中国政府、個人情報保護法に基づく
「個人情報保護コンプライアンス監査管理弁法」案を公表
アンダーソン・毛利・友常法律事務所*
弁護士 後 藤 未 来
中国弁護士 朱 迪
1 はじめに
中国の個人情報保護法[1](以下、「個情法」という。)の公布日(2021年8月20日)から約2年が経過した。個情法の施行に伴い、個人情報保護コンプライアンス監査(以下、「コンプライアンス監査」という。)制度が導入されたものの、その方法を具体化する下位規則が存在しないため、未だ施行には至っていなかった。
そのような状況下で、2023年8月3日、中国国家インターネット情報弁公室は、「個人情報保護コンプライアンス監査管理弁法(意見募集案)」(以下、「本管理弁法」という。)を公表した[2]。コンプライアンス監査制度の施行への道筋を示す最初の下位規則として、本管理弁法の意義は大きい。
本稿では、本管理弁法の内容を概観しつつ、実務上の影響について検討する。
2 本管理弁法の概要
⑴ コンプライアンス監査の意義
本管理弁法は、コンプライアンス監査は、個人情報取扱者の個人情報取扱活動が法律・行政法規を遵守しているか審査・評価する監督活動と定義している[3]。
個情法では、個人情報取扱者による定期監査[4]のほか、個人情報取扱活動に大きなリスクが存在し、または個人情報のセキュリティインシデントが発生した場合においても、当局がコンプライアンス監査の実施を要求することができるとされている[5]。
中国の個情法上、個人情報取扱者の範囲は非常に広く、中国本土内のほぼすべての組織がそれに該当し得る。また、中国本土外の組織等(日本企業など)であっても、中国本土内の自然人に商品・サービスを提供することを目的とし、または中国本土内の自然人の行為を分析、評価する場合は個情法の域外適用の対象となり得る[6]。そのように域外適用を受ける中国本土外の日本企業等についても、コンプライアンス監査の実施が義務付けられる可能性がある。
⑵ コンプライアンス監査の「4W1H」
本管理弁法の主要なポイントは、下表のように、「4W」(Why(なぜ必要か)、Who(誰が実施するか)、When(いつ実施するか)、What(何をすればよいか))と「1H」(How(どのように実施するか))と整理することができる。
Why |
Who |
When |
How |
What |
定期監査 |
自己監査または外部監査[8] |
|
下記項目につき主要な検討事項が列挙されている。
|
レポート提出不要 |
重大リスク・セキュリティインシデントが発生した場合 |
外部監査 |
|
⑶ 外部監査の信頼性確保に向けた取組み
定期監査としては、自己監査も許容されるが、多国籍企業の場合には現地子会社のリスクマネジメントや、個人情報の流出、不正アクセスといった違法行為に対する調査など、外部監査を利用できる場面が多いと考えられる。また、当局の指示でコンプライアンス監査を実施する場合は第三者による外部監査が必須とされている。そのため、外部監査の信頼性をいかに確保するかが課題となる。本管理弁法では、この課題に対処するための様々な取組みについて規定している。
まず、当局の指示に基づくコンプライアンス監査について、個人情報取扱者は監査機構への協力義務を課す。具体的には、資料閲覧、サイトビジット、システム調査、データ収集、インタビュー実施など、監査活動の実施にあたり必要不可欠な権限を確保しなければならない旨を明記する[14]。
また、国家インターネット情報弁公室を始めとする政府機関は、監査機構に対する年次評価を実施し、推薦目録を作成・調整する。個人情報取扱者には推薦目録に記載された監査機構の起用が推奨されている[15]。
一方、監査機構に対しては、同一の監査対象につき連続で担当できる回数を3回までに制限するほか、第三者への下請や、個人情報取扱者の事業活動への妨害などを禁じている。虚偽報告の作成などの違法行為を発見した場合、推薦目録から永久に除外するほか、個情法その他関連法令に基づく行政罰ないし刑事罰の適用も可能とされる[16]。
3 実務上の対応
本管理弁法は、2023年8月3日に意見募集に付され、その結果を踏まえた修正を行った後、正式版が公布・施行されることが見込まれる(具体的なスケジュールは未定である。)。本管理弁法の適用を受け得る企業にとっては、本管理弁法の施行後は少なくとも1年または2年に一度の頻度での監査実施が要されることが見込まれる。これに対応するためには、中国の個人情報規制を熟知し、コンプライアンス監査に必要なスキルと能力を有する人材が不可欠となろう。したがって、本管理弁法の適用を受け得る日本企業としては、このような状況を見据え、必要な人材採用や人材育成など、適切な施策の実行を見据えた準備等を行うことが考えられる。また、本管理弁法における監査上の主要な検討事項を活用し、自己評価を行うことで、現地拠点の個人情報安全リスクをコントロールすることが可能である。特に、重大リスクまたはセキュリティインシデントが発生した場合には、当局からの監査指示が発令され、外部監査、業務改善および当局への報告といった加重措置が適用されるリスクがあるため、対当局との関係においても、早めの対策を講じておくことが望ましいといえよう。
以 上
[1] 中華人民共和国個人情報保護法(「中华人民共和国个人信息保护法」) 仮日本語訳(個人情報保護委員会)
https://www.ppc.go.jp/files/pdf/china_pipl_provisional-ja.pdf
[2] http://www.cac.gov.cn/2023-08/03/c_1692628348448092.htm
[3] 本管理弁法3条
[4] 個情法54条
[5] 個情法64条
[6] 個情法3条2項
[7] 本管理弁法別紙「個人情報保護コンプライアンス監査参考要点」
https://www.jetro.go.jp/view_interface.php?blockId=36239829
[8] 本管理弁法5条
[9] 本管理弁法4条
[10] 本管理弁法6条
[11] 本管理弁法9条
[12] 本管理弁法10条
[13] 本管理弁法11条
[14] 本管理弁法8条
[15] 本管理弁法13条
[16] 本管理弁法12条、14条
[/groups_member]
(ごとう・みき)
アンダーソン・毛利・友常法律事務所パートナー、弁護士・ニューヨーク州弁護士。理学・工学のバックグラウンドを有し、知的財産や各種テクノロジー(IT、データ、エレクトロニクス、ヘルスケア等)、ゲーム等のエンタテインメントに関わる案件を幅広く取り扱っている。ALB Asia Super 50 TMT Lawyers(2021、2022)、Chambers Global(IP分野)ほか選出多数。AIPPIトレードシークレット常設委員会副議長、日本ライセンス協会理事。
(じゅー・でぃー)
アンダーソン・毛利・友常法律事務所アソシエイト。2016年中国人民大学商学部卒業。2018年中国法律職業資格取得。2020年中国登録会計士資格取得。中国案件を幅広く取り扱っている。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
*「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用