Loading...

Loading...

JCICコラム

------------------------------------------------------------------------
[コラム] 中国 《個人情報保護法(草案)》パブコメ開始 内容からみる日本企業への影響
------------------------------------------------------------------------
2020年11月4日

中国では初めての包括的な個人情報保護法(草案)が審議され、大きな注目を浴びています。

第13回全国人民大会(全人代)が、2020年10月17日までに開催した会議の中で「個人情報保護法(草案)」が審議されました。草案の全文は、10月22日から全人代の公式ウェブサイト[1]で公開されており、今年11月19日までパブリックコメントを募集しています。

本コラムでは、草案の中から日系企業の関心が高いと思われる内容をご紹介します。

1.背景
現在の中国には個人情報保護に関する行政法規、国家基準、規定などが多数分散しており、非常に複雑な形態を形成しています。2003年以降、包括的個人情報保護法の制定に向けた動きは存在していたものの、長く正式な立法プロセスには至らなかったためです。近年になって立法プロセスが加速した要因には、昨今の中国を取り巻く環境の変化が影響しているものと考えられます。

■要因の推察
2020年6月時点の中国におけるネットユーザ人口は9億人で、400万以上のウェブサイト、300万を超えるアプリが存在することが確認されています[2]。
インターネット技術が広く浸透しており、これにつれサイバー犯罪も増加傾向にあることから、中国国内においても個人情報保護に関する世論の高まりがみられます。加えて今年は世界的な新型コロナウイルス感染症の流行を受け、公衆衛生や国家緊急事態に迅速に対応するためのビッグデータ活用の必要性が求められています[3]。

また、中国国家コンピュータネットワーク緊急対応センター(CNCERT/CC)により公開された「2020年上半期 サイバーセキュリティ監視データ分析報告」によれば、中国に向けられた悪意あるコードの57.4%が米国から発信されており、更に、中国国内ホストの制御を目的としたトロイの木馬・ゾンビボットによる攻撃の33.5%は米国から制御されていることが窺えます[4]。

こうした内部・外部の要因に対処するために、改めて包括的な個人情報保護法の制定が必要であると判断されたものと推察されます。

2.主要要求事項の抜粋
本セクションでは、全8章70条により構成された本草案のうち日系企業の関心度合いが高いと思われる条文を抜粋して紹介します。なかでも「移転制限」、「外国組織への対抗措置」、「罰則」の3つは本草案中で最も日本企業の関心を引く事項といえるでしょう。

■効力の範囲(第3条・第52条)
中国国外に所在する企業が、中国に所在する人物の個人情報を次の目的で処理する場合は草案の適用対象となります。
・中国国内に所在する個人に対して商品やサービスを提供するため
・中国国内に所在する個人の行動を分析・評価するため

さらに、上記のように個人情報処理者が中国国外の組織/人物の場合は、中国国内に個人情報保護責任機関/代表者を設置する必要があります。

日本に所在する日本企業であっても、その商品やサービスを中国国内に所在する個人が購入するケースや、或いはこうした購入履歴を分析するケースは上記に該当することから、多くの日本企業への影響が懸念されます。

■国家機関による取り扱い(第33条~第37条)
草案は、国家機関が権限の範囲内で個人情報の収集を伴う職務を遂行することを保障しており、データ主体の書面による同意または許可なしには権限を超える個人情報を収集してはならないと規定されています。
その一方で、データ主体の同意取得が国家機関による職務遂行に支障をきたす場合は上記の限りでないことも規定されており、新型コロナウイルス感染症を始めとする国家緊急事態を想定していることが垣間見えます。

■移転制限(第38条~40条)
企業が中国国外で個人情報の処理を行う場合は、以下の条件を満たす必要があります。

・国務院関連組織による重要インフラ事業者向けのセキュリティ評価に合格していること
・国務院の定める規定に基づく専門機関を介して個人情報保護認証の取得していること など

なお、企業が個人情報を中国国外へ移転する場合は、データ主体に対して移転する情報を開示・通知し、同意を取得する義務が発生します。

■外国組織への対抗措置(第42条~第43条)
外国の組織/個人により行われる行為が以下に該当する場合は、国家機関による情報提供の禁止・制限といった措置が許可されています。一方で、他国が中国に対して同様の措置をとった場合は、実情に照らした上で当該国への対抗措置を講じることが可能であるとも規定されており、昨今の欧米諸国の政策やサイバー領域における他国との攻防を鑑みた規定であるといえます。

・中国国民の個人情報の権利・利益が害される
・国家安全の保障が危険にさらされる
・公益性の高い個人データ処理活動である

■リスク評価実施と記録の保持(第54条)
企業が、センシティブな情報の取り扱い、個人情報を利用した自動意思決定、個人情報の委託・提供・公開ないしは中国国外への移転といった処理を実施する場合は、事前にリスク評価を実施する必要があります。また、実施記録は3年間保持することが義務付けられています。

■漏洩時の報告義務(第55条)
個人情報の漏洩を発見した場合、企業は速やかに是正措置を講じ、個人情報保護責任機関/担当者および本人へ通知することが求められています。通知内容には漏洩の原因、影響範囲、是正措置、連絡方法を含むことが求められているものの、対応の実施期限は明確に規定されていません。

■罰則(第62条)
個人情報保護義務の違反警告を受けたにも関わらず、是正措置がなく状況が深刻である場合は、最大で5千万元(約8億円)、もしくは前年の売上高の5%の罰金が科されます。このほか、営業許可の取消しや、担当役員/責任者に対する最大100万元(約2千万円)の罰金の可能性があることも規定されています。

3.おわりに
習近平国家主席は2019年の国家サイバー啓発週間以降、「人民のための人民によるサイバーセキュリティと個人情報の安全保障」および「サイバー空間における人民の正当な権利・利益の保護」の必要性を繰り返し強調しており、個人情報保護の要求が明確に示されています。高度情報化時代における個人情報保護は、中国国民の間でも現実的な関心事であり、こうしたことから本草案の成立はそれほど遠くない将来のことであると考えられます[5]。

前段の通り、本草案の対象範囲は広く、違反した場合は巨額の罰金が科されることから、日本企業は今後も草案の制定まで継続的な注視と早期対処に備えていくが肝心といえるでしょう。



<以下、参考リンク>
[1] http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808175265dd401754405c03f154c
[2] http://www.cnsa.cn/index.php/infomation/dynamic_details/id/138/type/1.html
[3] http://www.npc.gov.cn/npc/c30834/202010/2eb97b6531ed499eb23553faf5c3c764.shtml
[4] https://www.cert.org.cn/publish/main/8/2020/20200926085042652505447/20200926085042652505447_.html
[5] http://www.cac.gov.cn/2019-09/16/c_1570162524717095.htm