ナレッジ

中国の個人情報保護法の概要および実務対応について

APリスクアドバイザリー ニュースレター(2022年5月9日)

中国では2017年のサイバーセキュリティ法の施行を皮切りに、サイバーセキュリティ環境の変化や中国国内のデジタル化の加速に対応すべく2021年にデータ安全法、個人情報保護法が相次ぎ施行されています。当ニュースレターでも、データ安全法や草案段階での個人情報保護法について紹介していますが、正式公布となった個人情報保護法に焦点を当てて解説させて頂きます。

個人情報保護に関して、これまでは民法典や中国サイバーセキュリティ法等の各法令のなかで部分的に定められている状況であり「個人情報保護法」という名の法律や個人情報保護について包括的、統一的に定める法律は存在していませんでした。

しかし、2018年のEU一般データ保護規制(GDPR:General Data Protection Rules)の施行をはじめとするプライバシー保護強化の国際的な潮流や、昨今の中国でのデジタル化の発展に伴う個人情報保護の必要性の高まりを受け、2021年8月20日に個人情報の利用と保護に関する基本的な法律である「個人情報保護法」が公布され、2021年11月1日より施行されています。

日系企業におかれましても、中国でビジネスを展開するにあたり個人情報保護への対応は必要不可欠なものとなっていますが、どこから着手すべきか多くの日系企業の皆様からお問い合わせを受けています。

このような状況を踏まえ、日系企業にとって影響が大きいと考えられるポイントを中心に、実務対応にも触れながらご紹介します。

 

個人情報保護に関する全体的な保護フレーム

まず個人情報保護と一口に言っても、中国においては個人情報保護法以外の法律でも個人情報保護について定められており、これらの法律に基づく詳細やガイドラインが様々に存在、一体となり個人情報保護を図っています。上述した通り、個人情報保護法は、個人情報保護に関する基本的な原則・要求を定めた特別法となっていますが、個人情報保護に関する全体的なフレームは下記の図のようになります。中国において個人情報保護のコンプライアンス遵守を図るには、個人情報保護法以外の法律や、関連する規則、ガイドラインも含め包括的に対応することがポイントとなりますが、関連規則は様々な行政機関から 随時発行されるため網羅的かつタイムリーに把握することが困難であり、実務上の対応の難しさの一つの要因となっています。
 

【個人情報保護の保護フレーム】

個人情報保護の保護フレーム
※画像をクリックすると拡大表示します

個人情報保護法における個人情報

それでは、そもそも対象となる「個人情報」とは個人情報保護法でどのように定められているのでしょうか。個人情報保護法では、個人情報は「電子的またはその他の方式により記録され、すでに識別可能な自然人に関する各種情報であり、匿名化された情報は含まない」(個人情報保護法(以下同じ)第4条)と定義されています。まず、「電子的またはその他の形式により記録され」とあり、データ上だけでなく紙面等も含めた個人情報を対象としています。また、「識別可能な自然人に関する各種情報」とあり、行動履歴など個人を識別可能な情報も含め対象が広く定義されています。一方で、「匿名化された情報は含まない」として、匿名化された情報を対象外とすることで実務上のバランスが図られています。

具体的な例示は、関連ガイドラインの「情報安全技術 個人情報安全規範」(GB/T 35273-2020)に示されているため(下記図参照)、実務上、自社にとって個人情報に該当するものは何かを判断する際に参考にすることができます。なお、機敏な個人情報(下記図の太字箇所)に該当する場合、個人情報主体から個別の同意や、規定がある場合は書面同意の取得が必要となり(第29条)、通常の個人情報で求められる事項に加え当該機微な個人情報の取扱いの必要性および個人に与える影響についても個人情報主体へ告知が求められるなど厳しい条件があるため(第30条~32条)留意が必要です。
 

【個人情報の具体例】

個人情報の具体例
※画像をクリックすると拡大表示します

個人情報の越境移転

影響が大きいと考えられる論点として、個人情報の越境移転があり、特に注意が必要です。越境移転とは、中国域外に個人情報が出ている場合であり、香港など中国本土以外も域外となるため、例えば中国本土の個人情報が香港のサーバーを使用して管理されている場合も越境移転に該当します。また、個人情報が中国本土に保管されていても域外から当該個人情報にアクセス可能な場合も越境移転とみなされます。さて、個人情報の越境移転については、重要情報インフラ運営者や規定数以上の個人情報を取り扱う個人情報取扱者と、これら以外の個人情報取扱者で取り扱いが異なります。重要情報インフラ運営者等は原則、域内保存が必要となり、域外保存の必要がある場合には、国家インターネット情報部門による安全評価に合格する必要があります(第40条)。一方、それ以外の個人情報取扱者が越境移転する場合は、①同意の取得(第39条)、②一定の保護基準を満たす契約締結等(第38条)、および③個人情報保護影響評価と、その取扱い状況の記録(第55条)(下記図参照)が必要となります。実務上想定される例として、中国本土の従業員の個人情報が、グローバルで使用している基幹システムにより本社のある日本のサーバーに同期されている場合が挙げられますが、実務上の対応として上記②については、国家インターネット情報機関が制定する標準契約様式に基づき、日本本社と契約を締結する対応が想定されます。ただし、当該標準契約様式を含め詳細ガイドラインは執筆時点(2022年3月)で意見募集段階であり、今後正式に公布されるガイドラインを参照する必要があります。
 

【従業員情報が越境移転している場合の対応イメージ】

従業員情報が越境移転している場合の対応イメージ
※画像をクリックすると拡大表示します

まとめ

上記以外にも、個人情報保護法の適用範囲(域外であっても、域内の自然人への製品・サービス提供等により個人情報を取り扱う場合には適用対象となる)、同意の取得(個人情報の取り扱いにあたり一定事項の告知や個人情報取扱ルール公開が必要等)、個人情報の取り扱い(内部管理制度の制定、責任者の任命、リスクの事前評価、個人情報漏洩時の対応等)など留意すべき点は数多くありますがが、まず、自社にとって対応すべき個人情報の棚卸をすることが実務対応の第一歩となります。その際には、特に留意が必要な機微な個人情報に該当するか、データ越境となっている可能性があるかも合わせて評価し、関連法令、規則について、専門家の助言も活用しつつ優先度の高いものから対応することが効果的です。特に個人情報の取り扱いはビジネス活動と不可分であることが多く、コンプライアンス対応だけを考えて対応を進めると過度な対応となり、ビジネスを阻害する要因となる可能性もあるため、ビジネス活動や醸成される実務対応事例も踏まえて対応を進めることが重要です。

デロイト トーマツ グループでは、グローバルなネットワーク、GDPRおよび中国サイバーセキュリティ法での個人情報保護対応の経験や知見を活用し、法的手続、管理態勢、テクノロジーの観点から日系企業クライアントの現地規制対応を支援しています。詳細については、お問い合わせください。
 

著者:矢内隆一
※本ニュースレターは、2022年5月9日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?