中国:個人情報安全規範の改正(3)
長島・大野・常松法律事務所
弁護士 鈴 木 章 史
ユーザープロファイリング及びパーソナライズに関する規制
近時のビジネスにおいて、ユーザープロファイリングやパーソナライズといった手法が頻繁に用いられるようになった状況に鑑み、ユーザープロファイリングやパーソナライズの過程において、情報管理者が遵守すべき事項が改正版で新たに規定された。
まず、ユーザープロファイリングとは、個人情報の取得、集約、分析により、特定の自然人個人の特徴(例えば、職業、経済、健康、教育、個人的嗜好、信用、行動等)について分析又は予測し、その個人の特徴モデルを形成するプロセスをいう(現行版3.7条/改正版3.8条)。ユーザープロファイリングを行う過程で、個人情報の主体の特徴の記述に際して、わいせつ、ポルノ、ギャンブル、迷信、テロ、暴力の内容を記述に含めてはならず(改正版7.4条a-1)、民族、人種、宗教、障害又は疾病差別に関する記述を行ってはならない(改正版7.4条a-2)と規定された。 また、事業活動又は対外事業提携において、ユーザープロファイリングを行う場合には、市民、法人、その他の組織の合法的な権利や利益を侵害してはならず(改正版7.4条b-1)、国家の安全保障を危険にさらす行為、国家権力の破壊や国家分裂の扇動、テロや過激主義、民族的差別の促進、暴力又はわいせつ情報の拡散、虚偽情報の流布等の行為を行ってはならないとされた(改正版7.4条b-2)。なお、ユーザープロファイリングに際しては、使用目的を達成するために必要な場合を除き、身分を明確に示す内容を消去し、特定の個人が正確に識別されることを回避しなければならないことも明確化された(改正版7.4 条c)。
次に、パーソナライズとは、特定の個人情報の主体のネットワーク閲覧履歴、興味嗜好、消費記録及び習慣等の個人情報に基づき、当該個人情報の主体向けに情報内容を表示し、商品又はサービスの検索結果を提供する等の行為をいう(改正版3.16条)。個人情報管理者が、パーソナライズを行う場合、パーソナライズされた内容とパーソナライズされていない内容を区別しなければならないことが規定された(7.5条a)。加えて、個人情報の主体に電子商取引サービスを提供する際に消費者の興味、消費習慣等の特徴に基づき商品又はサービスの検索結果のパーソナライズを行う場合、同時に当該個人情報の主体の特徴に焦点を当てない選択肢も提供しなければならない(7.5条b)。また、ニュースサービスのプッシュ機能の提供過程においてパーソナライズを使用する場合、パーソナライズモードを簡潔かつ直感的に終了等できるオプションを提供しなければならず、当該個人情報の主体が終了等を選択した場合、対象のプッシュ機能の基礎となる個人情報を削除又は匿名化する権利を個人情報主体に提供しなければならない(7.5条c)こと等が規定された。
自動意思決定メカニズムの使用に関する規制
データを用いた事業者の意思決定の自動化に関する問題について、現行版は、情報システムによる自動意思決定のみに基づいて個人情報の主体の権利と利益に大きな影響を与える意思決定を行う場合、個人情報管理者は、個人情報の主体に対してクレームの申告方法を提供する義務を課している(現行版7.10条)。今般、改正版では、個人のクレジットやローンの金額を自動的に決定する場合や面接を行う際に自動的にスクリーニングを行う場合等、個人情報管理者の業務に使用される情報システムに自動意思決定メカニズムがあり、個人情報の主体の権利と利益に大きな影響を与える可能性がある場合、個人情報管理者は、(i)計画設計段階又は最初の使用前に、セキュリティに対する影響評価を実施し、評価結果に応じて個人情報の主体を保護するための効果的な対策を講じること、(ii)使用中定期的に(少なくとも年に1回)、セキュリティへの影響評価を実施し、評価結果に基づいて個人情報の主体を保護するための対策を改善することが明確化された(改正版7.7条a/b)。また、現行版と同様、個人情報の主体に対し自動意思決定の結果へのクレームの申告手段を提供することに加え、(iii)自動意思決定の結果に対するシステムを用いないレビューをサポートすることが義務づけられた(改正版7.7条c)。事業者が収集及び分析したデータを用いたシステムによる自動的な意思決定が行われる機会の増大を受けた規制の強化と考えられる。
アカウント抹消に関する制限の追加
個人情報の主体から個人情報管理者に対してアカウントの抹消請求があった場合の規制として、現行版では、個人情報管理者に個人情報の主体に簡易な方法でアカウントを抹消できる方法を提供する義務(現行版7.8条a/改正版8.5条a)、アカウントを抹消した後、個人情報を遅滞なく削除するか、匿名化処理する義務(現行版7.8条b/改正版8.5条f)が課されている。これらの義務に加え、改正版では、アカウント抹消時の個人情報管理者の義務として、以下の内容が追加された。
まず、アカウントの抹消申請を受領した場合、手動で処理する必要がある場合でも、15営業日以内に完了しなければならない(改正版8.5条b)こととされた。また、抹消手続の過程で本人確認が必要な場合に、(i)再度個人情報の主体に個人情報の提供を要求する場合、当該個人情報の類型は、登録、使用の際に取得された個人情報の類型を超えてはならず(改正版8.5条c)、(ii)個人センシティブ情報を取得する必要がある場合、目的を達成した直後に削除又は匿名化するなど取得後の取り扱い方法を明確化しておく必要があることが規定された(改正版8.5条e)。
なお、抹消手続の過程において、複数の製品又はサービスのアカウントを一括で抹消するよう要求したり、過去の正確な操作記録の記入を要求したりといった不合理な条件又は不必要な要求をし、個人情報の主体の義務を加重してはならない(改正版8.5条d)。また、アカウント抹消後、法律法規の要求により個人情報を保存しなければならない場合でも、当該個人情報を通常の業務に利用してはならないことが規定された(改正版8.5条f)。
(4)に続く