中国:個人情報安全規範の改正(5・完)
長島・大野・常松法律事務所
弁護士 鈴 木 章 史
個人情報保護責任者及び個人情報保護部門に関する規定の改正
個人情報管理者は、個人情報保護責任者を任命すると共に、個人情報保護部門を指定する必要があるところ(現行版10.1条b/改正版11.1条b)、この点に関し改正版では、個人情報保護責任者は関連する管理職務経験と個人情報保護に関する専門知識を有している者が担当すること及び個人情報の処理に関する重要な方策に関与し、組織の主要な責任者に直接報告することが新たに追加された(改正版11.1条b)。
また、従業員数又は取り扱う個人情報量が多い個人情報管理者には、専任の個人情報保護責任者、個人情報保護部門を任命、指定する義務が課されているところ、当該義務が発生する要件は、現行版では、(1)主な業務が個人情報処理であり、従業員数が200人を超える場合(現行版10.1条c-1)、又は(2)50万人を超える個人情報を処理する、若しくは12か月以内に50万人を超える個人情報を処理すると予想される場合(現行版10.1条c-2)、とされている。かかる要件について、改正版では、(2)の要件のうち現行版では50万人とされている取り扱う個人情報量が100万人へと変更され、要件が緩和された(改正版11.1条c-2)。他方で、新たに、(3)10万人を超える個人センシティブ情報を処理する場合、という要件が加えられ、(3)に該当する場合も、上記義務が課されることとなった(改正版11.1条c-3)[1]。
さらに、改正版では、個人情報保護責任者及び個人情報保護部門の職務として、個人情報保護業務計画を作成して監督業務を行うこと(改正版11.1条d-2)、管理・監督部門に対し個人情報保護や事件処理等の状況について通報、報告すること(改正版11.1条d-10)、個人情報保護の対策を提案し、セキュリティ上の懸念事項を改善すること(改正版11.1条d-5)が追加された。
なお、改正版では、個人情報管理者は、個人情報保護責任者と個人情報保護部門に必要なリソースを提供し、職務の独立した遂行を確保する義務を負う旨の規定も追加されている(改正版11.1条e)。
個人情報処理の記録に係る規定の新設
改正版では新たに、個人情報管理者における個人情報処理の適切性を確保するとともにその適切性を事後的に確認できるよう、個人情報管理者は、取得、使用された個人情報の処理の記録を作成、維持、更新する必要がある旨の規定が新設された(改正版11.3条)。当該記録の対象として、個人情報の種類、量及び取得源(個人情報の主体からの直接的な取得か間接的な取得か等)(改正版11.3条a)、個人情報の処理目的及び使用場面並びに委託処理、共有、譲渡、公開等の区別(改正版11.3条b)、個人情報処理に関連する情報システム、組織、担当者(改正版11.3条c)が挙げられている。
個人情報安全影響評価の実施時期
個人情報管理者は、個人情報安全影響評価を実施することが義務付けられているところ、現行版では少なくとも毎年一回行うこととされていた(現行版10.2条a)。改正版においては、かかる毎年一回という規定は削除され、新たに、製品、サービスの提供開始前、又は事業機能に重大な変化が生じた場合に実施しなければならないと規定され(改正版11.4条c)、個人情報安全影響評価の実施時期が変更された。なお、現行版では、法令が変更された場合、若しくはビジネスモデル、情報システム、運用環境に重大な変更があった場合、又は重大な個人情報セキュリティ事故が発生した場合にも、個人情報安全影響評価を実施しなければならない旨規定されているが(現行版10.2条c)、かかる規定については改正版でも維持されている(改正版11.4条d)。
以 上
[1] なお、(1)の要件については現行版から変更されていない。