ブログ
【中国】センシティブ個人情報識別ガイドラインとネットワークデータ安全管理条例の公表
2024.10.28
はじめに
本記事では、中国の個人情報保護法制に関する重要なアップデートとして、(i)2024年9月に全国サイバーセキュリティ標準化技術委員会より公表された「センシティブ個人情報識別ガイドライン」[1]および(ii)同月に中国政府が公布した「ネットワークデータ安全管理条例」[2]について説明します。
中国おいては2021年11月より個人情報保護法が施行されていますが、特に2023年2月に公表された「個人情報越境移転標準契約弁法」および同年5月に公表された「個人情報越境移転標準契約届出ガイドライン」において、事業者が個人情報を中国国外に越境移転するにあたって、標準契約を当局に届出しなければならないと義務付けられたことにより、多くの日本企業は標準契約の締結、個人情報保護影響評価の実施、それらの当局届出といった対応に追われました。
その後、2024年3月に「データの越境流動促進と規範規定」が公布・施行され、標準契約の当局届出義務は一部緩和されました。同規定の施行を受けて、標準契約の届出を行わないという意思決定を行った会社もあれば、届出義務の緩和対象が限定的であったため、従前どおり届出を継続した会社もあります。特に、標準契約締結の免除対象となるための要件の一つである「重要情報インフラ運営者以外のデータ取扱者が、当年1月1日から起算して、中国国外に提供した個人情報(センシティブ個人情報を除く)が10万人未満の場合」という項目において、センシティブ個人情報が対象から明示的に除外されているため、センシティブ個人情報の越境移転を行う必要のある事業者は、免除対象にならないという状況が多く生じました。
本記事で取扱う「センシティブ個人情報識別ガイドライン」は、そのようなセンシティブ個人情報の範囲を画定するうえで実務上重要な規範になるものと考えられます。
また、サイバーセキュリティ法、データセキュリティ法および個人情報保護法のデータ三法を包括した下位法令ともいえる「ネットワークデータ安全管理条例」においては幅広い事項が定められており、個人情報保護(第3章)以外にも、重要データのセキュリティ(第4章)、ネットワークデータセキュリティの越境管理(第5章)、オンラインプラットフォームサービス提供者の義務(第6章)など多岐にわたりますが、本記事においては特に個人情報保護に関係する義務を取り上げます。
センシティブ個人情報識別ガイドラインについて
センシティブ個人情報識別ガイドライン(以下「本ガイドライン」)は、全国サイバーセキュリティ標準化技術委員会が、サイバーセキュリティ法、データセキュリティ法、および個人情報保護法に基づいてセンシティブ個人情報を取扱うにあたっての国家基準を発達させることを目的として、センシティブ個人情報を識別するためのガイダンスと、典型的なセンシティブ個人情報の例を定めるものです。
(1) センシティブ個人情報を判定するための4ルール
本ガイドラインおいては、センシティブ個人情報を判定するための4つのルールを定めています。
ルール1:以下①から③のいずれかに該当する個人情報はセンシティブ個人情報に該当する。
①一度漏えいし、または不正に使用されると、個人の人格的尊厳が容易に侵害されることにつながる個人情報
※個人の人格的尊厳が侵害される事態の具体例としては、「人肉検索(インターネット上での呼びかけに応じて、標的になった人や事件の情報を多数のユーザーが捜索し、インターネット上で公開すること)」やネットワークアカウントへの不正侵入、通信詐欺、名誉毀損、差別的取扱い(差別的取扱いには特殊な身分、宗教的信念、性的指向、特定の病気や健康状態等によって引き起こされる可能性がある)が含まれる。
②漏えいし、不正に使用されると、個人の身体の安全が脅かされる可能性があること
※たとえば、個人の位置情報や移動経路等の行動履歴に関する情報が漏えいしたり、不正に使用されたりすることによって、当該個人の身体の安全が脅かされる場合がある。
③漏えいし、不正に使用されると、個人の財産の安全が脅かされる可能性があること
※たとえば金融口座情報を不正に開示されたり、使用されたりすることによって、当該個人の財産に損害が生じてしまう場合がある。
ルール2:本ガイドラインに規定する典型的なセンシティブ個人情報に該当する場合は、センシティブ個人情報に該当する。ただし、上記ルール1の条件を満たさないことを示す十分な理由と証拠がある場合には、センシティブ個人情報に該当しない。
ルール3:単体では通常の個人情報である場合でも、複数の個人情報が集約または融合することによって生じる、全体的な属性も考慮して漏えいまたは不正に使用された場合における影響を分析し、上記ルール1の条件を満している場合は、集約または融合された全体的な個人情報がセンシティブ個人情報に該当する。
ルール4:別途の法令によってセンシティブ個人情報であると指定された個人情報は、センシティブ個人情報に該当する。
(2) 典型的なセンシティブ個人情報の例
上記ルール2で述べられた「典型的なセンシティブ個人情報」は以下の各種個人情報を指します。
①生体情報:個人の身体的、生物学的または行動的特徴に関する技術的処理を通じて得られた個人情報であって、単独で、または他の情報と組み合わせることによって複合的に、その個人を識別できるもの
②宗教に関する情報:個人が信仰する宗教、宗教団体、宗教活動に関連する個人情報
③特殊な身分に関する情報:個人の人格的尊厳や社会的評価に重大な影響を与える、または社会的差別につながる可能性のある身分情報のように開示することが不適切な個人情報
④医療および健康に関する情報:個人の通院履歴、身体的または精神的な健康状態に関連する個人情報
⑤金融口座情報:個人の銀行口座、証券口座、その他口座および口座取引に関連する個人情報
⑥位置情報および移動履歴:個人の一定期間内における地理的位置、活動場所、移動経路によって構成される連続的な移動履歴
※デリバリー業務等のために業務上必要な場合を除く
⑦14歳未満の未成年者の個人情報
⑧その他のセンシティブ個人情報:上記の情報に加え、漏えいまたは不正に使用された場合に、個人人格的尊厳を侵害したり、身体や財産の安全が侵害されたりする可能性のある一般的な個人情報
(3) センシティブ個人情報の具体例
上述の判定基準に加えて、本ガイドライン別紙Aにおいては、センシティブ個人情報と解される具体例が複数列挙されています。特に重要な点としては、これまでセンシティブ個人情報の該否を判断するためにしばしば参照されていた「情報安全技術 個人情報安全規範(GB/T 35273-2020)」[3]と必ずしも合致しない点があり、たとえば従前センシティブ個人情報と考えられていた情報のうち、ウェブサイト閲覧履歴、アドレス帳、友達リストおよびチャットグループのリストは本ガイドラインにおいてセンシティブ個人情報の例として挙げられていません。他方で、これまでセンシティブ個人情報としては明記されていなかった顔画像が、本ガイドラインではセンシティブ個人情報として具体的に明記されています。
個人情報安全規範自体は現時点も有効に存続されていますし、本ガイドラインとの間でどちらが優位するという関係にもないことから、相互の内容に若干の齟齬があるという点においては、どちらの内容を基準としてセンシティブ個人情報該当性を判断するのか、あるいは本ガイドラインにかかわらず、引き続き個人情報安全規範も参照しながらセンシティブ個人情報該当性を判断して良いのか、という問題が残されているといえます。
ネットワークデータ安全管理条例
ネットワークデータ安全管理条例(以下「本条例」)は、個人情報保護法が施行されて間もない2021年11月には意見募集稿が公表されていましたが、それから約3年弱の期間を経てようやく制定されるに至りました。本条例は、サイバーセキュリティ法、データセキュリティ法、個人情報保護法に基づく規定であり(本条例第1条)、中国国内の事業者のみならず個人情報保護法第3条2項に基づき域外適用を受ける、中国国外の事業者にも適用されることが明示されています(本条例第2条)。2025年1月1日から施行されることとされており(本条例第64条)、具体的には以下の(1)から(8)の義務が規定されています。
なお、義務主体とされるネットワークデータ取扱者とは、ネットワークデータ取扱い活動(ネットワークデータの収集、保存、利用、処理、伝送、提供、開示、削除等の活動)において、取扱の目的および方法を独自に決定する個人または組織を指します(本条例第62 条第3項)。そして、ここにいう「ネットワークデータ」とは、ネットワークを通じて取り扱われ、生成される各種の電子データを指すとされていますので(本条例第62条第1項)、ネットワークを使用せずに取り扱われ、生成される個人情報に関しては、適用対象外となるといえます。
個人情報保護の点においては、個人情報保護法ないしはこれに関連して従前既に制定されている関連法令と、大きく内容が異なるものではありませんが、従前は明確にされていなかった事項が若干補充されるなどされています。
(1) 通知に関する義務(本条例第21条)
ネットワークデータ取扱者は、個人情報の取扱いに関する規則を制定し、明確かつ理解しやすく表示することによって個人情報の本人に通知する義務を負います。
また、個人情報の保存に関する通知事項について、個人情報保護法上は、保存期間しか定められていませんが(個人情報保護法第17条1項2号)、本条例では、保存期間以外に、①保存期間満了後の取扱い方法および②明確な保存期間を通知することが難しい場合の保存期間の確定方法は個人への通知事項として定められています(本条例第21条1項3号)。
さらに、ネットワークデータ取扱者は、個人に対し、リスト等の形式で法定の告知事項を通知しなければならないとされています(本条例第21条2項)。具体的にどのような形式が適切であるかはまだ不明ですが、、あくまでリスト「等」の形式で告知すれば良いので、必ずしもリスト形式でなくても、その内容が明確に列挙されていれば、厳密な形式は問われないものと思われます。
(2) 同意取得に関する義務(本条例第22条)
ネットワークデータ取扱者が、本人の同意に基づき個人情報を取扱う場合には、当該同意範囲を超えない範囲で取扱いを行い、センシティブ個人情報の取扱いについては別途同意を取得しなければならないほか、14歳未満の未成年者の個人情報の取扱いについては保護者から同意を得なければなりません。
(3) 権利行使に関する義務(本条例第23条)
ネットワークデータ取扱者は、本人から個人情報に関するアクセス権や訂正権が行使された場合に、当該求めに対して迅速に対応し、本人が権利行使できるようにするための方法を提供しなければなりません。
(4) 削除や匿名化に関する義務(本条例第24条)
不要な個人情報が自動収集された場合や、本人がアカウントを退会した場合、ネットワークデータ取扱者は個人情報を削除または匿名化しなければなりません。
(5) 移転要請に関する義務(本条例第25条)
本人から個人情報の移転請求を受けた場合であって、①本人確認が可能であること、②本人が同意し、または契約に基づき収集された個人情報であること、③移転が技術的に可能であること、④移転によって他社の権利が侵害されないことをいずれも満たす場合には、ネットワークデータ取扱者は、指定された他のネットワークデータ取扱者に対して、個人情報を移転できるようにしなければなりません。
これは、いわゆるデータポータビリティに関する内容です。個人情報保護法において、それ以前には中国法上定めのなかったデータポータビリティ権が新たに個人の権利として法文化されたものの(個人情報保護法第45条第3項)、その詳細については特段明確にされていませんでした。
ようやくデータポータビリティ権の行使に関する要件が明確にされたという点は重要と思われる一方、実務的に対応するに堪えるだけの明確な内容が定められたとも言い切れず、今後もデータポータビリティに関する法令が制定されることも予想されます。
(6) 国内代理人選任に関する義務(本条例第26条)
中国国外のネットワークデータ取扱者が、中国国内の個人の個人情報を取扱う場合には、中国国内に専門機構または代表者を設置し、市レベルのネットワーク情報部門に報告しなければなりません。
これは、個人情報保護法の域外適用を受ける中国国外の個人情報取扱者において、中国国内に専門機関又は指定代表を設置し、これを設置した場合に個人情報保護職責部門に対して報告すべきことが義務付けられているところ(個人情報保護法第53条)、その報告すべき部門を市レベルのネットワーク情報部門と明確にしたものといえます。
中国国内に設置される専門機関、指定代表に関する要件や資格等の詳細、ないしは報告の方法といった事項については、依然として不明確ですが、個人情報保護法が施行されて以降不明確となっている事項につき、わずかながらも展開があったといえ、今後、引き続き関連法令が制定される可能性が高まったといえます。
(7) コンプライアンス監査に関する義務(本条例第27条)
ネットワークデータ取扱者は、定期的に個人情報取扱いに関する法令遵守状況を、自らまたは専門機関に委託して監査しなければなりません。
なお、個人情報取扱いに関するコンプライアンス監査については、2023年8月にネットワーク情報部門が「個人情報保護コンプライアンス監査管理弁法」の意見募集稿[4]を公表した後、2024年7月にこれとは別に「個人情報保護監査要求」[5]という国家基準の形式での意見募集稿が公表されています。
現時点で、コンプライアンス監査に関する個別の法令若しくは国家基準の公布はされていませんが、早晩、正式な法令、国家基準が制定されることが見込まれます。
(8) 1000万人以上の個人情報を取扱う場合の義務(本条例第28条)
1,000万人以上の個人情報を取扱うネットワークデータ取扱者は、本条例が定める重要データ取扱者としての義務にも服さなければなりません。
「重要データ」については、その定義、範囲が依然として明確にされていない中、1000万人以上の個人情報を取扱う場合には、重要データ取扱者と同等の義務を負うとされた点は本条例の一つの重要なポイントと思われます。
すなわち、越境移転の場面においては、年間で類型100万人以上の個人情報又は1万人以上のセンシティブ個人情報を移転する者は、重要データを越境移転する場合と同様、セキュリティ評価を受けなければならないことは、データの越境流動促進と規範規定でも既に定められていました。しかし、本条例により、1000万人以上の個人情報を取り扱う場合には、重要データの取扱者と同等の義務を課されることとなり、特にサイバーセキュリティの面における各種の義務を履行しなければならないことになります。
日系企業において、中国で1000万人規模の個人情報を取り扱われる企業は多くないと思われますが、もしも当該基準を満たす事業者においては、留意が必要といえます。
実務上の対応
本ガイドラインと本条例に対応して、日本の事業者としても、中国の個人情報保護法への対応状況を見直す必要が生じます。特に、本ガイドラインとの関係では、センシティブ個人情報の識別方法がより明確になったことから、従前センシティブ個人情報として整理していなかったものがセンシティブ個人情報が解されるリスクはないか、あるいは逆にセンシティブ個人情報として整理されていたものを通常の個人情報として整理する余地はないか、を検討する必要が生じます。上述の通り、センシティブ個人情報であるか否かは、「データの越境流動促進と規範規定」に基づき、標準契約の締結と届出が免除されるか否かの分岐点になることもあるため、実務上のインパクトが大きいと考えられます。
また、本条例において定められる義務の多くは、従前から個人情報保護法においても規定されていた義務と重なりますが、現行の法令を補充、補完する内容も定められていますので、その内容を把握しておくことも必要と考えられます。
Authors:
包城偉豊
邢 沂晨
杉浦翔太
[1] 网络安全标准实践指南—敏感个人信息识别指南
[2] 网络数据安全管理条例
[3] 信息安全技术 个人信息安全规范
[4] 个人信息保护合规审计管理办法(征求意见稿)
[5] 数据安全技术个人信息保护合规审计要求