中国:個人情報安全規範(下)
長島・大野・常松法律事務所
弁護士 川 合 正 倫
本稿では、前稿につづき2018年5月1日に施行された「情報安全技術 個人情報安全規範」(GB/T 35273-2017)を紹介する。
4. 個人情報の取得
個人情報取得は、合法的手段により必要最小限の範囲で取得されなければならず、国家の安全に関わる場合、公共の利益に関わる場合等の一定の場合を除き、個人情報の取得にあたって、収集の目的、範囲、ルール等を告知した上で情報主体の同意を取得することを求めている。特にセンシティブ個人情報の取得にあたって、個人情報主体による明示的な同意が必要とされている。また、個人情報の管理者に対しては、自らの基本情報、個人情報の取得使用の目的、取得する個人情報の種類等を記載したプライバシーポリシーを策定し、公開することを求めている。
5. 個人情報の保存
個人情報を保存する期間は必要最小限に留め、期限が到来した場合には個人情報を削除する等の対応が求められている。さらには、情報の取得後ただちに仮名化処理(技術的な措置を加えることにより識別可能となる処理)することが推奨されている。
6. 個人情報の使用
個人情報の使用にあたっては、個人情報にアクセス可能な人員を必要最小限に制限すること、個人情報の操作等について組織内部で規範化すること、個人情報を画面や紙面等に表示する場合には仮名化処理すること、情報取得の際に表明した目的と直接的又は合理的関連性のある範囲で使用すること等が定められている。
7. 個人情報の委託処理、共有、譲渡等
個人情報主体による同意の範囲を超えて、個人情報の処理を第三者に委託することが禁止されており、この点は、第三者委託に関しては同意を不要とする日本の個人情報保護法と異なる。また、個人情報の委託処理を行う場合、個人情報の管理者は、受託者が個人情報の保護に関する十分な体制及び能力を有しているか評価し、契約や監査を通じて受託者の監督を行うことも求めている。
また、個人情報の管理者に買収や再編等があった場合には、当該状況について個人情報主体に告知し、引き続き個人情報管理者としての義務を負うこととされ、情報の使用目的に変更がある場合には、改めて情報主体の明示的な同意を取得することが求められている。
8. その他
上記の各項目以外にも、個人情報主体による情報の確認、訂正、削除等の権利や、個人情報安全事件が発生した場合の措置についても詳細な規定がある。
9. まとめ
個人情報安全規範は、個人情報保護に関する包括的な法規が存在しない中国において、個人情報の取り扱いに関する包括的かつ詳細な規定がなされている点において、実務上の参照価値が高い規範といえる。冒頭に記載したとおり、個人情報の管理に関する取締は急速に強化されており、2017年には欧米系企業の複数の従業員が会社保有の個人情報を大量に売却したことを理由として実刑判決を受けている。当該事案においては、会社は個人情報保護のための十分な措置をとっていたことを理由として、企業として刑事責任の追及は免れている。これまで中国に所在する外資系企業では、個人情報の管理体制が十分に整備されていないことも珍しくなかったものと思われるが、近時の事業環境や法規制の変化に伴い意識を改める必要がある。