client alerts

中国初の包括的個人情報保護法の制定 ―日本の多国籍企業への影響と対応―

October 13, 2021

By 新井 敏之, & Kefei Li

はじめに

2021年8月20日、中国の「個人情報保護法」は三回の審議を経てようやく可決され、2021年11月1日より施行される。同法は今年9月1日から施行の「データ安全法」及び2017年6月1日から施行の「ネットワーク安全法」とともに、中国におけるデータやプライバシーの安全・保護に関する法的枠組みの三つの柱を構成する。これらの法律の施行により、中国でビジネスをする多国籍企業はデータプライバシーのコンプライアンスにも対応しなければならない。

今回可決された「個人情報保護法」は中国の初めての個人情報保護に関する包括的な法律であり、EUの一般データ保護規則(General Data Protection Regulation:GDPR)に類似するところが多いものの、GDPRより規制が厳しいところもある。また、データの国外移転規制や個人情報提供ブラックリスト制度など、欧米の個人情報保護に関する法律に比べ、中国の「個人情報保護法」は、国家安全やデータの主権を守るという色彩が濃いと言えよう。

本稿はこの「個人情報保護法」の要点、及び日本企業にとって注意を要する問題について検討する。

一.域外適用

個人情報保護法は個人情報を「電子的またはその他の方式により記録され、すでに識別されたまたは識別可能な自然人に関する各種情報をいうが、匿名化処理された情報は含まない」[i]と定義し、個人情報の取扱いには、「個人情報の収集、保存、使用、加工、移転、提供、公開、削除等が含まれる」[ii]としている。

同法は中国国内で個人情報を取扱う活動にのみならず、下記のとおり、中国国外で中国国内の個人情報を取扱う場合にも域外適用される。

  1. 中国国内の自然人向けに商品や役務を提供することを目的としている場合、
  2. 中国国内の自然人の行為を分析・評価するためである場合、及び
  3. 法律もしくは行政法規で規定するその他の状況に該当する場合[iii]

よって、日本企業の中国子会社が中国国内の個人情報を取扱う活動をする場合には、同法が当然に適用されるが、中国に子会社や関連会社を持たない日本企業も、上記①と②の目的で中国国内の個人情報を取扱う場合には、同法の適用を受ける。

上記①は、例えば、中国のe-commerce事業者のプラットフォームで中国の一般消費者向けに商品を販売したり、中国人向けに医療サービスを提供したりすることに関連して、中国顧客の個人情報を取扱う場合をカバーするもので、GDPRと類似する規定である[iv]。GDPRの前文や第三条の解釈指針[v]によれば、EU 域内の情報主体(data subject)向けに商品や役務を提供しているか否かを判断するために、EU 域内の情報主体向けに提供しようとする意図が明白かどうかという基準をとり、その意図を確認するための考慮要素として、商品や役務の注文について加盟国内で一般的に用いられる言語若しくは通貨が使用されているこ、EU域内にいる顧客又はユーザーへの言及があること、EU域内で商品を引渡すること、EUや加盟国のドメインを使うことの有無などが挙げられている。中国の「個人情報保護法」の域外適用も類似のアプローチを取るかについて、今後の細則の策定や運用に注目が必要である。

上記②の「自然人の行為を分析・評価するため」はどのような行為を含むかについて明白ではないが、GDPRにおける「情報主体の行為のモニタリング」より幅広く解釈できるように思われる。例えば、不正行為に関する調査のために中国国内にいる自然人の個人情報を日本本社が受領する場合、「自然人の行為を分析・評価するため」に当てはまるか。その可能性は高い。今後の細則の策定などの動きを注視して、対応を考える必要がある。いずれにしても、個人情報の国外移転について、後述のように情報主体からの個別同意が必要で、個別同意を得たとしても、情報主体はかかる同意をいつでも撤回することができるので、不正行為調査の場合の個人情報の国外移転は難しくなる。

後述のように、上記①と②の目的で、中国国内の個人情報を取扱う日本企業は、個人情報保護に関連する事務の処理のため、中国国内における専門機構の設立、又は代表者の指定が義務付けられている。

二.個人情報取扱いの基本規則

  1. 事前告知と同意

個人情報を取扱う前提として、情報主体に対する告知とその同意が必要である。個人情報の取扱いについて、公開および透明性という原則のもと、個人情報の取扱規則の公開、取扱い目的、方法および範囲について明示する必要がある[vi]。具体的には、①個人情報の取扱目的、取扱方法、取扱う個人情報の種類、保存期間、②個人情報取扱者の名称/氏名及び連絡方法、③情報主体がその権利を行使する方法及び手続きなどを事前に、目立った方法で、明確かつ分かりやすく情報主体に告知しなければならない[vii]。プライバシーポリシーによることが多いだろう。同意は、関連情報を十分に得たうえ、自発的(voluntary)で、明確(explicit)なものでなければならない[viii]。国外移転や機微個人情報取扱などの場合にさらに個別同意が要求される[ix]。また、同意の自発性を確保するために、情報主体に同意撤回権を付与し[x]、同意しないことを理由に製品やサービスの提供を拒否することを禁止している[xi]

  1. 同意不要の場合

GDPRに類似して、下記の事由のいずれかがある場合、情報主体からの同意なしで、個人情報を取扱うことができるとされている[xii]

  1. 情報主体が当事者となる契約の締結又は履行に必要、又は法に従って制定された就業規則、または法に従って締結された集団契約に基づき実施される人事管理に必要な 場合、
  2. 法定職責または法定義務の履行に必要な場合、
  3. 突発的な公衆衛生上の事件に対応し、又は緊急状況下における自然人の生命、健康及び財産安全の保護のために必要な場合、
  4. 公共の利益を目的にメディア報道、メディアの監視機能を果たすために合理的範囲内で個人情報を取り扱う場合、
  5. 本法に従い、情報主体が自ら公開し、又はすでに合法的に公開された個人情報を合理的な範囲内で取扱う場合、及び
  6. 法律、行政法規の規定するその他の状況。

中国国内にいる自然人向けに直接商品や役務を提供する日本企業にとって、個人情報取扱に関する関連情報を顧客に告知し、同意を得た場合、又は、顧客との契約の締結や履行に必要な場合、顧客の個人情報を取扱うことができる。また、中国にある日系企業の場合、現地従業員との労働契約の締結や履行、又は人事管理に必要な個人情報に限り、従業員からの同意なしで、取扱うことができるが、労働契約の締結や履行又は人事管理という範囲内であるかの判断が難しい場合もあるので、従業員からの労働契約等で同意を取得しておいたほうが無難である。

三.国外移転規制

中国に現地子会社がある日本企業にとって、グループ会社に対する管理監督、不祥事が発生する場合の現地子会社を含む社内調査など、子会社からの個人情報を含むデータの国外移転を必要とする場面がしばしば生じる。同法は、個人情報の国外移転について、個人情報取扱者(data controller)の種類により、以下の通り異なる要件を設けている。

個人情報取扱者

共通要件

特別要件

重要情報インフラ運営者[xiii]

  • 国外移転先による個人情報の取扱が「個人情報保護法」に定められる基準に満たすよう、必要な措置を講じる(38条)
  • 告知の上、個別同意を取得(39条)
  • 事前に個人情報保護影響評価[xiv]を実施(55条)

 

中国国内で収集又は発生させた個人情報を中国国内で保存し、国外に提供する必要がある場合、国家ネットワーク情報部門による安全評価を経なければならない。(40条)

大量な個人情報を取扱う者[xv]

その他個人情報取扱者

以下のいずれかを満足すること。

  • 国家ネットワーク情報部門の規定に基づき、専門機構による個人情報保護の認証を取得
  • 国家ネットワーク情報部門が制定する標準契約に基づき、移転先と契約を締結し、双方の権利義務について約定
  • 法律、行政法規又は国家インターネット情報部門の規定するその他の条件(38条)

国家ネットワーク情報部門による安全評価を要する重要情報インフラ運営者や大量な個人情報を取扱う者の範囲は未だに不明であるが、明らかに「重要情報インフラ安全保護条例」に定められる業種や分野外に属し、且つ、比較的少人数の個人情報を取扱う日本企業の中国子会社は、社内調査など、親会社へ報告するため、個人情報をどうしても日本にある親会社に提供する必要がある場合、下記のステップを踏まえることで、個人情報を国外移転することができる。

  1. 親会社による個人情報の取扱が「個人情報保護法」に定められる内容を満たすことを確認すること。
  2. 「情報安全技術個人情報安全影響評価指針」に定められている方法や手順に基づき、個人情報の保護の影響及びリスク、安全措置の有効性などについて評価を実施すること。
  3. 情報主体に対し、移転先の特定情報(日本にある親会社)、連絡方法、取扱目的、取扱方法、個人情報の種類及び個人が移転先に対し権利を行使する方法などを事前に告知したうえ、当該情報主体から個別同意を取得すること。個別同意[xvi]について、本法に定義されていないが、文字通りに解釈すれば、一括同意と違い、当該個人情報の国外移転の目的、利用方法・範囲など特定の事項を本人に具体的に開示したうえで、明確・個別的な同意を取得するという意味であると思われる。
  4. 国家ネットワーク情報部門が制定する標準契約に基づき、親会社と契約を締結すること。これはGDPRのデータ国外移転規制における標準契約条項(Standard Contractual Clauses; SCC)という要件に類似するが、かかる標準契約の雛形はまだ公布されていない。

ここで注意しなければならないのは、中国における個人情報を受領した日本の親会社は、中国国内の自然人向けに商品や役務を提供することや中国国内の自然人の行為を分析・評価するという目的で当該個人情報を取扱うと判断される場合、「個人情報保護法」の適用を受け、同法に定められる個人情報取扱者としての義務を果たさなければならないという点である。

また、「データ安全法」[xvii]と同様に、「個人情報保護法」は、主管機関の承認を経ずに外国の司法又は法執行機関に対し、中国国内に保存されている個人情報を提供してはならないという禁止規定がある[xviii]。よって、中国の主管機関の承認なしで中国から取得する個人情報を外国の司法機関へ提出する場合、「個人情報保護法」に抵触することになる。但し、主管機関の承認を取得する方法や手続きについて本法では定められていない。

この点は外国での法執行との関係で、さらなる「法の衝突」を惹起する。すなわち、個人情報について、外国の法執行機関や裁判所の文書提出命令を受けた企業は、情報主体からの同意、又は主管機関からの承認を得られない場合、外国法と中国法の矛盾に巻き込まれ、一方の命令を守れば他方の法律に違反してしまうことになる。

四.個人情報取扱者の義務

  1. 個人情報保護責任者の指定

取扱う個人情報の数量が、国家ネットワーク情報部門の規定する数量に達した場合、当該個人情報取扱者は、個人情報保護責任者(data protection officer; DPO)を指定しなければならない[xix]

また、本法第3条第2項で定められる目的で中国国外で中国の個人情報を取扱う者(即ち、中国国内の自然人向けに商品や役務を提供することや中国国内の自然人の行為を分析・評価するという目的で当該個人情報を取扱うなどの場合)は、個人情報保護に関連する事務の処理のため、中国国内で専門の機構を設立し、又は代表者(local agent)を指定し、専門機構の名称又は代表者氏名及び連絡方法などの情報を個人情報保護の関連部門に報告しなければならない[xx]。この点が実務上どう運用されるかについて、まだ不明なところが多い。

  1. 個人情報の保護のための体制整備及び安全措置

個人情報の安全措置(safety measures)として、①内部管理制度及び実務規定の制定、②個人情報の分類管理の実施、③暗号化、非識別化などの安全技術措置の導入、④個人情報取扱の操作権限を合理的に確定し、従業員に対する定期的に安全教育及び訓練、⑤個人情報安全事件の応急措置の制定及び実施など、安全措置を講じることが義務付けられている[xxi]

また、個人情報取扱者は、その個人情報の取扱が合法的に行われているかについて、定期的に監査を行わなければならない[xxii]

五、個人情報提供ブラックリスト制度の導入

中国国民の個人情報の権利を侵害し、又は中国の国家安全、公共利益に危害を与える個人情報取扱活動に従事する外国の組織や個人は、個人情報提供制限リストまたは禁止リストに掲載され、かかる当事者への個人情報の提供が制限又は禁止される[xxiii]。後者はこの法律が単に個人情報保護の目的を目指しているのではないことを示している。

六、厳しい罰則

「データ安全法」では1000万元を上限とする過料が用意されているのに対し、「個人情報保護法」は、違法行為の情状が重い場合、「5000万元以下あるいは前年度売上の5%以下」という高額な過料を定めている。それに加え、違法所得の没収、関連業務の停止、業務許可ないし営業許可の取消を命じられる可能性がある[xxiv]。そのほか、直接責任者に対しても、10万元以上100万元以下の過料に処するほか、一定期間内に、関連企業の高級管理職や個人情報保護責任者を務めることを禁じることがある[xxv]

まとめ

今年11月1日から施行される同法は、その適用範囲が広汎で、違反する場合の罰則が厳しいことから、中国でビジネスをする多国籍企業からすでに大きな関心が寄せられている。関連実施細則等がまだ不明確な段階で、同法へのコンプライアンスは試練になるが、現段階において対応しておくべき点がある。

  1. 「個人情報保護法」の域外適用規定が置かれているため、中国に拠点を持たない日本企業も、同法の適用を受ける可能性があるかをまず確認する必要がある。
  2. 適用を受ける可能性がある場合、個人情報取扱に関する社内規程、データ処理の実務等を、個人情報保護法の関連規定に照らし見直し作業をする必要がある。「個人情報保護法」がGDPRを完全に踏襲しているわけではなく、GDPRにない規定もあるので、すでにGDPR対応の個人情報取扱規程が存在する日本企業も、現行の社内規程を中国法遵守の見地からさらに改訂する必要がある。まずはGDPRとの差分を正確に把握することが重要である。
  3. 国外移転の要件である安全評価、個人情報保護の認証、及び国外移転先との標準契約、現地保存が要求される個人情報取扱の数量基準等について、実施細則などで本法施行前後に制定・公布されると予想される。その動向について継続的な注視と迅速な対処を準備していくことが必要である。

² ² ²

 

[i]   「個人情報保護法」第4条第1項。

[ii]   「個人情報保護法」第4条第2項。

[iii]  「個人情報保護法」第3条第2項。

[iv]  GDPR第3条第2項(a)

[v]   Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)

[vi]  「個人情報保護法」第7条。

[vii]  「個人情報保護法」第17条。

[viii] 「個人情報保護法」第14条第1項。

[ix]  「個人情報保護法」第23条、第25条、第26条、第29条、及び第39条。

[x]   「個人情報保護法」第15条。

[xi]  「個人情報保護法」第16条。

[xii]  「個人情報保護法」第13条。

[xiii] 2021年9月1日から施行の「重要情報インフラ安全保護条例」によれば、重要情報インフラとは、「公共通信及び情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政務、国防科学技術工業等の重要業種及び分野、並びに一旦破壊され、若しくは機能が失われ、又はデータが漏洩すれば国の安全、国の経済、人民の生活、公共の利益を著しく損なう可能性のあるその他の重要なネットワーク施設及び情報システム」を意味する。上記の業界の主管部門がこれから本業界における重要情報インフラを認定し、その結果を重要情報インフラ運営者と認定された事業者に通知することになっている。

[xiv] 評価の内容として、個人情報の取扱目的、取扱方法などの合法性、正当性及び必要性、情報主体の権利や利益に対する影響及びリスク、保護措置の合法性、有効性などがあげられている(「個人情報保護法」第56条)。

[xv]  処理する個人情報が国家ネットワーク情報部門の規定する数量に達した個人情報取扱者と規定されているが、その数量基準がまだ公布されていない。2017年4月11日付の「個人情報及び重要なデータの国外移転の安全評価に関する弁法(意見募集案)」によれば、50万人以上の個人情報、または1000ギガバイトを超える個人情報を国外移転する場合、ネットワーク運営者は業界主管部門による安全評価を受けなければならないと定められている。当該弁法は未成立のままであるが、どの規模の個人情報が大量であるかについて、立法者の考えがうかがえる。

[xvi] 個人情報の国外移転のほか、第三者に個人情報を提供する場合、個人情報を公開する場合、機微個人情報を取扱う場合、公共安全維持の目的で収集した映像や身元識別情報などをその他の目的に用いるなどの場合においても、情報主体から個別同意の取得が必要とされている。

[xvii] 「データ安全法」第36条は、中国の主管機関の承認を経なければ、中国国内の組織又は個人は、外国の司法又は法執行機関に対して、中国国内に保存されるデータを提供してはならないと規定。

[xviii] 「個人情報保護法」第41条。

[xix] 「個人情報保護法」第52条。

[xx]  「個人情報保護法」第53条。

[xxi] 「個人情報保護法」第51条。

[xxii] 「個人情報保護法」第54条。

[xxiii] 「個人情報保護法」第42条。

[xxiv] 「個人情報保護法」第66条。

[xxv] 「個人情報保護法」第66条。

Click here for a PDF of the full text

Practice Areas


For More Information

Image: Kefei Li
Kefei Li
Attorney, Corporate Department