中国:個人情報安全規範の改正(4)
長島・大野・常松法律事務所
弁護士 鈴 木 章 史
個人情報処理の第三者への委託に関する規制の強化
現行版では、個人情報管理者が、個人情報の処理を第三者に委託する場合、委託の範囲は個人情報の主体が授権同意した範囲内でなければならず、委託先に対して安全影響評価を行うとともに監督し、委託状況を正確に記録・保存しなければならないとされている(現行版8.1条a,b,d,e/改正版9.1条a,b,d,e)。かかる義務に加えて、改正版では、個人情報管理者による義務がさらに加重され、委託先が法定又は契約上の委託の要件に従って個人情報を処理できない、又は個人情報のセキュリティ保護の責任を効果的に果たせないことを把握又は発見した場合、個人情報管理者は、直ちに関連する行為を停止するよう委託先に要求し、委託先に対し、パスワードの変更、権限の返還、ネットワーク接続の切断などの効果的な改善策を講じる又は講じるよう要求し、個人情報が直面するセキュリティリスクを管理又は排除しなければならないとされた(改正版9.1条f)。また、必要に応じ、個人情報管理者は、委託先との取引関係を終了し、取得した個人情報を適時に削除するよう委託先に要求しなければならないことも規定された(改正版9.1条f)。
個人情報の第三者への共有・譲渡に関する規制の強化
現行版では、個人情報管理者が、個人情報を第三者に共有・譲渡する場合、事前に安全影響評価を行い、個人情報の主体に対して共有・譲渡の目的、共有先・譲渡先の性質を告知し、かつ事前に授権同意を取得しなければならないとされている(現行版8.2条a,b,/改正版9.2条a,b)。改正版では、個人情報管理者の義務がさらに加重され、まず、契約及びその他の手段を通じて、共有先・譲渡先の責任と義務を定めなければならない(改正版9.2条d)ことが規定された。また、上述の第三者への委託に関する規制の強化と同趣旨の規定が加えられており、即ち、共有先・譲渡先が法令の要件又は個人情報の取り扱いに係る合意に違反していることを発見した場合、個人情報管理者は、関連する行為を停止するよう共有先・譲渡先に直ちに要求し、共有先・譲渡先に対し、パスワードの変更、権限の返還、ネットワーク接続の切断などの効果的な改善策を講じる又は講じるよう要求し、個人情報が直面するセキュリティリスクを管理又は排除しなければならないとされた(改正版9.2条f)。また、必要に応じ、個人情報管理者は、共有先・譲渡先との取引関係を解除し、取得した個人情報を適時に削除するよう委託先に要求しなければならないことも規定された(改正版9.2条f)。
共同個人情報管理者に関する規制の追加
個人情報管理者が第三者とともに共同個人情報管理者となる場合、現行版では、当該第三者と契約等によって個人情報のセキュリティに関して満たすべき要件を決定するとともに、個人情報のセキュリティに関しそれぞれが負担する責任と義務を明確化し、個人情報の主体に告知することが求められている(現行版8.7条/改正版9.6条a)。この点に関連し、改正版では、当該責任分担の明確化と告知義務の履行の強化の観点から、個人情報管理者が、個人情報の主体に対し、共同個人情報管理者となる第三者の身分や個人情報のセキュリティに関してそれぞれが負担する責任や義務を告知していない場合、当該第三者が原因で生じた個人情報のセキュリティに関する責任を自らも負担しなければならないことが規定された(改正版9.6条b)。
第三者接続の場合の管理規則の新設
個人情報管理者が、その製品又はサービスの提供に際して、個人情報の取得機能を備えた第三者の製品やサービスに接続する場合の遵守事項が改正版に新たに規定された(改正版9.7条)[1]。具体的には、個人情報管理者は、製品又はサービスへの接続管理のメカニズムとワークフローの確立(改正版9.7条a)、契約の締結等による安全責任及び実施すべき安全措置の明確化(改正版9.7条b)、個人情報の主体に対する第三者による提供に係る明確な表示(改正版9.7条c)、関係者調査の確保のため、プラットフォームへの第三者の接続に係る契約や管理記録の適切な保存(改正版9.7条d)を行わなければならない。また、個人情報管理者は、本安全規範の要件に従って第三者が個人情報の主体から個人情報の取得に対する授権同意を要求するよう第三者に求めなければならず(改正版9.7条e)、第三者の製品又はサービスに対する個人情報の主体からの要求や苦情等に応じる仕組みを確立するよう要求しなければならない(改正版9.7条f)。さらに、個人情報管理者は、第三者の製品又はサービスの提供者を監督し、個人情報のセキュリティ管理を強化しなければならず、第三者の製品又はサービスがセキュリティ管理の要求と責任を実施していない場合、適時に改善を促し、必要な場合接続を停止しなければならない(改正版9.7条g)。なお、個人情報管理者の製品又はサービスが第三者の自動化ツール(コード、スクリプト、インターフェース、アルゴリズムモデル、ソフトウェア開発ツール及びミニプログラム等)に組み込まれる場合又は接続する場合は、(i)技術検査を実施し、個人情報の取得、使用行為を合意された要件に合致させる、(ii)組み込まれ又は接続する自動化ツールが個人情報を取得する行為を監査し、合意を超えた行為を発見した場合、適時にアクセスを切断する、という措置を取るべきことも規定された(改正版9.7条h)。
(5)に続く
[1] ただし、個人情報の処理の委託(改正版 9.1 条)及び個人情報の共同管理(改正版9.6条)に該当する場合、本規定は適用されない。