ナレッジ

中国の個人情報保護法(草案)の重要ポイント

APリスクアドバイザリー ニュースレター(2021年6月28日)

2018年のEU一般データ保護規則(GDPR:General Data Protection Rules)の施行から、グローバルでプライバシー保護強化が進む中、中国でも2020年10月に個人情報保護法(草案)が公表され、急速に個人情報保護への関心が高まっています。中国では、これまで、「個人情報保護法」という名の法律や、個人情報保護について統一的な規定を定める法律は存在せず、民法典や中国サイバーセキュリティ法等の各法令に、部分的に個人情報に関する記載が存在している状況でした。そのため、これまで個人情報保護対応といえば、中国サイバーセキュリティ法の個人情報に関する規定への対応が中心となっている状況です。このような状況の中、個人情報保護法(草案)が公表されました。本草案が定める罰金がこれまでのサイバーセキュリティ法での罰金に比べ高額であることもあり、現地でも個人情報保護対応の話題が増えてきています。

本草案では、一部中国域外への適用を定めており、中国に拠点を置かない企業にとっても、中国のユーザーに商品を販売し個人情報を収集している場合には、今後、中国の個人情報保護法対応が必要となる可能性があります。そこで、本稿では個人情報保護法(草案)の重要なポイントについて紹介いたします。

「個人情報」の定義

まず、前提となる個人情報の定義について紹介いします。本草案において、個人情報は「電子的またはその他の方式により記録され、すでに識別されたまたは識別可能な自然人に関する各種情報であり、匿名化処理された情報は含まない」(本草案第4条)と定義されています。つまり、収集された情報のうち生存する人に関する情報で、匿名化処理された情報は含みません。

個人情報保護法(草案)の域外適用

本草案において、「中華人民共和国の域内において、中華人民共和国域内の自然人の個人情報を取り扱う活動に対し、本法を適用する」と規定され(本草案第3条1項)、原則として、中国の域内の活動に対して本法を適用するとしています。しかし、同条2項において、一部の域外適用を定めており(下記参照)、中国に拠点を持たない日本企業であっても、中国域内の自然人の個人情報を取り扱う場合には、同法の適用を受ける可能性があります。例えば、日本にある企業がEコマースなどで直接中国の個人に商品やサービスを提供している場合は、留意が必要です。

1)域内の自然人に向けて商品又はサービスを提供することを目的としている

2)域内の自然人の行為を分析し、評価するためのものである

3)法律、行政法規の規定するその他の状況

個人情報の域内保存義務

中国サイバーセキュリティ法のデータ越境移転でも、データの域内保存義務が定められていますが、本草案でも第40条にて、個人情報の域内保存義務が規定されています。

 個人情報の域外提供に関するルール(本草案第38条、40条)

個人情報の域外提供に関するルール(本草案第38条、40条)
※画像をクリックすると拡大表示します

日系企業では、中国拠点の運営上、親会社へ現地社員の個人情報を提供する場合に留意が必要です。例えば、親会社と個人情報に関する契約を締結した上で(同草案第38条)、域外への移転の取扱目的や取扱方法等を本人に告知し、同意を得ることが必要となります(同草案第39条)。

その他の留意点

個人情報を取り扱うことができる場合の限定列挙

本草案では、個人情報を取り扱うことができる場合を限定列挙しており、日系企業の場合、一般的には「個人の同意を得た場合」(同草案第13条1項)もしくは「個人が当事者となる契約の締結または履行に必要な場合」(同条2項)に該当する場合に個人情報の取り扱いが可能となります。例えば、現地顧客から同意を得た場合や、現地社員との労働契約締結において社員の個人情報を取り扱う場合が該当します。契約がある場合でも、契約の締結または履行に必要な情報以外の個人情報を収集する場合には、上記2項には該当せず、1項に従い個人の同意を得る必要がある点に留意が必要です。

高額の罰金

本草案の規定に違反した場合で、情状が重い場合には、是正命令、違法所得を没収の上、かつ5,000万元以下または前年度売上高の5%以下の罰金が課される可能性があります(同草案第62条)。「中国サイバーセキュリティ法」での個人情報に関する罰金は最高100万元であるのに対し、高額であり、無視できない影響となっています。

まとめ

本草案の内容は未確定であり今後修正される可能性はありますが、近い将来施行されることが想定されます。現地日系企業はもちろんのこと、中国に拠点がない企業でも対応を迫られる可能性があり、その影響も大きいことが想定されます。そのため、専門家に相談するなど、個人情報保護法(草案)を参考に早期に準備に着手することが重要です。筆者の私見ですが、例えば、現地日系企業が現地の主要Eコマースプラットフォームを通じて個人に商品を販売しており、そこで販売した個人の情報を自社で保有している場合など、保有する個人情報の数によっては、個人情報が流出した場合のリスクが大きく早期対応が必要となります。また、金融業や製薬業など、生物的特徴、医療健康、金融口座等のセンシティブな個人情報を扱う場合には、より厳密な取り扱いが求められるため留意が必要です。

個人情報保護対応の評価アプローチとしては、現状の情報収集から、個人情報の収集や域外移転するケースを特定し、各コンプライアンス要件と比較して、対応策を検討することが一般的です。また、詳細なガイドライン等で明確化されることも想定されるため、今後の動向に対しても引き続き留意が必要です。

個人情報保護対応の評価アプローチ

個人情報保護対応の評価アプローチ
※画像をクリックすると拡大表示します

デロイト トーマツ グループでは、グローバルなネットワーク、GDPRおよび中国サイバーセキュリティ法での個人情報保護対応の経験や知見を活用し、法的手続、管理態勢、テクノロジーの観点から日系企業クライアントの現地規制対応を支援しています。

著者:矢内 隆一
※本ニュースレターは、2021年6月28日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?