徹底解説:中国サイバーセキュリティ・個人情報規制
第5回:インターネット安全法における個人情報規制の具体的内容と実務対応~ 個人情報安全規範の解説 ~
(執筆主担当:弁護士 本間 隆浩)
バックナンバー
2018/11/19
1.個人情報安全規範の重要性
前回(第4回)は、インターネット安全法における個人情報規制の枠組みと基本的な内容についてご説明しました。連載最終回の今回は、インターネット安全法における個人情報規制の具体的な内容と実務対応について、個人情報の保護・セキュリティに関する国家標準である「個人情報安全規範」(2017年12月29日公布、2018年5月1日施行)の内容を中心にご説明してまいります。
この個人情報安全規範は、強制的な国家標準(強制標準)ではなく非強制的な国家標準(推奨標準)であるため、法的拘束力はありませんが、個人情報の保護・セキュリティに関する具体的な基準を定めた唯一の国家標準であるため、インターネット安全法に基づく個人情報の保護や取扱いに関する規制の運用において、実務上の重要な基準・指針となると考えられています。
個人情報安全規範の主要な適用対象である「個人情報管理者」は、「個人情報の処理の目的、方式等の決定権を有する組織又は個人」と定義されており、中国国内における事業活動を通じて個人情報を取得することとなる全ての企業において、個人情報安全規範への適合性の検討が必要と考えられます。
個人情報安全規範では、個人情報セキュリティに関し、以下の7項目の基本原則を規定した上で、①個人情報の取得、②個人情報の保存・管理、③個人情報の第三者への提供、④個人情報に関する問題発生時の対応、及び、⑤個人情報セキュリティ体制等について、それぞれ具体的な対応基準を規定しています。
| 原則 | 内容 |
|---|---|
| 1.権限責任一致 | 個人情報の処理活動により個人情報主体の合法的権益に損害を生じさせた場合、責任を負わなければならない |
| 2.目的の明確性 | 合法、正当、必要かつ明確な個人情報処理の目的を有しなければならない |
| 3.同意選択 | 個人情報主体に個人情報処理の目的・方式・範囲・規則等を明示し、同意を求めなければならない |
| 4.最小限の使用 | 処理する個人情報は、個人情報主体が同意した目的のために必要最小限の類型・数量でなければならず、目的を達成した場合は遅滞なく個人情報を削除しなければならない |
| 5.公開透明 | 明確・判り易く・合理的な方法で、個人情報処理の範囲・目的・規則等を公開し、外部の監督を受けなければならない |
| 6.安全確保 | 個人情報の機密性・完全性・可用性を保護するために、直面する安全リスクに十分対応可能な安全能力を有し、十分な管理措置及び技術手段を実施しなければならない |
| 7.主体関与 | 個人情報主体に対して、その個人情報の閲覧・修正・削除・同意の撤回・アカウントの抹消ができる方法を提供しなければならない |
2.個人情報の取得に際しての対応
(1)個人情報の取得の原則
個人情報安全規範では、個人情報の取得に際しての原則として、合法性及び最小化の原則を規定しています。特に最小化の原則に関しては、以下の点を明確にしています。
①収集する個人情報の類型が製品又はサービスの業務機能の実現に直接的な関連性を有しなければならない
②個人情報の自動的収集の頻度は製品又はサービスに必要な最低頻度でなければならない
③個人情報の間接的収集の量は製品又はサービスに必要最小限でなければならない
(2)プライバシー・ポリシー
個人情報安全規範では、個人情報を取得する前に、個人情報主体に対し、取得する個人情報の類型及び個人情報の取得、使用に関する規則を明確に告知し、かつ個人情報主体から授権の同意を得なければならないとしています。 当該要求に対する具体的な対応としては、プライバシー・ポリシーの制定・公開及び同意の取得が考えられますが、個人情報安全規範では、制定したプライバシー・ポリシーの公開方法について、HPトップページ・アプリインストール画面・SNSトップページ等の目立つ位置にリンクを表示する等、内容にアクセスし易くすべきとし、また、プライバシー・ポリシーに規定すべき内容を列挙するとともに、別紙として解説付きの参考雛形を提供しています。
実務上の対応としては、既にグループのプライバシー・ポリシー等が存在する場合、その内容について、インターネット安全法の要求内容を基礎に、下表の規定内容や参考雛形と対照して修正し、かつ、中国国内の他社事例も参照して対応レベルを調整する方法等が考えられます。
≪プライバシー・ポリシーの規定内容≫
①個人情報管理者の連絡先等の基本情報
②個人情報の取得・使用目的
③業務機能ごとに取得する個人情報、取得方法及び頻度、保存場所及び保存期限等
④第三者への共有・譲渡・開示の目的、関連する個人情報の類型、当該第三者の類型
⑤個人情報セキュリティの基本原則、構築された安全保護措置等
⑥個人情報主体のアクセス・訂正・削除・アカウント取消・同意撤回等の権利及びその実現制度
⑦個人情報提供後の安全リスク及び提供しない場合に想定される影響
⑧個人情報管理者への問合せ・要求等の方法及び制度・紛争解決方法及び連絡方法等
(3)取得に際しての同意の取得
個人情報安全規範では、個人情報の取得に際して、原則として、個人情報主体からの同意の取得を要求しており、通常の個人情報と個人センシティブ情報(詳細は連載第4回ご参照)の各類型に分けて同意取得の条件・方法を具体的に規定しています。
a)通常の個人情報
個人情報取得前に、製品又はサービスに応じて、取得する個人情報の類型及び個人情報の取得・使用に関するルール(例えばプライバシー・ポリシー)を明確に告知した上で、個人情報主体の同意を取得しなければならないとされています。
当該同意を例外的に不要とする場合については、①国家安全・犯罪捜査、製品又はサービスの安全・安定性維持の目的等のほか、②個人情報主体が自ら社会公衆に公開している情報や、③個人情報主体の要求に基づき契約を締結又は履行するために必要な場合、④製品又はサービスの安全・平穏な運用に必要な場合等が規定されており、実務上取得時の同意の取得が難しい場合には、これら②③④を中心とした例外事由に該当しないかについて検討することが考えられます。
また、個人情報を間接的に取得する場合について、個人情報の提供者に対して、当該個人情報の出所及びその合法性と、取得に際しての同意の範囲(特に第三者への提供について)を確認しなければならないとされている点に注意が必要です。
b)個人センシティブ情報
個人センシティブ情報については、個人情報主体から「明示的な同意」を得なければならず、かつ、当該「明示的な同意」は、個人情報主体が関連事情を完全に理解した上で自発的に提供する具体的かつ明確的な意思表示でなければならないとされています。
さらに、①個人情報主体に対して、提供する製品又はサービスの中心的業務機能及び収集を要する個人センシティブ情報を告知し、かつ提供又は同意の拒絶によってもたらされる影響を明確に告知した上で、提供するか否か、又は自動収集に同意するか否かの選択を個人情報主体に認めなければならず、かつ、②製品又はサービスにおけるその他の付加機能の提供にあたり個人センシティブ情報の取得が必要な場合、取得前に個人情報主体に対し、個人センシティブ情報がどのような付加機能の完成に必要か逐一説明し、かつ個人センシティブ情報を提供するか否か、又は自動取得に同意するか否かの項目別選択を個人情報主体に認めなければならないとされています。
このような、個人センシティブ情報の同意取得方法については、個人情報安全規範の別紙において、上記の各要求事項に関する説明を個別画面で表示した上で、同意又は不同意の項目をチェック・送信する等、ウェブサイトにおける具体的な対応方法のサンプルが解説とともに示されており、実務上の参考となります。
なお、14歳以下の児童の個人情報は個人センシティブ情報に該当し、14歳未満の児童から個人情報を取得する場合は、その後見人から明示的同意を取得しなければならない(なお、14歳以上の未成年からの個人情報の取得については、本人又は後見人の同意が必要)とされている点に留意が必要です。
3.個人情報の保存・管理に際しての対応
個人情報安全規範では、取得した個人情報の保存・管理に関して、①個人情報の仮名化・匿名化等、及び、②個人情報主体の権利及び保障に関する要求が規定されています。
(1)仮名化
まず、仮名化(技術処理により、追加情報に頼らなければ、個人情報主体を識別することができないようにする処理)については、その具体的内容について、仮名、暗号化、ハッシュ関数等の技術手段を用いて、個人情報の識別符号の代替情報の構築等と定義しています。
その上で、個人情報の取得後、直ちに仮名化処理を実施し、かつ技術面及び管理面における措置を講じて、仮名化後のデータを個人の識別の復元に用いることができる情報と分けて保存し、その後の個人情報の処理の中で再び個人が識別されないことを確保しなければならないとされています。当該要求については、実務上の負担が大きい場合が想定される一方で、特段例外が設けられていない点に留意が必要と考えられます。
(2)匿名化
次に、匿名化(技術処理により、個人情報主体が識別されず、かつ処理後の情報が復元されないようにする処理)について、個人情報の保存期間を必要最小限の範囲内にとどめた上で、保存期間経過後は、直ちに消去又は匿名化処理を実施することが要求されています。なお、匿名化された情報については、もはや個人情報に該当せず、個人情報に関する各種の規制も適用されないことになります。
(3)個人センシティブ情報に対する特別の取扱い
さらに、個人センシティブ情報に関しては、要求が加重されており、①個人センシティブ情報の伝送及び保存に際しては、暗号化等の安全措置を講じなければならず、かつ、②個人の生体認証情報の保存に際しては、個人の生体認証情報の摘要のみを保存する等、技術的措置により処理してから保存しなければならないとされています。
(4)個人情報主体の権利及び保障
個人情報安全規範では、インターネット安全法に規定されている、個人情報主体による個人情報への訂正請求権・削除請求権及びその前提としてのアクセス権に加えて、同意撤回権、アカウント抹消請求権、個人情報のコピーの請求権及び不服申立権並びにその保障のための措置等を規定しています。
特に注意すべきは、個人情報の取得及び使用等に関する同意の撤回権であり、①個人情報に基づきプッシュ配信される商業広告の受信を拒絶する権利の保障、②個人情報の外部への共有、譲渡、公開等に際して、個人情報主体に対し同意の撤回方法を提供しなければならないとされています。
これらの権利の保障・同意の撤回方法の提供の具体的な方法については、上述の個人情報安全規範の別紙のプライバシー・ポリシー及び同意取得方法の参考雛形・サンプルが参考になります。
4.個人情報の第三者への提供に際しての対応
(1)個人情報の処理の第三者への委託
個人情報安全規範によれば、個人情報の処理を第三者に委託する場合、個人情報主体が事前に同意した範囲内で委託しなければならず、また、委託先に対して安全影響評価を行い、委託先を監督し、かつ、委託状況を正確に記録・保存しなければならないとされています。
(2)個人情報の第三者への共有・譲渡
個人情報の第三者への共有・譲渡は原則禁止とされており、第三者に共有・譲渡をする必要性が確かにある場合には、事前に安全影響評価を行い、個人情報主体に対して共有・譲渡の目的、共有先・譲渡先の性質を告知し、かつ事前の同意を取得しなければならないとされています。個人センシティブ情報については、更に詳細な説明及び明示的な同意の取得が必要となります。
これらの同意取得を不要とする例外事由は、国家や公共の安全等の目的や個人情報主体が自ら公開している情報等に限られ、上述の取得時よりも限定的となっています。もっとも、上述の情報処理委託先を含め、共有・譲渡先の具体的名称の明示までが常に要求されるわけではありませんので、実務上は、原則として同意を取得することを前提としつつ、情報処理委託先、共有・譲渡先について、ある程度概括的な記載・表示を行うことで対応の柔軟性を確保しておくことが考えられます。
また、個人情報の共有・譲渡に当たっては、共有・譲渡の状況を正確に記録・保存する必要があり、個人情報の共有・譲渡により個人情報主体に損害を生じた場合は責任を負うとされていることに注意が必要です。
(3)個人情報管理者の買収、合併又は再編等による譲渡
個人情報管理者の買収、合併又は再編等により個人情報の譲渡が生じる場合については、別途取扱いが規定されており、通常の第三者への共有・譲渡の際のような同意の取得は要求されないものの、関連情報を個人情報主体に告知しなければならず、かつ、変更前の個人情報管理者の責任及び義務を新たな個人情報管理者が引き続き負い、これらの事項の変更には別途同意が必要とされています。
5.個人情報に関する問題発生時の対応
個人情報安全規範では、個人情報の漏えい等の問題(個人情報安全インシデント)発生時の対応についても、具体的な要求が規定されています。
具体的には、個人情報安全インシデントに対する緊急対応策の制定及び定期的(少なくとも年1回)な緊急対応の研修・訓練の実施が要求されており、実際にインシデントが発生した場合には、個人情報管理者は、緊急対応策に基づき以下の措置を実施しなければならないとされています。
①インシデントの内容の記録(発見者、発見日時、発見場所、関係する個人情報及び人数、インシデントが発生したシステムの名称、その他の連携システムへの影響等)
②インシデントの影響の評価、必要な措置の実施・事態の制御による潜在的危険性の除去
③国の関連規定に従った遅滞ない当局への報告(関係する個人情報主体の類型、数量、内容、性質等の全体状況、インシデントにより生じ得る影響、既に講じ、又は今後講じる予定の措置、措置関係者との連絡方法等)
④インシデントの関連状況(インシデントの内容及び影響、実施措置、個人によるリスク防止・低減措置の提案、救済措置等)の影響を受ける個人情報主体への遅滞ない告知(メール、書面、電話、プッシュ通知等、逐一の告知が難しい場合は公衆への公表の方法による)
6.個人情報セキュリティ体制
個人情報安全規範には、個人情報管理者が実施すべき個人情報セキュリティ体制の整備についても、具体的な規定が置かれています。主な要求内容は以下のとおりであり、比較的広範な要求となっています。
各企業においては、これらの要求事項を念頭に、自社における個人情報の管理・運用体制の見直しを行い、要求事項に沿った対応の実施について検討を行うことが必要と考えられます。
①責任部門及び人員の明確化- 法定代表者又は主要責任者の個人情報セキュリティの指導責任の明確化
- 個人情報責任者及び個人情報保護部門の任命・指定(特に業務上個人情報を取扱う従業員が多い企業(200名超)や個人情報の取扱件数が多い企業(50万人超分)の場合、専任の個人情報責任者及び個人情報保護部門の設置が必要)
③データセキュリティ能力の確立、管理・技術措置の実行、個人情報の漏えい・毀損・滅失の防止
④定期的な従業員の管理及び研修の実施
⑤プライバシー・ポリシー、関連規程及び安全措置の有効性に対する審査、自動審査システムの確立、個人情報処理の監視・記録等の実施
7.最後に
今回の中国インターネット安全法に関する連載はこれで完結となります。全5回・長期間にわたる連載となりましたが、最後までお読みいただき誠にありがとうございました。
本連載では、インターネット安全法において要求されている内容や実務上必要となる対応の概要について、現段階で知っておくべき事項をわかり易くご紹介することに主眼を置いてまいりました。
しかしながら、各連載でもご説明したとおり、インターネット安全法の各規定内容の具体的な実施のための関連規則やガイドラインについては、まだ制定作業中のものも多く、具体的な内容や実務運用等について不透明な点も数多く残っています。そのため、インターネット安全法については、各種規制の動向について引き続き情報収集を続けながら、必要な対応を検討していくことが重要となります。
当事務所では、中国法務と、日本の個人情報保護法、GDPR等のグローバルなデータ・プロテクション、情報セキュリティ法務におけるノウハウを結集した中国サイバーセキュリティ業務チームを立ち上げており、引き続き日本企業の皆様のために、各種の情報提供及びサポートを行ってまいります。
- 第1回:インターネット安全法及び関係法令の概要
- 第2回:インターネット安全法におけるセキュリティ対応
- 第3回:データの国内保存・国外移転規制
- 第4回:インターネット安全法における個人情報規制の枠組み
- 第5回:インターネット安全法における個人情報規制の具体的内容と実務対応
本間 隆浩
森・濱田松本法律事務所 東京オフィス パートナー 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2006年東京大学法学部卒業
2013年コロンビア大学ロースクール修了
2013年Weil, Gotshal & Manges法律事務所(ニューヨークオフィス)にて執務(~2014年)
2014年森・濱田松本法律事務所上海オフィス一般代表(~2017年)
【主な取り扱い分野】
国際業務(中国・アジア法務)、M&A/企業再編、争訟/紛争解決
森 規光
森・濱田松本法律事務所 上海オフィス アソシエイト 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2005年慶應義塾大学法学部卒業
2007年慶應義塾大学法科大学院修了
2011年経済産業省経済産業政策局産業組織課に出向(~2013年)
2015年コーネル大学ロースクール卒業
2015年Alston & Bird法律事務所(アトランタオフィス)にて執務(~2016年)
2017年中国上海交通大学中国語課程修了
2017年森・濱田松本法律事務所上海オフィス一般代表
【主な取扱分野】
国際業務(中国法務)、M&A、コーポレート・ガバナンス、労働法務
田中 浩之
森・濱田松本法律事務所 東京オフィス オブ・カウンセル 弁護士(日本国及び米国ニューヨーク州)
【経歴】
2004年慶應義塾大学法学部法律学科卒業
2006年慶應義塾大学大学院法務研究科修了
2013年ニューヨーク大学ロースクール卒業(競争・発明・情報法学修士)
2013年Clayton Utz法律事務所シドニーオフィスにて執務(~2014年)
2018年慶應義塾大学法学部法律学科非常勤講師
【主な取扱分野】
国内外の個人情報保護、EUの一般データ保護規則(GDPR)、営業秘密を含む情報管理、IT法務(システム開発、アプリ・ゲーム、サイバーセキュリティ等)、知的財産法
