【2021年12月】個人情報保護法が11月1日から施行

2021/12/01

rogo_JPマイツ通信20200630.png

PDF版はこちら → China Info JPマイツ通信　2021年12月号.pdf

近年、中国政府は情報保護の強化を進めており、既にサイバーセキュリティ法[i]とデータ安全法[ii]が施行されています。個人情報保護法[iii]はこれらと並ぶ重要な基本法と言えます。また同法は昨年10月の初回草案（意見聴取稿）の公開から僅か8か月後の2021年8月20日付けにて公布、同年11月1日から施行されるなど、その制定スピードからは中国政府による個人情報保護制度の早期確立への重視が読み取れます。同法は8章74条から構成され、内容が多岐に亘るため、本稿では、日系・日本企業に対して直接的な影響が考えられる同法の域外適用及びデータの海外移転を中心に説明します。

1. “個人情報”の基本的な定義

まず、個人情報保護法（第4条、第28条、第73条）では以下等が定義されています。

Ø 個人情報：電子或いはその他方式により記録された識別済或いは識別可能な自然人に関連する各種情報
→更に、個人のセンシティブ情報（具体例：生体識別情報、宗教信仰、医療健康情報、金融口座、行動軌跡、14歳未満の未成年の個人情報等を含む）に対しては、より厳格な保護措置を要求

＊但し、匿名化処理された情報は含まない
（尚、匿名化とは情報処理後、自然人を特定できず且つ復元できないプロセスを指す）

Ø 適用対象：＜原則＞中国国内の自然人の個人情報の処理活動
→“個人情報の処理“には“個人情報の収集、保存、使用、加工、伝送、提供、公開、削除“等が含まれる
＊但し、（下記2の）域外適用要件に該当すれば、中国国外における当該処理も適用対象となる

すなわち、匿名化処理されていない中国国内の個人情報の収集・保存や加工、提供・公開などの各種処理が同法の適用対象であり、日本企業などの海外での当該処理も域外適用要件に該当すれば対象となり得ます。

2. “海外主体に適用される（域外適用）”要件

次に、中国国外であっても同法が適用される、域外適用要件（第3条）は以下の通りです。

Ø 中国国内の自然人に対する製品やサービスの提供を目的とする場合

Ø 中国国内の自然人の行動を分析、評価する場合

Ø 法律、行政法規の規定するその他の状況

従い、中国国内の通販サイトに出店する日本企業を始め、現地法人や中国国内での経営活動を通じて得た個人情報に基づき分析・評価を行う等、この域外適用の対象となる日本企業も相応にあろうかと思います。

この際、中国国内に（情報処理の）専門機構或いは代表者を指定し、当該機構/代表者名や連絡先等を個人情報保護主管部門に届出する必要があります（第53条）。具体的な届出方法は未定ですが、留意が必要です。

3. 越境データの取扱い

一方、中国国内から海外へのデータ移送（越境データの取扱い）に対しては、まず中国国内の当該個人情報の処理者が、事前に個人から同意取得[iv]や個人への通知[v]など必須事項を実施することが前提となります。
その上で、当該データを取扱う主体により、更に遵守すべき以下等の要件を定めています。

【越境データの取扱い主体による、各種要件（第38条・第40等）】

上記Ⓐの重要情報インフラとは、サイバーセキュリティ法では“公共通信と情報サービス、エネルギー、（中略）、一旦機能の損壊や喪失或いはデータ流出が起これば、国家の安全、公共の利益等に深刻な危害が発生し得る（第31条）”等と定義されていますが、上記Ⓑで示す取扱量の“一定数”の具体的基準は現状未定です[vi]。
更に、一般の個人情報処理者の場合でも充足すべき上表①~③の詳細も未定であり、補充規定等の公布が待たれます。また、データの取扱い主体にかかわらず、前述のセンシティブ情報の取扱いには、越境移転を含めて事前に影響評価が要求される点にも留意が必要です（第55条）。

4. 罰則規定の強化

個人情報保護法の特徴の一つとして、罰則規定の厳格化にも注意が必要です。例えば、サイバーセキュリティ法の関連条項等と比較すれば、同法での最高罰金額（法人と責任者個人がそれぞれ50万元と10万元）が、個人情報保護法では法人と責任者個人がそれぞれ最高5000万元/前年度売上高の5％以下と100万元等へと大幅に増額されています[vii]。

5. まとめ

現時点では、要求される各種手続きが必ずしも明確にはなっていない状況の一方で、繰り返しになりますが、罰則規定が厳格化されています。また、本稿では日本本社や越境データに焦点を絞っていますが、同法は主として中国国内における個人情報保護に主眼を置き、現地法人など中国国内での適用範囲・遵守事項はより広範です。従い、日本本社が同法の適用対象となる場合は言うまでもなく、現地法人が適切な個人情報保護措置を採っているかは、今後、日本本社として適切に把握・管理すべき重要事項です。既に関連規定の草案も公表されており、今後の補充規定や実務運用の注視と共に、各種法的要求への適切な準備・対応が望まれます。

[i] 同法の原文URLは右記の通り。URL: http://www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605.htm　

[ii] 同法の原文URLは右記の通り。URL:http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml　

[iii] 同法の原文URLは右記の通り。URL:http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

[iv] 個人情報の処理が可能となる状況は、個人の同意取得以外にも、個人が一方の当事者となる契約の締結や履行に必須、或いは法に基づき制定された労働規程制度に基づき、法により署名された集団契約に基づく実施を人力資源管理部門が必須とする場合ほか、第13条に列挙されている。

[v] 個人への通知事項や方法等の詳細は第17条に列挙されている。

[vi] 但し、下記・数据出境安全評価弁法（意見聴取稿）では一般情報の累計が100万人に達した場合等に安全評価が求められている。
URL：http://www.moj.gov.cn/pub/sfbgw/zlk/202110/t20211029_440266.html

[vii]但し、本年9月1日施行のデータ安全法では、重要データの海外提供等において最高額1000万元（法人）・100万元（個人）等の罰金が科せられる（第46条）。

上記内容のお問い合わせは株式会社マイツ担当者まで　