日本企業も対応が必要な中国個人情報保護法をわかりやすく解説

TMIP&S コラム記事一覧

記事や動画の一覧は、こちらからご覧ください…..一覧を見る

1.中国個人情報保護法とは

中国個人情報保護法とは、中華人民共和国(以下「中国」)における個人情報の保護を包括的に規律する法律で、2021年11月から施行されています。

いわゆる中国データ3法(個人情報の他、サイバーセキュリティ法およびデータセキュリティ法)の中でも、とりわけプライバシーに重点を置いて、事業者に対する義務と個人が有する権利を定め、個人情報の保護とその合理的な利活用を促進することを目的としています(第1条)。

欧州の一般データ保護規則(General Data Protection Regulation、以下「GDPR」)をはじめとした諸外国の個人情報保護法制と同様に、事業者が個人情報を取扱うにあたって法的根拠がなければならないことを定めており、最も典型的には本人から任意かつ明確な同意を得なければなりません(第13条、第14条)。

したがって、日本企業やその中国現地法人が、中国において個人情報を取得するにあたっては本人同意が必要となる場合が多く、法的根拠なく個人情報を取扱うことは個人情報保護法違反にあたり、サービスの一時停止や終了、関連業務の停止、罰金といった処分を受ける可能性があります(第66条)。

中国個人情報保護法の規制の枠組みは、GDPRと類似するものが多いものの、とりわけ越境移転については厳格な規制が課されており、規制当局に対する届出が必要になる場合もあることに注意が必要です。

また、後述の通り広範な域外適用の規定がある点においてもGDPRと類似していますので(第3条)、中国に所在する方の個人情報を取扱う場合には、日本企業においても十分に注意を払わなければなりません。

関連記事

【コラム】日本におけるPIA手続きを解説…..続きを読む

2.中国個人情報保護法の適用対象

中国個人情報保護法は、中国国内における個人情報取扱いに対して適用されることが原則ですが(第3条1項)、一定の場合には中国国外で個人情報を取扱う場合にも適用(いわゆる域外適用)されることがあります。具体的には以下の場合に、中国個人情報保護法が適用されます。

  1. 中国国内の自然人に対して商品・サービスの提供を行うことを目的とする場合
  2. 中国国内の自然人の行為を分析または評価する場合
  3. その他法律および行政法規において定める場合

したがって、日本企業の中国現地法人が個人情報を取扱う場合に個人情報保護法が適用されることは当然として、日本企業が事業主体である場合であっても、たとえばウェブサイトを通じて訪日予定の中国人観光客向けに日本から予約サービス等を提供する場面(上記(1))や、中国国内の消費者から収集された購買情報をもとに属性分析を行いマーケティング施策に役立てる場合(上記(2))に、域外適用を受ける可能性があります。

関連記事

匿名加工情報、仮名加工情報などデータ利活用に関わる「情報」の種類を分かりやすく解説…..続きを読む

3.中国個人情報保護法に違反した場合の罰則

中国個人情報保護法に違反した場合、重い罰則が課される可能性があります。

特に情状の重い違反事由の場合には、当該違反によって得られた所得の没収のほかに、前年度売上の100 分の5 以下の過料に処される可能性があります。また経済的なペナルティのみならず、関連する業務の停止や整理を命じられる場合もあり、事業上の大きなリスク要因となりえます(罰則についていずれも第66条2項)。

4.中国個人情報保護法の重要ポイント

中国個人情報保護法は、事業者に対して様々な義務を課していますが、特に重要なものとして以下のような対応があげられます。

(1)本人に対する通知

個人情報を取扱う前に、取扱う個人情報の種類、利用目的、保存期間等に関する通知を行う必要があります(第17条1項)。また、他の個人情報取扱者に個人情報を提供する場合(第23条)やセンシティブ個人情報を取扱うこと(第30条)についても通知が必要です。このような通知は通常、プライバシーポリシーを提示することによって行われます。

(2)本人同意の取得

上述の通り個人情報を取扱うためには法的根拠を具備しなければなりません。中国個人情報保護法には複数の法的根拠が示されていますが、その代表的な根拠が本人同意です(第13条1項)。

また、他の個人情報取扱者に個人情報を提供する場合(第23条)やセンシティブ個人情報を取扱う場合(第29条)にも同意が求められているほか、14歳未満の未成年者の個人情報を取扱う場合には保護者の同意が必要とされています(第31条1項)。

(3)標準契約の締結

個人情報を越境移転するためには、法定の事由を満たさなければなりません(第38条1項)。具体的には、①国家インターネット情報部門によるセキュリティ評価を受けること、②専門の第三者機関による認証を受けること、③越境移転先との間で標準契約を締結することが利用可能なオプションとなります。

実務上は③標準契約の締結によることが多いですが、標準契約に依拠できるのは一定の要件を満たす場合に限られるほか、個人情報越境移転標準契約弁法において規制当局への届出が義務付けられていることに注意が必要です。標準契約の締結・届出義務は2024年3月より一部緩和されているものの、なおも多くの場合には締結・届出が必要です。

関連記事

【コラム】中国個人情報保護法上のSCCの現状解説……続きを読む

(4)個人情報保護影響評価の実施

個人情報を越境移転するためのもう一つの要件として、個人情報保護影響評価の実施が求められます(第55条)。上述の標準契約の届出を行う場合には、個人情報保護影響評価もあわせて届出を行わなければなりません。

(5)データ主体の権利行使に対する対応

GDPR同様に、中国個人情報保護法においても、データ主体である本人にとっては、自己の個人情報に対するアクセス権、訂正権、削除権、同意撤回権等の権利行使が認められています。事業者においては、これら権利行使があった場合には法定の要件を充足するかどうかを検討し、権利行使に対応しなければなりません。

(6)セキュリティインシデントの報告義務

個人情報の漏えい、改ざん、紛失といったセキュリティインシデントが発生した場合(または発生したおそれがある場合)、個人情報取扱者はただちに救済措置を講じたうえで、当局および個人に対して報告を行わなければなりません(第57条1項)。

(7)DPO選任

取扱う個人情報の数量が、国家インターネット情報部門の規定する数量に達した場合、個人情報取扱者は個人情報保護責任者(いわゆるDPO、Data Protection Officer)を選任しなければなりません。もっとも現時点では、個人情報の数量指定はなされていません(第52条)。

次回以降のコラムにおいては、上記重要ポイントを踏まえ、日本企業が中国個人情報保護法に対応するために具体的に必要となるアクションについてご説明します。

海外個人情報保護法対応ならTMI

TMIプライバシー&セキュリティコンサルティングでは、中国個人情報保護法対応サービスの一環として、データマッピングサービス、中国個人情報保護法に対応するためのセキュリティアセスメントサービスを提供しています。

また、中国個人情報保護法対応の法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPIAの作成などTMI総合法律事務所がサービス提供しております。

TMI総合法律事務所とTMIプライバシー&セキュリティコンサルティングは、中国個人情報保護法はじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。

TMIP&S コラム記事一覧

記事や動画の一覧は、こちらからご覧ください…..一覧を見る