中国:個人情報安全規範(上)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
中国におけるネットワークセキュリティの基本法であるネットワーク安全法が2017年6月1日に施行されてから一年が経過した。ネットワーク安全法においては、ネットワークセキュリティと密接不可分の関係にある個人情報の保護が重視されており、同法の施行後、インターネットの中華系大手企業を含む相当数の企業に対し行政又は刑事上の処分が行われる等、個人情報の管理に関する取締りが強化されている。
本稿では、2018年5月1日に施行された「情報安全技術 個人情報安全規範」(GB/T 35273-2017)を紹介する。
1. 位置づけ
中国には日本の個人情報保護法に相当する個人情報に関する包括的な法令は存在せず、民法総則、消費者権益保護法、刑法等の個別法に個人情報保護に関する規定が散在している。スマートフォンを初めとする通信器機の普及や近時のIT関連技術の向上に伴い、中国人の個人情報に関する権利意識は急速に高まっており、ネットワーク安全法においても、個人情報の保護に関して以下の原則的な規定が定められた。
〈ネットワーク安全法の個人情報保護の規定〉
- ▷ 重要情報インフラストラクチャーの運営者が中国国内で取得する個人情報の国内保存義務
- ▷ 中国国内で取得保存した個人情報の海外移転の際の安全評価実施義務
- ▷ 個人情報の取得及び使用時の義務
- ▷ 個人情報の漏洩、改ざん等の禁止
- ▷ 個人情報に関する安全保障のための技術措置の実施義務、事故発生時の対応義務
- ▷ 個人情報の主体による個人情報の削除及び更正要求の権利
「個人情報安全規範」は、上記の各規定を具体化する内容となっている。もっとも、同規範は国家質量監督検査検疫総局及び国家標準化管理委員会が主管する強制力を伴わない推奨基準であるため、法的拘束力を有するものではなく、これに違反した場合であっても直ちに違法行為とみなされるわけはない。しかしながら、個人情報の意義、取扱いについて詳細な内容が定められているだけでなく、主管監督管理部門の活動においても参照されることが規定されており、実務上の参考価値は高い。
2. 定義及び具体例
「個人情報」及び、個人情報のなかでもより厳格な保護を受ける「センシティブ個人情報」について定義及び具体例が記載されている。
| 概念 | 定義 | 具体例 |
| 個人情報 | 電子又はその他の方式により記録され、単独又はその他の情報と結びつき特定の自然人の身分を識別又は特定の自然人の活動状況を反映できる各種情報 | 氏名、生年月日、身分証明書番号、個人生物識別情報、住所、連絡先、通信記録及び内容、口座パスワード、財産情報、瀋陽情報、健康生理情報、取引情報等 |
| センシティブ個人情報 | 漏洩、違法提供及び濫用されると、人身及び財産安全に危害が生じる可能性があり、個人の名誉、心身が容易に害され又は差別等を受けうる個人情報 | 身分証明書番号、個人生物識別情報、銀行口座、通信記録及び内容、財産情報、信用情報、健康生理情報、取引情報、14歳以下の子供の個人情報等 |
3. 個人情報安全基本原則
個人情報の管理者が遵守すべき基本原則として以下の各項目につき詳細な規定が置かれている。
| 原則 | 内容 |
| 権限責任一致 | 個人情報の処理活動により個人情報主体の合法権益に損害を生じさせた場合、責任を負わなければならない。 |
| 明確な目的 | 合法、正当、必要、明確な個人情報処理の目的を有しなければならない。 |
| 選択同意 | 個人情報主体に個人情報処理の目的、方式、範囲、規則などを明示し、当該個人の授権同意を求めなければならない。 |
| 最小限の使用 | 個人情報主体と別途の合意がある場合を除き、処理する個人情報は個人情報主体が授権同意した目的を果たすために必要最小限の類型と数量のものでなければならない。目的を達成した場合、合意に基づき遅滞なく個人情報を削除しなければならない。 |
| 公開透明 | 明確、分かりやすく、合理的な方法で個人情報処理の範囲、目的、規則などを公開し、外部の監督を受けなければならない。 |
| 安全確保 | 個人情報の秘密保持性、完全性、使用可能性を保護するために直面する安全リスクに十分に対応できる安全能力を有し、十分な管理措置と技術手段を取らなければならない。 |
| 主体関与 | 個人情報主体にその個人情報の閲覧、修正、削除及び同意の撤回、アカウントの抹消ができる方法を提供しなければならない。 |