TMIプライバシー&セキュリティニュース7月号より
データの利活用などの際に気を付けなければならない個人情報保護法。現在ではグローバルにビジネスを展開している企業も多く、海外の個人情報保護法令にも注意が必要です。今回は、2022年7月時点での中国個人情報保護法の現状について、大井哲也先生に解説してもらいました。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
はじめに
GDPR以外にも世界各国の個人情報保護法対応は、TMIプライバシー&セキュリティコンサルティングおよびTMI総合法律事務所の主力サービスメニューの1つです。この分野は、法改正や新しい法律が次々に成立しており、その1つが中国個人情報保護法です。
中国個人情報保護法上のSCC(=標準契約)の現在
中国個人情報保護法は既に施行済みですが、日本の規則やガイドラインに相当する下位規則が出揃っていません。既にリリースはされていますが、パブリックコメントに付されたまま、確定前といったものもありますし、そもそもリリースがされていない状況の下位規則もあります。
中国個人情報保護法はGDPRに似た法令の形を取っておりまして、中国から国外に個人データを移転する場合には越境移転規制が課されます。GDPRの場合は、SCC(standard contractual clauses=標準契約条項)を個人データの提供元であるEU所在企業と提供先である日本所在企業およびEU域外の海外企業などの間で結びます。これによりEU域内から国外(この場合日本やEU域外)に個人データを持ち出すことまたはEU域外から閲覧することが可能になります。
中国の個人情報保護法も同じように標準契約を作り、中国企業と中国国外(日本など)の企業の間でデータ提供契約である標準契約を結べば、中国から中国国外への個人データの移転が可能になるという規制のクリアランス手法になっています。
ところが、中国個人情報保護法でこのように越境移転規制とそのクリアランス手法が決まっていながら肝心の「中国版標準契約」がまだ出てないのです。法律で個人データの国外移転に規制をかけている。そして規制をクリアするためには標準契約を結ぶように規定されているのに標準契約そのものが制定されて無いので、規制がかかったまま、クリアできない状態になっています。つまり、中国の個人情報を日本に持ってくるための標準契約のクリアランス手段が無いわけです。
このたび(2022年7月時点)中国の標準契約案がリリースされましたので、我々としては標準契約案を使って中国から日本への個人データ移転のクリアランスの支援をしている状況です。しかし、こちらも正式発効版ではありません。最終確定版を待つ必要はありますが、この過渡的な仮の標準契約を使って中国から日本への個人情報の越境移転を適法化する取り組みをしています。
中国個人情報保護法についての越境移転規制の現状は、これまで解説してきたとおりですが、今後動きがありましたら、動画、コラムの両面で情報をアップデートしていく予定です。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
TMIプライバシー&セキュリティコンサルティング株式会社 代表
TMI総合法律事務所 パートナー弁護士
日本企業のサイバーインシデント対応およびデータ利活用・EUデジタル規制対応の双方に特化した国内でも数少ないIT・プライバシー法務の専門家。日本企業のサイバー危機対応およびデータ規制分野における第一人者の一人として上場企業、グローバル企業を含む多数の企業を支援している。
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティ分野における法務を専門とする。
主な専門領域:
- 企業へのサイバーアタック・情報漏えいインシデント対応
- 個人情報保護法に適合したDMP/CDP導入支援
- GDPR、EUデータ法、EU AI法、サイバーリジリエンス法対応
- 国内外データ保護規制に基づくセキュリティアセスメント
セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省情報セキュリティタスクフォース委員を歴任。
主な実績:
【サイバー攻撃・情報漏えいインシデント対応(有事対応)】
- 初動調査・ディレクション: インシデント発生時の初動調査支援や、フォレンジック調査のスコープ決定、業者選定のディレクション
- トリアージと被害拡大防止: 被害状況の初動把握(トリアージ)を行い、システム稼働停止の判断や二次被害防止のアドバイス
- 第三者委員会の組成・運営: 外部の情報漏えい事故調査委員会や再発防止委員会の組成、および委員長への就任
- 当局および対外対応: 個人情報保護委員会への速報・確報、警察への被害届出、プレスリリース作成、記者会見の支援まで総合的サポート
- 法的手続・被害回復: インシデントに伴う損害賠償請求、ベンダへの責任追及、刑事告訴などの法的措置
【データ利活用・プライバシー対応支援】
- 高度データの利活用支援: 人事・顧客データに加え、Cookie、バイタルデータ、生体情報データ、IoT、AI等の利活用における適法性評価
- 匿名加工情報の評価: ビッグデータ利活用における「匿名加工手続き」の個人情報保護法適合性評価
- DMP/CDP・アドテクノロジー: アドテクノロジーやビッグデータアナリティクス分野における実務支援
【プライバシーガバナンス構築の支援】
- 体制構築・規程整備: セキュリティ管理委員会の組成、各種ポリシー、管理規程、インシデント対応マニュアル等の策定・改定支援
- リスクアセスメント: セキュリティアセスメントやプライバシーインパクトアセスメント(PIA)を通じた分析
- 教育・研修: 経営層向けのレクチャーから事業部向けのセキュリティ研修
- リスク転嫁支援: 経済的インパクトを抑えるためのサイバーセキュリティ保険の導入支援や、保険料割引のためのセキュリティ診断
【IT・先端技術の法的支援】
- 多産業分野のアドバイス: クラウド、インターネット・インフラ、SNS、アプリ・システム開発、スマートシティ等の各分野で法的助言
- 適合性評価: クラウド導入に伴う国内外の個人情報保護法、およびガイドライン等の適合性評価
【国内外の個人情報保護規制へのアドバイス】
- 国内法: 個人情報保護法、不正競争防止法、電気通信事業法等に加え、資金決済法、特定商取引法等
- 海外法・規制: EUのGDPR、米国のCCPA、およびアジア・アフリカ・南米・中東各地域の個人情報保護法への対応、EUデータ法、EU AI法、サイバーリジリエンス法などEUデジタル規制対応、海外当局対応、IGDTA(Intra-Group Data Transfer Agreement)対応
- 国際基準: PCI-DSS要件やISMS認証基準への対応、米国財務省のOFAC規制(身代金支払いに関する制裁リスク)
