徹底解説:中国サイバーセキュリティ・個人情報規制
第4回:インターネット安全法における個人情報規制の枠組み
(執筆主担当:弁護士 本間 隆浩)
バックナンバー
2018/10/29
1.はじめに:中国における個人情報に関する法規制の概要
これまでの連載でもご紹介してきたとおり、個人情報に関する規制は、インターネット安全法の規定内容の中でも、特に重要な項目の一つとなっています。
中国においては、日本の個人情報保護法のような個人情報保護のみに特化した基本法は現時点で存在しないものの、インターネット安全法の制定・施行以前にも、消費者権益保護法や、インターネット関連サービス等に関する各種の規則・ガイドライン、さらには刑法上の個人情報関連犯罪の規定等に至るまで、事業者が事業上取得する個人情報の保護や取扱い等に関する各種の規定は相当数存在しており※1、個人情報の取得・管理・利用等に関して、一定レベル以上の規制は存在していました。
インターネット安全法における個人情報に関する規制内容については、本連載第3回でご説明した個人情報の国内保存・国外移転に関する規制等を除き、従来の関連法令等に基づく個人情報に関する規制と全く異なる新しい内容を導入するものではなく、基本的には、「インターネット運営者」による個人情報の保護や取扱い等に関して、従来の規制内容を整理・補強するものとなっています。
なお、インターネット安全法の下における各種の規則・ガイドライン等は、殆どが草稿の段階で未制定ですが、個人情報の保護・セキュリティについては、国家標準である「個人情報安全規範」が2017年12月29日に公布され、2018年5月1日より施行されています。この個人情報安全規範は、強制的な国家標準(強制標準)ではなく非強制的な国家標準(推奨標準)であるため、法的拘束力はありませんが、実際上はインターネット安全法に基づく個人情報の保護や取扱いに関する規制の運用において、実務上の重要な基準・指針となると考えられています。
本連載の後半(第4回及び第5回)では、まず、第4回(今回)で、インターネット安全法における個人情報に関する規制内容の枠組みをご説明した上で、第5回において、個人情報安全規範の規定内容等を踏まえた実務対応の詳細について、具体的にご説明させていただきます。
※1:例えば、「インターネット情報サービス管理規則」、「コンピュータ情報システム安全保護条例」、「電信及びインターネットユーザー個人情報保護規定」等が存在します。また、2018年9月7日に公布された全国人民代表大会常務委員会の第13期(2018年3月~2023年3月)の立法計画では、「個人情報保護法」が含まれており、今後制定作業が進められることが見込まれます。
2.インターネット安全法における個人情報に関する規制内容
インターネット安全法においては、①「インターネット運営者」(ネットワークの所有者、管理者及びネットワークサービス提供者。インターネット安全法第76条第3号)に対して、②「個人情報」の保護や取扱い等に関する義務が課されており、さらに、③「重要情報インフラ」の運営者に対しては、個人情報の国内保存義務及び国外移転規制が課せられています。
このうち、①の「インターネット運営者」の定義については本連載第1回で、②の「重要情報インフラ」の定義及び個人情報の国内保存義務及び国外移転規制については本連載第3回で、それぞれご説明していますので、今回は、(i)②のインターネット安全法における「個人情報」の定義・分類についてご説明した上で、(ii)インターネット安全法個人情報に関して要求される対応についてご説明させていただきます。
(1)個人情報の定義・分類
a)個人情報の定義
i)インターネット安全法上の定義
まず、インターネット安全法第76条第5号によれば、「個人情報」とは、「電子的方式又はその他の方式により記録した、単独で又はその他の情報と結びついて自然人個人の身分を識別し得る各種情報をいう。これには自然人の氏名、生年月日、身分証明書番号、個人の生体認証情報、住所、電話番号等が含まれるがこれに限らない」とされています。
当該個人情報の定義自体は、個人の識別可能性を基準としている点で、従来の関連法令や他の国・地域における個人情報の定義・考え方と基本的に異ならないと考えられますが、定義が抽象的である上に、例示されている情報類型が極めて基本的なものにとどまっているため、一体どこまでが個人情報に含まれ得るのかという外延が必ずしも明らかではありません。
ii)個人情報安全規範上の定義
この点、個人情報安全規範では、個人情報の具体的な範囲について、別紙を設けて詳細に規定しており、ネットワークIDの識別情報(IPアドレス等)、個人のネットワーク接続記録(ウェブサイト閲覧記録・ソフトウェア使用記録等を含む)、常用装置情報(ハードウェアのシリアル番号、装置のMACアドレス、装置識別コード等を含む)等についても、個人情報に含まれるとされています(個人情報安全規範別紙A)。
その他、個人情報安全規範の別紙Aに列挙されている個人情報の具体的類型は下表のとおりです。
個人の基本データ | 個人の氏名、生年月日、性別、民族、国籍、家族関係、住所、個人の電話番号、電子メールアドレス等 |
---|---|
個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業者証、出入許可証、社会保険カード、居住証等 |
個人の生体認証情報 | 個人の遺伝子、指紋、声紋、手相、耳介、虹彩、顔の特徴等 |
ネットワークIDの識別情報 | システムアカウント、IPアドレス、メールアドレス及びそれらに関するパスワード、合言葉、合言葉管理用回答、ユーザー個人のデジタル証明書等 |
個人の健康及び生理的情報 | 個人の発病治療等により生じる関連記録。例えば、疾病、入院記録、医師指示票、検査報告、手術及び麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出産情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等、並びに、個人の身体的健康状況について生じる関連情報、及び体重、身長、肺活量等 |
個人の教育及び勤務情報 | 個人の職業、職位、勤務先、学歴、学位、教育を受けた経歴、職歴、育成訓練記録、成績票等 |
個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引及び消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のリディームコード等の仮想財産情報 |
個人の通信情報 | 通信記録及び内容、ショートメッセージ、マルチメディアメッセージ、電子メール、並びに個人の通信を記述したデータ(一般にメタデータ)等 |
連絡先の情報 | アドレス帳、友達リスト、グループリスト、電子メールアドレスリスト等 |
個人のネットワーク接続記録 | ログに記録されたユーザーの操作記録をいう。ウェブサイト閲覧記録、ソフトウェア使用記録、クリック記録等を含む。 |
個人の常用装置情報 | ハードウェアのシリアル番号、装置のMACアドレス、ソフトウェアリスト、一意の装置識別コード(例えばIMEI/android ID/IDFA/OPENUDID/GUID、SIMカードIMSI情報等)等を含めた、個人が常用する装置の基本的状況を記述した情報をいう。 |
個人の位置情報 | 行動の軌跡、正確な位置情報、宿泊情報、緯度経度等を含む。 |
その他の情報 | 婚姻歴、宗教の信仰、性的指向、公開されていない違法犯罪記録等 |
b)個人センシティブ情報
さらに、個人情報安全規範では、個人情報のうち、「一旦漏えい、不法に提供又は濫用されると、人身や財産の安全を害するおそれがあり、さらには個人の名誉・心身の健康が害されたり、偏った待遇等をもたらすおそれがある個人情報」(個人情報安全規範第3.2条)については、「個人センシティブ情報」として、その取得前に拒絶の可否・影響等を告知の上で、明示的な同意の取得が必要とされる等、通常の個人情報とは別途、特に慎重な取扱いが要求されています。個人センシティブ情報に関する特別な要求の詳細は第5回でご紹介しますが、取り扱う情報が通常の「個人情報」にとどまるのか、それとも「個人センシティブ情報」に該当するのかについては、実務上注意が必要です。
個人センシティブ情報には、身分証明書番号、個人生物識別情報、銀行口座番号、通信記録及び内容、財産情報、信用情報、行動履歴、所在情報、健康生理情報、取引情報、14歳以下の児童の個人情報等が含まれるとされ(個人情報安全規範第3.2条)、更に具体的な類型について、個人情報安全規範の別紙において詳細に規定されています(個人情報安全規範別紙B)。
個人情報安全規範の別紙Bに例示列挙されている個人センシティブ情報の具体的類型は下表のとおりです。
個人の財産情報 | 銀行口座、識別情報(パスワード)、預金情報(資金額、金銭支払受取記録等を含む)、不動産情報、貸付記録、信用情報、取引及び消費記録、出納記録等、並びに仮想通貨、仮想取引、ゲーム類のリディームコード等の仮想財産情報 |
---|---|
個人の健康及び生理的情報 | 個人の発病治療等により生じる関連記録、例えば、疾病、入院記録、医師指示票、検査報告、手術及び麻酔記録、看護記録、投薬記録、薬品食品アレルギー情報、出産情報、既往歴、治療状況、家族の病歴、現病歴、伝染病歴等、並びに、個人の身体的健康状況について生じる関連情報等 |
個人の生体認証情報 | 個人の遺伝子、指紋、声紋、手相、耳介、虹彩、顔の識別に係る特徴等 |
個人の身分情報 | 身分証、士官証、パスポート、運転免許証、従業者証、社会保険カード、居住証等 |
ネットワークIDの識別情報 | システムアカウント、メールアドレス及びそれらに関するパスワード、合言葉、合言葉を忘れた時の回答、ユーザー個人のデジタル証明書等 |
その他の情報 | 個人の電話番号、性的指向、婚姻歴、宗教の信仰、公開されていない違法犯罪記録、通信記録及び内容、行動の軌跡、ウェブページ閲覧記録、宿泊情報、正確な位置情報等 |
(2)個人情報に関して要求される対応
次に、インターネット安全法は、インターネット運営者に対して、ユーザー情報の秘密保持・保護制度の確立・整備を義務付け、その責務として、大要、①個人情報の取得・収集、②個人情報の管理・利用、③個人情報のセキュリティ体制・対応、及び、④個人情報主体の権利等に関する要求を規定しています。
a)個人情報の取得・収集に関する要求
まず、個人情報の取得・収集に関して、インターネット運営者は、個人情報の収集、使用にあたり、合法・正当・必要の原則に従い、収集・使用に関する規則を公開し、情報を収集・使用する目的、方式及び範囲を明示し、かつ、個人情報主体の同意を得なければならないとされています(インターネット安全法第41条)。
収集・使用に関する規則の公開、収集・使用の目的・方式及び範囲の明示及び個人情報主体からの同意の取得への対応については、典型的には、プライバシー・ポリシーの制定・公開とその内容に対する同意の取得が考えられます。この点、個人情報安全規範において、プライバシー・ポリシーに規定すべき内容が列挙され、かつ、サンプルが別紙として添付されていますので、実務上参考になります(個人情報安全規範第5.6条及び別紙D)。
なお、個人情報主体からの同意の取得については、実務上、同意を取得することが難しい場合も想定されるところ、例外的に同意が不要となる場合について、インターネット安全法上には規定自体が存在しませんが、個人情報安全規範においては、国家安全・犯罪捜査等の目的のほか、個人情報主体が自ら社会公衆に公開している場合に加え、個人情報主体の要求に従った契約の締結及び履行に必要な場合や比較的広範な例外事由も規定されています(個人情報安全規範第5.4条)。
また、個人センシティブ情報については、個人情報主体が情況を完全に理解した上で自発的に提供する具体的かつ明確的な意思表示でなければならないとされており、ウェブサイトにおける具体的な同意の取得方法について、別紙で同意取得画面のサンプルが説明されています(個人情報安全規範第5.5条及び別紙D)。
b)個人情報の管理・利用に関する要求
次に、取得した個人情報の管理・利用に関して、インターネット運営者は、個人情報を、(i)漏えい・改ざん・毀損してはならず、かつ、(ii)個人情報主体の同意を得ずに第三者に個人情報を提供してはならないとされています(インターネット安全法第42条第1項)。
このうち、個人情報の第三者への提供については、システムベンダーやデータ処理業者、業務委託先等への提供だけでなく、グループ会社への提供についても第三者への提供に該当することになり、これらの会社への提供に先立ち、事前に個人情報主体から同意を取得する必要がある点に留意が必要です。そして、当該第三者提供に関する同意取得義務の例外については、インターネット安全法上同意を不要とする例外規定は存在しないだけでなく、個人情報安全規範上も、国家や公共の安全目的や個人情報主体が自ら社会公衆に公開している場合等に限定され、上記個人情報の取得・収集時の同意のような広範な例外事由は存在しない点に留意が必要です(個人情報安全規範第8.5条)。
また、当該第三者への提供については、国内での提供及び国外への提供のいずれにも適用されることになりますので、本連載第3回でご説明した個人情報の国外移転規制の適用対象となるか否かに関わらず、全てのインターネット運営者に適用されることになります。
なお、個人情報について、匿名化の処理を行い、特定の個人を識別することができず、かつ復元することができなくした場合には、上記の規制は適用されないことになります(インターネット安全法第42条第1項ただし書)。
c)個人情報のセキュリティ体制・対応に関する要求
さらに、インターネット運営者には、(i)技術的措置及びその他の必要な措置を講じて、その収集した個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止すること(個人情報セキュリティ体制の整備)、また、(ii)個人情報の漏洩、毀損、紛失が発生し、又は発生するおそれがある場合には、直ちに救済措置を講じ、規定に従い遅滞なくユーザーに告知し、かつ、関連主管部門に報告することが要求されています(インターネット安全法第42条第2項)。
具体的なセキュリティ体制の整備の内容については、個人情報安全規範に規定されており、個人情報セキュリティに関する責任部門及び人員の明確化、安全影響評価の定期的実施(毎年1回以上)、データセキュリティ能力の確立、管理・技術措置の実行、定期的な従業員の管理及び研修の実施、プライバシー・ポリシー・関連規程及び安全措置の有効性に対する審査、個人情報処理の監視・記録等の実施等の内容が要求されています(個人情報安全規範第10条)。
また、個人情報安全規範では、(a)個人情報の取得後直ちに仮名化処理を実施して処理後のデータと個人識別情報を分離保存し、(b)個人情報の保存期間を必要最小限の範囲内にとどめ、保存期間経過後は直ちに消去又は匿名化処理を実施し、かつ、(c)個人センシティブ情報については、更に暗号化等の安全措置を構築すること等が要求されています(個人情報安全規範第6条)。
さらに、個人情報セキュリティに関する問題発生時の対応に関して、個人情報安全規範では、問題発生に対する緊急対応策の制定、関連人員の緊急対応研修及び訓練の定期的な実施が要求されており、また、個人情報セキュリティに関する問題が生じた場合には、当該対応策に従い、問題の内容の記録、影響を評価した上での必要な措置の実施、主管部門への報告(及び個人情報主体への告知の実施が要求されています(個人情報安全規範第9条)。
d)個人情報主体の権利
最後に、インターネット安全法においては、個人情報主体の権利として、(i)法令・行政法規又は双方の取決めに違反して個人情報を収集・使用していることを発見した場合に、インターネット運営者に対して個人情報の削除を要求できる権利、及び、(ii)個人情報に誤りがあることを発見した場合にインターネット運営者に対して訂正を要求できる権利が認められています(インターネット安全法第条)。
さらに、個人情報安全規範では、これらの権利(訂正請求権・削除請求権)及びそれらの前提としての情報アクセス権に加えて、個人情報主体の同意撤回権・アカウント抹消請求権・データのコピーの請求権・不服申立権等を規定し、これらの権利の保障のための措置の実施が要求されています(個人情報安全規範第7条)。
(3)国内保存・国外移転規制
上記各規制に加え、個人情報については、国内保存義務及び国外移転規制も存在します。当該規制の内容については、本連載第3回で詳細にご説明していますので、当該記事をご参照ください。
- 第1回:インターネット安全法及び関係法令の概要
- 第2回:インターネット安全法におけるセキュリティ対応
- 第3回:データの国内保存・国外移転規制
- 第4回:インターネット安全法における個人情報規制の枠組み
- 第5回:インターネット安全法における個人情報規制の具体的内容と実務対応
本間 隆浩
森・濱田松本法律事務所 東京オフィス パートナー 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2006年東京大学法学部卒業
2013年コロンビア大学ロースクール修了
2013年Weil, Gotshal & Manges法律事務所(ニューヨークオフィス)にて執務(~2014年)
2014年森・濱田松本法律事務所上海オフィス一般代表(~2017年)
【主な取り扱い分野】
国際業務(中国・アジア法務)、M&A/企業再編、争訟/紛争解決
森 規光
森・濱田松本法律事務所 上海オフィス アソシエイト 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2005年慶應義塾大学法学部卒業
2007年慶應義塾大学法科大学院修了
2011年経済産業省経済産業政策局産業組織課に出向(~2013年)
2015年コーネル大学ロースクール卒業
2015年Alston & Bird法律事務所(アトランタオフィス)にて執務(~2016年)
2017年中国上海交通大学中国語課程修了
2017年森・濱田松本法律事務所上海オフィス一般代表
【主な取扱分野】
国際業務(中国法務)、M&A、コーポレート・ガバナンス、労働法務
田中 浩之
森・濱田松本法律事務所 東京オフィス オブ・カウンセル 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2004年慶應義塾大学法学部法律学科卒業
2006年慶應義塾大学大学院法務研究科修了
2013年ニューヨーク大学ロースクール卒業(競争・発明・情報法学修士)
2013年Clayton Utz法律事務所シドニーオフィスにて執務(~2014年)
2018年慶應義塾大学法学部法律学科非常勤講師
【主な取扱分野】
国内外の個人情報保護、EUの一般データ保護規則(GDPR)、営業秘密を含む情報管理、IT法務(システム開発、アプリ・ゲーム、サイバーセキュリティ等)、知的財産法