中国では、2021年11月に個人情報保護法が施行されました。
中国は、情報セキュリティ関連の法律の柱として、データ三法(個人情報保護法、サイバーセキュリティ法、データセキュリティ法)を制定しています。その中でも個人情報保護法は、個人情報取扱者の義務や個人情報主体の権利などについて国際標準化を目指す、包括的な法律です。
2024年3月22日には、「データの越境移動の促進と規範化に関する規定[i]」が公布・施行され、個人情報保護法によって求められる手続きの要件が大幅に緩和、簡略化されました。しかし、扱う個人情報の内容と量次第で、日本企業も中国個人情報保護法の規制対象となります。
2022年には、中国のオンライン配車サービス「滴滴出行(DiDiChuXing)」が個人情報保護法などの違反による行政処罰を受け、日本円で約1600億円の課徴金が課されています。中国ビジネスを適法に展開するためには、同法を理解した上で適切な対策を講じることが求められます。
目次
1. 中国個人情報保護法の概要と目的
中国個人情報保護法は、2021年8月20日に全国人民代表大会常務委員会で可決され、2021年11月1日に施行されました。
この法律は、世界的なプライバシー保護の流れの中で、中国における個人情報保護に関する包括的な法的枠組みを定めており、個人情報の合理的な使用、個人情報主体の権益保護などを目的としています。
データローカライゼーション(データの国内保存義務)が規定されている点や、個人情報に関し、本人の同意が重視されている点が特徴です。
主な対象者は以下の通りです。
| 対象 | 内容 |
| 個人情報取扱者 | 個人情報の取り扱いにおいて、自らが取り扱いの目的および方法を決定する組織・個人 |
| 受託者 | 個人情報の取り扱いを受託された者 |
この法律は中国国内だけでなく、一定の条件下では、中国に法人登録をしていない企業にも適用されます。したがって、日本国内の企業でも対象となり、法令遵守が求められる可能性があります。
2. 個人情報取扱者への主要な義務
中国個人情報保護法では、個人情報取扱者に対して以下の主要な義務が課されています。
- 適法な取り扱い
- 透明性確保
- セキュリティ対策・第三者提供対応・個人情報保護影響評価の実施
2-1. 適法な取り扱い・透明性確保
取得、利用、加工、移転など、個人情報の取り扱いについては、適法な根拠を備えた上で、原則として本人の同意を得る必要があります。2023年12月1日に施行された「個人情報処理における告知および同意の実施ガイドライン」によると、同意取得の方法は以下の通りです。
| 同意取得方法 | 説明 |
|---|---|
| 明示の同意 | 書面・電話・クリックやアップロードといった個人情報主体の動作などにより直接的に同意を得る |
| 推定の同意 | 明確な拒否がない、継続的に特定の機能の使用を選択しているなど、個人情報主体の行動から自ら同意の意思を表示したと推定することができる(明示の同意が明らかに困難など、要件を満たした場合に限る) |
| 書面同意 | 書面契約や電子契約などで同意を得る |
| 個別同意 | 具体的かつ単独の目的または機能に関して、直接的に同意を得る |
また、個人情報の取り扱いに関する規定を公開し、個人情報主体に取り扱いの目的や方法、範囲などを明示することが義務付けられます。
2-2. セキュリティ対策・第三者提供対応
個人情報保護法では、個人情報取扱者に対し、個人情報の漏えい・紛失・改ざんなどのリスクに対処するため、適切なセキュリティ対策を講じることを義務付けています。具体的には以下の対策が求められます。
- 個人情報保護に関する技術的措置の実施…匿名化、暗号化など
- 個人情報の第三者提供時の同意取得…個人情報主体の個別同意が必要
- 個人情報の漏えい・紛失・改ざんなど事故発生時の通知義務…遅滞なく適切な措置を講じるとともに、個人情報主体や担当機関に通知
加えて、個人情報を取り扱う特定の活動については、個人情報影響評価を実施し、報告書と取り扱いの状況に関する記録を3年以上保管することが義務付けられています。
このように、個人情報保護法は個人情報取扱者に対し、個人情報の適切な管理と保護を徹底するよう求めています。
2-3. 個人情報保護影響評価の実施
個人情報取扱者は以下のいずれかに該当する場合、事前に個人情報保護影響評価を実施することが義務付けられています。
- 生体認証・宗教・健康・銀行口座などに関する情報を含む「機微な個人情報」の取り扱い
- 個人情報を用いた自動的な意思決定の実施
- 個人情報の取り扱いの委託、または個人情報の第三者提供
- 個人情報の国外移転
- その他、個人情報の取り扱いにおいて個人の権益に重大な影響を及ぼす可能性がある場合
個人情報保護影響評価では、個人情報を取り扱う目的や方法などの合法性・正当性・必要性、個人の権益への影響、セキュリティリスク、セキュリティ対策の有効性などを評価します。
2-4. データローカライゼーションと国外移転の手続き
中国の個人情報保護法では、中国国内の個人情報に関して、重要情報インフラ運営者、または一定数以上の個人情報を扱うデータ取扱者は、データを中国国内で保存すること(データローカライゼーション)を規定しています。
中国国内の個人情報を中国国外に移転する場合、以下の要件を満たす必要があります。
- 前提条件の充足(安全評価の申告、専門機関による個人情報保護認証の取得、当事者間の標準契約の締結・届け出のいずれか)
- 本人への告知と同意の取得
- 個人情報保護影響評価の実施
2024年3月に公布・施行された「データの越境移動の促進と規範化に関する規定」によると、重要情報インフラ運営者が個人情報を中国国外へ持ち出す場合や、一般のデータ取扱者が年間100万人分以上の一般的な個人情報、または1万人分以上の機微な個人情報を国外移転する場合などは、安全評価の申告が必要です。
一方で、同規定の免除要件に該当する場合は、安全評価の申告や、専門機関による個人情報保護認証の取得、当事者間の標準契約の締結・届け出が不要になります。主な免除要件は、以下の通りです。
- 重要情報インフラ運営者以外のデータ取扱者が年間10万人分未満の一般的な個人情報を国外に移転する場合
- 越境ECなどのショッピング、国際配達、国際決済、航空券の購入、ホテル予約、ビザ手続きなど、個人を当事者とした契約の締結・履行のために必要な個人情報を国外に移転する場合
- 法に準拠した労働契約などを締結している従業員の、国境をまたいだ労務管理のために必要な個人情報を国外に移転する場合
- 中国国外から持ち込まれた個人情報で、中国国内の重要データや個人情報を加えることなく国外に移転する場合
なお、いずれの場合でも2023年12月1日に施行された「個人情報処理における告知および同意の実施ガイドライン」に則った本人への告知と同意の取得や、個人情報保護影響評価の実施は必要です。
3. 個人情報主体の権利保護
中国の個人情報保護法では、個人情報主体の権利を重視しています。個人は自身の個人情報について、以下のような権利を有しています。
- 同意を撤回する権利
- 個人情報の取り扱いについて知る権利および決定権
- 個人情報の取り扱いを制限または拒否する権利
- 個人情報取扱者に対し個人情報の閲覧・複製または削除を求める権利
- 個人情報に不備や誤りがあった場合、個人情報取扱者に対して個人情報の修正を求める権利
- 個人情報取扱者に対し個人情報取扱規則について説明を求める権利
個人情報取扱者はこれらの個人情報主体の権利を尊重し、適切に対応する必要があります。
4. 監督体制と罰則規定
中国の個人情報保護法における監督体制と罰則規定については、強力な権限を持つ監督機関の設置と、法令違反に対する厳しい罰則が規定されています。
監督機関として「国家インターネット情報弁公室(国家互联网信息办公室)」が設置され、個人情報保護に関する以下の権限を有しています。
- 個人情報取扱者への監査・検査実施
- 法令違反行為に対する是正命令・処分
- アプリケーションなどにおける個人情報保護の状況に対する評価の実施と結果の公表
罰則規定としては、違反行為の程度に応じて以下のような制裁措置が課されます。
| 違反行為 | 罰則 |
|---|---|
| 個人情報の違法な取り扱い、または中国個人情報保護法が定める個人情報保護義務の不履行 | 【通常の場合】 ・是正命令 ・警告 ・違法所得の没収 ・サービス提供の一時停止または終了 |
| 【是正を拒否した場合】 ・100万人民元以下の罰金 ・直接責任者などへの1万~10万人民元の罰金 | |
| 【重大な違反の場合】 ・是正命令 ・違法所得の没収 ・5千万人民元以下または前年度売上高の5%以下の罰金 ・関連業務の一時停止または営業停止 ・関連業務の許可または営業許可の取り消し ・直接責任者などへの10万~100万人民元の罰金、かつ一定期間における関連企業の取締役、監事、高級管理職および個人情報保護責任者への就任の禁止 |
この他、違反行為を行った場合は信用档案(企業の信用状況に関する記録)に記載され、公表されます。
このように、企業が中国個人情報保護法を遵守しない場合には、高額の罰金や事業活動への重大な制裁を受ける可能性があります。
5. 域外適用の範囲
中国の個人情報保護法は、中国国外で中国国内にいる自然人の個人情報を取り扱い、それが以下のいずれかに該当する場合に域外適用されます。
- 中国国内の自然人に製品・サービスを提供することを目的とする場合
- 中国国内の自然人の活動状況を分析・評価する場合
- 法律または行政法規の定める状況に該当する場合
| 該当例 | 非該当例 |
| 日本企業が日本のサーバーを用いて、サービスを紹介する日本語・中国語対応のホームページを開設し、アクセスした中国国内の自然人の情報を収集 | 中国からのアクセスを排除 |
| 日本企業が中国を含めた全ての国・地域のユーザーを対象に分析・プロファイリングを実施 | 中国人ユーザーを対象外とする |
中国国外の企業であっても、中国国内にいる自然人の個人情報を取り扱う場合は、本法の適用対象となる可能性があります。
6. 日本企業の実務対応
中国個人情報保護法への対応は、企業にとって重要な課題です。企業は、以下の3つの対策が求められます。
- 社内体制の整備
- データマッピングの実施
- 規定整備と従業員教育
6-1. 社内体制の整備
まず、中国の個人情報保護法への対応のため、企業全体で組織体制を整備することが重要です。 具体的には、以下のような体制を構築することをおすすめします。
| 役割 | 概要 |
| 個人情報保護責任者 | 個人情報保護の取り組みを統括する役員クラスの責任者を任命 |
| 個人情報保護部門 | 個人情報保護施策の企画・推進を担当する専任部門を設置 |
| 個人情報管理者 | 各部門から選任し、部門における個人情報保護施策の実施を担当 |
このような体制の下、個人情報の取り扱いに関する規定の整備、従業員への教育、データマッピングなどの対策を着実に実行していきます。 経営層の強力なリーダーシップと、従業員一人一人の高い意識が不可欠です。
6-2. データマッピングの実施
企業は中国の個人情報保護法への対応の一環として、データマッピングの実施が必要です。データマッピングとは、企業が保有する個人情報の種類、所在、移転先などを詳細に把握することを指します。具体的には、以下の点を確認する必要があります。
| 確認項目 | 内容 |
| 個人情報の種類 | 氏名、連絡先、位置情報など、保有する個人情報の種類を洗い出す |
| 個人情報の所在 | 社内システム(クラウド・オンプレミス)など、個人情報が保管されている場所を特定する |
| 個人情報の移転先 | 個人情報の移転先と移転ルートを確認する |
| 取得経緯・根拠 | 個人情報の取得経緯と取得の根拠となる規定などを確認する |
データマッピングを通じて個人情報の取り扱い状況を可視化することで、法令上のリスクを特定し、適切な対策を講じることができます。従って、データマッピングは中国の個人情報保護法への実務対応の基礎となる重要なプロセスです。
6-3. 規定整備と従業員教育
中国個人情報保護法への対応として、企業は以下の規定整備と従業員教育が求められます。
個人情報取扱規定の整備
取得、利用、保管、移転、提供など、個人情報の取り扱いについて明確な規定を整備します。
インシデント対応規定の整備
個人情報漏えいなどのセキュリティ事故発生時の対応プロセスを規定化します。
規定例
- 個人情報取扱規定
- インシデント対応規定
- 個人情報保護影響評価規定
従業員への教育
中国の個人情報保護法と企業の規定を従業員に周知徹底するための教育を実施し、従業員の意識向上を図ります。
教育内容例
- 中国個人情報保護法の概要
- 個人情報取扱規定の解説
- インシデント対応手順
このように、中国ビジネスの展開に先立ち、個人情報保護法への適合性を確保する体制を整備することが重要です。
- 個人情報保護委員会「個人情報保護に係る主要課題に関する海外・国内動向調査 最終報告書」,日本総合研究所リサーチ・コンサルティング部門融合戦略グループ(2023年12月28日),https://www.ppc.go.jp/files/pdf/shuyoukadai_report_R0512.pdf(閲覧日:2024年10月1日)
- JETRO「中国個人情報保護法の実務における対応のポイント」(2022年2月)環球法律事務所,https://www.jetro.go.jp/ext_images/biz/seminar/2022/e3d2d122953bbf88/seminor-kouensiryou2_220217.pdf(閲覧日:2024年10月1日)
- JETRO「「個人情報保護法」の概要~中国の安全保障貿易管理に関する制度情報専門家による政策解説~」(2022年1月),https://www.jetro.go.jp/ext_images/_Reports/01/6d50807a44f904c1/20210070_02.pdf(閲覧日:2024年10月1日)
- 中华人民共和国中央人民政府「中华人民共和国个人信息保护法」(2021年8月20日), https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm(閲覧日:2024年10月1日)
- 個人情報保護委員会「中華人民共和国個人情報保護法 仮日本語訳」,https://www.ppc.go.jp/files/pdf/china_pipl_provisional-ja.pdf(閲覧日:2024年10月1日)
- 西村あさひ法律事務所「中国個人情報保護法に基づく外国企業に対する中国初の処罰事例について」(2022年12月2日号),https://www.nishimura.com/ja/knowledge/newsletters/20221202-92061(閲覧日:2024年10月1日)
- 西村あさひ法律事務所「中国最新法令・政策動向速報」(2023年7月号)」,https://www.nishimura.com/sites/default/files/newsletters/file/china_230725_ja.pdf(閲覧日:2024年10月1日)
- PwC「中国個人情報保護法のポイントと日本企業が講じるべき対策」,https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/personal-information-protection-law-china.html(閲覧日:2024年10月1日)
[i]中华人民共和国国家互联网信息办公室「国家互联网信息办公室令第16号 促进和规范数据跨境流动规定」(2024年3月22日),https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm(閲覧日:2024年10月1日)
