱者が国内の主体であるか国外の主体であるか、取扱った個人情報が国外の自然人もしくは国内の自然人が問わず、取扱活動が国内で行われるのであれば、個人情報保護法の規制を受けることになる。更に、取扱活動が国外で行われる場合であっても、個人情報取扱者が国内の自然人の個人情報を取扱う場合には、「個人情報保護法」で規定された特定の状況に該当すれば、「個人情報保護法」の規制範囲内に含まれる。一般的には、香港・マカオ等は「国外」に該当するため、香港・マカオ等での個人情報の取扱も「国外での処理」を適用する。 相応に、香港、マカオなどへの個人情報の提供は、個人情報保護法に定められた越境転送規制の対象となっている(詳細は以下の説明を参照されたい)。

(三) 他人が個人情報を取扱うことに対して個人が有する権利

    他人による自分の個人情報の処理に関連する個人情報の主体が有する権利は、通知を受ける権利、決定権、取扱を制限又は拒否する権利、閲覧権、複製権、移転権、訂正・補足を要求する権利、削除権、説明を要求する権利などがある(第44条~第50条)。当該規定は、初めて個人情報に関する権利主張を体系的に明らかにするものであり、企業等個人情報取扱者は、個人情報保護の方針を制定する際に、対応手順やシステムの設計を重視すべきである。

(四) 個人情報の取扱が遵守すべき原則・規則

    個人情報の「取扱」は、全ての時点及び全体の流れにおいて、「収集」、「保管」、「使用」、「処理」、「伝送」、「提供」、「開示」、「削除」等の活動が含まれる(第4条)。

    「個人情報保護法」では、処理者が個人情報を取扱う際に遵守すべき原則を規定している、合法、正当、必要、誠実の原則、目的限定・必要最小限の原則、公開性・透明性の原則、正確性の原則、権利侵害責任原則等を定める(第5条~第9条)。 上記の大原則に基づき、「個人情報保護法」は、更に個人情報取扱者が個人情報を取扱う際に遵守すべき規定を細かくて定めており、その概要と分析は以下の通りである。

    1. 同意の取得

    特定の場合を除き、個人情報取扱者は、個人情報を取扱う前に本人の同意を得なければならない(第13条)。

    例外の一つとして、個人情報取扱者は、「本人が当事者として契約の締結・履行のため、又は法律により規定された労働規則及び法律に基づいて締結した労働契約に従い、人事管理の実施のために必要な場合」には、本人の同意を取得せずに個人情報を取扱うことができる。ただし、個人情報取扱者は、各取扱の原則と規則に従わなければならず、個人情報を違法且つ過度に処理してはならない。この規定に基づき、企業は従業員の個人情報の取扱について、より緩やかな規則を適用することができ、それに応じて、企業が合法的な規制を確立することも必須となる。

    また、「個人情報保護法」は、個人情報の取扱目的、取扱方法、取扱う個人情報の種類に変更があった場合には、再度本人の同意を取得しなければならないこと(第14条)、本人の同意に基づいて個人情報を取扱う場合、本人が同意を撤回する権利を有し、個人情報取扱者は、迅速且つ簡便に同意を撤回する方法を提供しなければならないこと(第15条)、特定の個人情報の取扱活動については本人の個別の同意を取得しなければならないこと等の規定を明示している。

    2. 明確な通知

    法定事情を除き、個人情報取扱者は、個人情報を取扱う前に、関連事項について真実、正確且つ完全に、目立つ方法、わかりやすい言葉で本人に知らせなければないらない。(以下を含む:a. 個人情報取扱者の名称又は氏名と連絡先;b.個人情報の取扱目的、取扱方法、取扱う個人情報の種類、保存期間;c. 本人が本法に規定する権利の行使方法及び手続き;d.法律や行政法規で定めるその他の通知すべき事項);また、関係事項に変更があった場合には、その変更部分を本人に通知しなければならない;個人情報取扱規則を設定することを通じて関係事項を本人に通知する場合には、当該取扱規則を公表し、且つ、容易に閲覧・保管できるようにしなければならない(第17条、第18条)。

    従って、いずれの企業も個人情報取扱者となる可能性があるので、企業は個人情報の取扱に関する規則を可能な限り早く制定し・改善・開示し、常にアップデートすることが必要である。

    3. センシティブな個人情報の取扱に関する特別規則

    センシティブな個人情報の取扱については、「個人情報保護法」において、一般的な個人情報の取扱規定に加え、以下の特別な規定が設けられている。

  •      特定の目的と十分な必要性があり、且つ厳格な保護措置が講じる場合に限り、センシティブな個人情報を取り扱うことができる。
  •     センシティブな個人情報の取扱は、本人の個別の同意を取得しなければならない。法律又は行政法規の規定により、書面による同意を取得すべき場合はこの限りではない。
  •     法律により通知すべき事項のほか、センシティブな個人情報を取扱うことの必要性及び本人の権益への影響を本人に通知しなければならない。(本法の規定により本人に通知しなくてもよい場合はこの限りでない。)
  •     14歳未満の未成年者の個人情報を取り扱う場合には、当該未成年者の両親及び他の保護者の同意を取得し、専門的な個人情報の取扱に関する特別規則を制定しなければならない。
  •     その他の法律や行政規則におけるセンシティブな個人情報に関する規定に従う。例えば、関連する行政許可もしくは他の制限等の取得。

    また、個人情報取扱者は、センシティブな個人情報を取り扱う前に事前に個人情報保護影響評価を行わなければならない(第55条)。

    企業がその経営活動でセンシティブな個人情報を取扱うことはが通常のことである。 例えば、従業員の家族状況に関する情報、コンプライアンス調査する際に従業員の資産及び金融情報、顧客ビジネスの開拓過程における相手企業の関係責任者のバックグラウンド情報などである。「個人情報保護法」は、センシティブな個人情報の取扱について比較的に厳しい条件や手続きを定めており、経営活動における個人情報保護のコンプライアンスにおいて大きな挑戦となる。

    4. 国際伝送規則

    個人情報の越境伝送(つまり、中国の境界外への送信)は、「インターネット安全法」でも言及されており、「個人情報保護法」では越境伝送規則に関して、更に規定を設けている(第38条~第43条)。

    まず、個人情報取扱者は、境外に個人情報を提供する必要がある場合には、次のいずれかの要件が必要である。

  •     国家インターネット情報部門が主催する安全評価に合格する
  •     国家インターネット情報部門の規定に基づき、専門機関による個人情報保護の認証が必要
  •     国家インターネット情報部門が制定する標準契約書を使用して海外の受取人と契約を締結し、双方の権利と義務を合意する
  •     法律、行政法規、又は国家インターネット情報部門の規定で定める他の要件

    次に、個人情報取扱者は、中華人民共和国境外に個人情報を提供する場合、海外の受取人の氏名又は名称、連絡先、取扱目的、取扱方法、個人情報の種類、及び海外の受取人との間で、本法による権利の行使方法及び手続きを本人に通知して本人の個別の同意も取得しなければならない。

    第三に、特定個人情報取扱者、すなわち重要情報インフラの運営者及び取扱う個人情報の数量が大量な個人情報取扱者は、中華人民共和国の境内で収集・生成した個人情報を境内に保存しなければならない。境外に提供する確かな必要性がある場合は、国家ネットワーク情報部門が主催する安全評価に合格しなければならない。

    第四に、外国の司法機関又は法執行機関に個人情報を提供する特別な場合には、「個人情報保護法」は、個人情報取扱者は、中華人民共和国の主管機関の承認を得ずに、中華人民共和国の境内で保管されている個人情報を外国の司法機関や法執行機関に提供してはならないと規定した。

    「個人情報保護法」において、国内で収集・生成した個人情報を国内で保管及び境外に個人情報を提供する際に安全評価に合格すべきとの規定は、「サイバー安全法」の立法趣旨と一致している。ただし、「個人情報保護法」は、「サイバー安全法」と比較して、重要な情報インフラの事業者に対する要求の上で、「国家インターネット情報部門が規定する個人情報取扱数量に達した個人情報取扱者」も同様な規則を遵守すべきであるとしている。現在、「規定数量」の定義はまだ不明確であり、今後に国家インターネット情報部門からの明確な解釈が期待される。その他に、国家は「個人情報の出境安全評価弁法(パブリックコメントを求める案)」等の文件を公開して意見を求めることがあった。個人情報の境外への提供についての安全評価に関する具体的な規則は現時点では不明確であるが、「個人情報保護法」が公布された後、個人情報の境外への提供に関する安全評価の細則が徐々に制定されていると思われる。

    「個人情報保護法」において、「個人情報取扱者は、許可を取得せずに中国国内で保管されている個人情報を外国の司法機関や法執行機関に提供してはならない」という規定は、「データ安全法」の考え方と一致している。これまでの実務の中で、例えば、米国SECによる中国企業への調査で文書の提出及び国内の会計事務所が監査調書の提出を要求するケースでは、情報を境外に提供する前に、通常、弁護士と法証技術専門家が参加して機密情報があるか否かのチェックを行う。「保守国家機密法」及び個人情報保護に関する関連法律法規等に基づき、国家機密・個人情報等のセンシティブな情報を選別してブロックを行うことが必要となり、更に、対応する報告書及び法律意見書を提出し、中国の証券監督管理委員会の承認を得て最終的に境外への提供を完成する。「データ安全法」及び「個人情報保護法」の施行後、外国の司法・法執行機関から主催した刑事調査、行政捜査、更に民事訴訟過程での捜査等の国境を越えた捜査については、国内の当事者は、関連する文書や情報を提出する際に、現行の中国法律法規及び中国が加盟している国際条約・協定を遵守しつつ、上記2つの法律の規定に従って関連する手続きを行わなければならない。

(五) 個人情報取扱者の義務

    個人情報取扱者は、上述の個人情報の取扱に関する原則及び規則を遵守するとともに、個人情報保護法において定められた以下の義務を履行しなければならない(第51条~第59条)。

    まずは、全ての個人情報取扱者は、以下の義務を履行しなければならない。

    1. コンプライアンス管理措置を採用

  •     内部管理システム及び操作規程の制定
  •     個人情報に対する分類化管理
  •     相応の暗号化、非識別化などの適切な安全技術措置の適用
  •     個人情報を取り扱う業務の権限を合理的に定め、従事者に対する定期的な安全教育及び研修を実施
  •     個人情報の安全事件に対する緊急対応プランの策定と実施等

    2. コンプライアンス監査

    個人情報の取扱について、法律や行政規則を遵守しているか、定期的にコンプライアンス監査を行う

    3. 通報

    個人情報の漏えい、改ざん、紛失、またはその可能性がある場合には、直ちに救済措置を講じ、法律により主管部門及び個人に通知する

    4. 個人情報保護影響評価

    次の場合には、事前に個人情報保護影響評価を行い、その取扱を記録しなければならない。

  •     センシティブな個人情報の取扱
  •     個人情報による自動化意思決定
  •     個人情報の取扱の委託、他の個人情報取扱者への提供、個人情報の開示
  •     個人情報を境外に提供すること
  •     その他、個人の権益に重大な影響を与える個人情報取扱活動

    また、特定類型の個人情報取扱者には、以下の通りに特別な義務も履行しなければならない。

    5. 国外の個人情報取扱者は、中華人民共和境内において個人情報保護に関する事項を取扱う専門機関を設置し、代表者を指定し、個人情報保護職責を履行する部門に関連機関の関連情報を報告しなければならない。

    6. 大量の個人情報を取り扱う個人情報取扱者は、個人情報保護責任者を指名し、個人情報の取扱活動等に対する監督を行い、同時に、個人情報保護責任者の連絡先を開示し、その責任者の関連情報を担当する部門に報告しなければならない。

    7. 重要なインターネットプラットフォームサービスを提供し、利用者数が多く、業態が複雑な個人情報取扱者は、外部メンバーをメインとした独立機関を設置して個人情報保護の状況を監督し、プラットフォームの規制を制定し、個人情報の取扱に関する規範及びプラットフォーム内の商品・サービスの提供者の個人情報保護の義務を明確にし、法律や行政法規に重大に違反するプラットフォーム内の製品・サービス提供者に対して、サービスの提供を停止し、個人情報保護に関する社会責任報告書を定期的に公表しなければならない。

    個人情報の分類・管理については、「個人情報保護法」の規定のデータの類型分け・レベル分け保護制度及び重要なデータに対する保護の強化は、「データ安全法」の規定と一致している。現在、重要データのカタログ、データ及び個人情報の類型分け・レベル分けに関する統一標準はまだ不明確であり、国家から細則の公布が期待される。「情報安全技術個人情報安全規範」(GB/T 35273-2020)や「情報安全技術 健康医療データ安全ガイド」(GB/T 39725-2020)等の資料は、異なる程度でデータと情報の範囲、類型分け・レベル分けについて相応する規範を定めており、ある程度の参考価値がある。また、データ及び個人情報取扱者は、所属する業界、自社の業務などの状況に応じてデータ及び個人情報の類型分け・レベル分け作業を行う必要がある。

    その他に、「個人情報保護法」及び「ネットワーク安全法」、「データ安全法」で言及する問題、例えば、重要な情報インフラ、個人情報及び重要なデータの国外への提供の安全評価、データと個人情報の類型分け・レベル分けなどの問題は、相互に絡み合っており、最終的な実施は技術的措置のレベルで執行されるため、ネットワーク事業者/データ取扱者/個人情報取扱者は、ネットワークやデータ安全、個人情報保護の問題に対して全面的な考慮が必要とされ、各方面のコンプライアンスの実施を確保する必要がある。

(六) 法的責任

    個人情報取扱者は、法律に違反して個人情報を取扱う場合、または個人情報保護義務を履行しない場合、「個人情報保護法」第7章の規定に従い、相応の法的責任を負うことになる。主な内容は以下の通りである。

    1. 行政責任

  •     違反行為の情状の重大程度による。

               a. 企業に是正を命じ、警告を発し、違法所得を没収し、サービス提供の停止または中止を命じ、罰金(最高5,000万人民元または前年度売上高の5%)を課すとともに、関連事業の停止または事業是正の停止を命じ、関連事業許可の取消または事業許可の取消を行うこと
               b. 企業直接責任を負う担当者及びその他の直接責任者に罰金を科し(100万元以下)、また、一定期間内に関連企業の取締役、監督、上級管理者及び個人情報保護責任人の職務の禁止を決定できる

  •     信用ファイル(これにより、監督部門から各方面で共同に処分される可能性がある)で記録し、且つ公示する。
  •     本法の規定に違反し、治安管理違反行為を構成する者は、法律により治安管理処罰を行う。犯罪を構成する場合には、法により刑事責任を追及する。

    2. 民事責任

  •     過失の推定:個人情報の取扱が個人情報の権益を侵害して損害が発生する場合、個人情報取扱者は、その過失がないことを証明できない場合、損害賠償責任等の責任を負わなければならない
  •     公益訴訟:個人情報取扱者が本法の規定に違反して個人情報を取扱い、多数の個人の権益を侵害した場合、人民検察院、法律で定められた消費者組織及び国家インターネット情報部門により確定された組織は、法律に基づいて人民法院に訴訟を提起することができる

    実際には、法廷で証拠を提出できず、情報安全を守るための有効な手段を講じたことを証明できないため、ユーザーのプライバシー情報の漏洩に対して権利侵害責任を負うと判決した事例があった 。 この事件で裁判所が適用した立証基準は、過失責任の原則であるが、「個人情報保護法」において過失推定の原則が確立されたことにより、個人情報取扱者は間違いなくより重い立証責任を負うことになる。

    また、各レベルの検察庁が、多くの分野で個人情報保護に関連した民事公益訴訟(行政公益訴訟と刑事事件付随の民事公益訴訟もあった)を提起していることに注目すべきである。 最高人民検察院は、「個人情報保護法」が公布した翌日(2021年8月21日)に「個人情報保護法の実施及び個人情報保護に関する公益訴訟の促進に関する通知」を発表し、この種類の公益訴訟事件の取扱を指導している。

    3. 刑事責任

    「個人情報保護法」は、同法に違反して犯罪を構成する場合には、同法により刑事責任を追及しなければならない。 この点に対して、「刑法」は公民の個人情報を侵害する罪等を規定しており、最高人民法院と最高人民検察院も「公民の個人情報を侵害する刑事事件の処理における法の適用に関する若干問題に関する解釈」を公布した。個人情報取扱者は、「個人情報保護法」に違反した場合に刑事責任を負う可能性を十分に注意し、レッドラインに触れないようにしなければならない。

三、結論

    「個人情報保護法」の公布は、ネットワーク、データ安全、個人情報保護の分野における中国の法律の仕組みを補充し、ネットワーク安全法とデータ安全法とともに、この分野における3つの柱となる。いくつかの具体的な問題は、関連細則を公布によりその解釈が期待されるが、「個人情報保護法」の施行に伴い、各分野の企業(特に重要な情報インフラの運営者及びそのサプライヤー、インターネット、金融、医療健康、自動車、旅行などの業界で重要なデータ及び大量の個人情報を取扱う企業)は、自社の事業、ネットワーク、情報システム、取扱ったデータ及び個人情報、組織体制、コンプライアンス管理体制等を整理し、着実にコンプライアンスを推進して適時に実現することが求めれるべきであるが、多くの企業は既にその整理、コンプライアンスの推進に着手している状況にある。 

実務上、インターネット安全、データ安全、個人情報保護の問題は、相互に関連して絡み合っていることが多く、またインターネット安全、データ安全、個人情報保護の分野の数多くの法律、法規も絡み合っている。 企業は、経営、技術、法律、コンプライアンス等の資源を統括してその領域のコンプライアンス作業に対応し、例えば、コンプライアンス体制の構築、コンプライアンス管理体制の改善、関連する技術的対策の実施等、この分野のコンプライアンス作業に対処し、法執行や司法の試練に備える必要があることに留意されたい。

 


[1] と北京趣拿信息技術有限公司、中国東方航空股份有限公司プライバシー権訴訟第二審民事判決書、(2017)01民終509号。 

 

作者:

賈 維恒(Weiheng JIA

weihengjia@qinlilegal.com

曲 暁琨(Sean Qu

seanqu@qinlilegal.com

key contact

Weiheng Jia

Weiheng Jia

Partner, National Leader

Shanghaiweihengjia@qinlilegal.com