2025年2月12日に国家インターネット情報弁公室により、「個人情報保護コンプライアンス監査管理弁法[1]」（以下「本弁法」といいます。）が公布され、同年5月1日から施行されています。

本弁法は、中国の個人情報保護法（以下「個人情報保護法」といいます。）で、個人情報取扱者に義務付けられている定期的なコンプライアンス監査の実施に関する具体的な指針になるといえ、特に中国において個人情報を取り扱う事業者においては内容を十分把握しておくべきといえます。

本弁法の詳細については、弊所の中国最新法令情報3月号においても紹介していますが、その重要性に照らして本ブログにおいて改めて特に留意しておいた方が良いと考えられるポイントを解説すると共に、これまでに制定されてきた個人情報保護に関する関連法令の整理をしたいと思います。

 

本弁法のポイント

(1)　コンプライアンス監査の定義と実施義務
本弁法において「コンプライアンス監査」とは、「個人情報取扱者の個人情報取扱活動が法令および行政法規に適合するか否かを審査・評価する監督活動」をいうと定義されています（第2条第2項）。

そのうえで、個人情報取扱者は、定期的にコンプライアンス監査を実施しなければならないとしつつ、1000万人以上の大量の個人情報を取扱う事業者については少なくとも2年に1回のコンプライアンス監査を実施しなければならないと監査の実施頻度が明確に特定されています（本弁法第3条、第4条）[2]。この点、本弁法が施行された後の2025年5月19日に公布された新たな法令として「サイバーセキュリティ標準実践ガイドライン―個人情報保護コンプライアンス監査要求」（以下「コンプライアンス監査要求」といいます。）[3]においては、取り扱う個人情報の数量が100万人以上1000万人未満の場合には3年～4年に1回、取り扱う個人情報の数量が100万人未満の場合には5年に1回という頻度での実施をすべきことが定められています。

(2)　特定の個人情報取扱者への専門機関による監査実施命令
コンプライアンス監査の実施は、基本的に自主的の判断に基づいて実施し、また、自らの判断により自主的に実施するか、あるいは外部の専門機関に委託するかを決定することができますが（本弁法第3条）、以下のいずれかの場合には、国家ネットワーク情報部門を含む当局が、専門機関に委託してコンプライアンス監査を実施するよう命じることができるとされています（本弁法第5条）。

• 個人情報取扱活動において、個人の権利利益に重大な影響を及ぼす、または安全対策が著しく不十分であるなどの重大なリスクが判明した場合
• 個人情報取扱活動が多数の個人の権利利益を侵害する可能性のある場合
• 100万人以上の個人情報または10万人以上のセンシティブ個人情報が、漏洩・改ざん・紛失・破壊などの個人情報セキュリティ事故に遭った場合

そして、この場合には、個人情報取扱者は以下の義務を負うことになります。

費用負担義務（本弁法第8条）	当局の要求に基づき専門機関を選定し、監査費用を負担する。
協力義務（本弁法第9条）	専門機関による監査に協力したうえで、定められた期間内に監査を完了させる。
報告書提出義務（本弁法第10条）	専門機関が発行する個人情報保護コンプライアンス監査報告書を当局に提出しなければならない。
問題是正義務（本弁法第11条）	当局が、コンプライアンス監査の過程で検出された問題点について是正を要求した場合には、是正完了後15日以内に是正状況の報告を提出しなければならない。

なお、同一のインシデントないしリスクに対しては、複数回同一の専門機関に対して監査の委託をすることはできないとされています（本弁法第5条第2項）。 

また、コンプライアンス監査の客観性・中立性を担保する観点から、上記のようなインシデントに基づく専門機関への委託か否かを問わず、同一の専門機関に対しては、同一の監査対象について3回以上監査を委託してはならないとされていますので、この点も留意が必要です（本弁法第15条）。

なお、上記の専門機関に関する要件、要求については、コンプライアンス監査要求と同時に公布された「サイバーセキュリティ標準実践ガイドライン―個人情報保護コンプライアンス監査専門機関サービス能力要求」[4]において詳細が定められており、専門機関たり得るのはあくまで中国国内で設立された法人であることや、その法定代表者、董事長、高級管理人員等はいずれも中国国籍であることが要求されています。そのため、外資系の企業が専門機関を運営するにはやや高いハードルが課されているともいえます。

(3) 個人情報保護責任者の設置義務
本弁法は、100万人以上の個人情報を取扱う個人情報取扱者は、個人情報保護責任者（以下「DPO」といいます。）を選任し、コンプライアンス監査の責任を負う必要があると規定しています（第12条）。

当該規定により、個人情報保護法上、「国家インターネット情報部門の規定する数量に達した個人情報取扱者」については、DPOを設置することが義務付けられていたものの、これまでその数量は明確にされていませんでした。その中で、本弁法関する具体的な基準が明確化されたといえます。

なお、個人情報保護法上、DPOを設置した場合、DPOへの連絡方法を公開することが求められているほか、個人情報保護部門に対してDPOの氏名、連絡方法等を報告しなければならないとされていますが、現状後者の点に関しては、依然としてその詳細な方法等は明確にされていません。この点については、今後引き続き立法化されることが予想されます[5]。

(4) コンプライアンス監査の実施方法
本弁法において求められるコンプライアンス監査の具体的な実施内容については、附属書類である「個人情報保護コンプライアンス監査ガイドライン[6]」において、以下のとおり定められています。

No.	監査項目	No.	監査項目
1	個人情報取扱いの法的根拠	14	個人情報の国外提供
2	個人情報取扱いの規則	15	個人情報の削除
3	個人情報取扱いに関する通知義務	16	データ主体の権利保護
4	他の個人情報取扱者と共同して行う個人情報取扱い	17	データ主体の要望に対する説明義務
5	個人情報取扱いの委託	18	内部管理体制および業務手順の整備
6	合併、再編、解散、破産その他の事由による個人情報移転	19	個人情報取扱いの規模および種類に応じた安全技術措置
7	個人情報の第三者提供	20	教育・訓練プログラムの開発および実施
8	個人情報取扱いにかかる自動的意思決定	21	個人情報保護責任者の活動
9	本人同意に基づく個人情報開示	22	個人情報保護影響評価の実施
10	公共の場所における画像収集機器および個人識別機器の設置	23	セキュリティインシデントに対する緊急対応プラン
11	公表された個人情報の取扱い	24	セキュリティインシデントへの対応状況
12	センシティブ個人情報の取扱い	25	重要インターネットプラットフォームサービスを提供し、多数のユーザーを有し、複雑な業態を有する個人情報取扱者が策定したプラットフォーム規則
13	14歳未満の個人情報の取扱い	26	重要インターネットプラットフォームサービスを提供し、多数のユーザーを有し、複雑な業態を有する個人情報取扱者が発行する個人情報保護に関する報告書

更に、コンプライアンス監査要求は項目ごとにより詳細な監査項目、ポイントを列挙していますので、実際に監査を実施するにあたっては、上記ガイドライン及びコンプライアンス監査要求の双方を参照することが必要となります。

中国個人情報保護法関連法令のまとめ

2021年11月に中国個人情報保護法が制定されてから、既に3年以上が経過し、その間に様々な関連法令が制定されました。
2024年3月に「データの越境流動の促進と規範」が施行され、個人情報の越境移転に関する規制が大幅に緩和されて以降も、本稿でもご紹介しているコンプライアンス監査に関しする本弁法をはじめ、個人情報保護関係の新たな関連法令は依然として制定されつづけています。
そこで以下では、個人情報保護関係でこれまでに制定されてきた関連法令及びガイドライン等のうち、主要なものを以下のとおり整理しますので、ご参考にしていただければと思います（リンク先はいずれも中国語のものになり、一部中国国外からのアクセスが制限されている、あるいはリンク切れとなっているものもあるかもしれませんが、ご了承ください）。 

＜本ブログ掲載日において施行、公表されている主要な関連法令＞

種類	法令名	施行日時
法律	個人情報保護法[7]	2022年11月1日
国家基準	個人情報安全規範[8]	2020年10月1日
	情報安全技術 個人情報取扱中の告知及び同意実施ガイドライン[9]	2023年5月23日
	情報安全技術　データ分類分級規則[10]	2024年10月1日
	データ安全技術　センシティブ個人情報取扱安全要求[11]	2025年11月1日
行政法規	ネットワークデータセキュリティ管理条例[12]	2025年1月1日
部門規章	データの越境流動の促進と規範規定[13]	2024年3月22日
	個人情報保護コンプライアンス監査管理弁法	2025年5月1日
部門工作文書	個人情報越境移転標準契約届出ガイドライン（第二版）[14]	2024年3月
	データ越境移転セキュリティ評価申告ガイドライン（第二版）[15]	2024年3月
	個人情報保護認証実施規則[16]	2022年11月4日
	サイバーセキュリティ標準実践ガイドライン ―個人情報クロスボーダー取扱活動安全認証規範V2.0[17]	2022年12月
	サイバーセキュリティ標準実践ガイドライン ―センシティブ個人情報識別ガイドライン[18]	2024年9月14日
	サイバーセキュリティ標準実践ガイドライン ―個人情報保護コンプライアンス監査要求	2025年5月19日
	サイバーセキュリティ標準実践ガイドライン―個人情報保護コンプライアンス監査専門機関サービス能力要求	2025年5月19日
意見募集稿	情報セキュリティ技術　個人情報に基づく自動意思決定セキュリティ要求[19]	2023年8月16日
	サイバーセキュリティインシデント報告管理弁法[20]	2023年12月8日
	個人情報越境移転個人情報保護認証弁法[21]	2025年1月3日

 

---

[1] 「个人信息保护合规审计管理办法」
[2] 1000万人以上の個人情報を取り扱う者は、ネットワークデータセキュリティ管理条例において重要データ取扱者に準じた取り扱いをされており、重要データ取扱者の遵守すべき義務も課されていますが（ネットワークデータセキュリティ管理条例第28条）、本弁法の定めはこれにコンプライアンス監査の周期に関する明確な定めを付け加えたといえます。
[3] 「网络安全标准实践指南—个人信息保护合规审计要求」
[4] 「网络安全标准实践指南—个人信息保护合规审计 专业机构服务能力要求」
[5] なお、個人情報保護法の域外適用を受ける場合に、中国国外の個人情報取扱者は中国国内でDPOを設置する必要があり、これについても当局への報告をする必要があるものの、依然その詳細については明確にされていません。
[6] 「个人信息保护合规审计指引」
[7] 「个人信息保护法」
[8] 「个人信息安全规范」
[9] 「信息安全技术 个人信息处理中告知和同意的实施指南」
[10] 「数据安全技术 数据分类分级规则」
[11] 「数据安全技术 敏感个人信息处理安全要求」
[12] 「网络数据安全管理条例」
[13] 「促进和规范数据跨境流动规定」
[14] 「个人信息出境标准合同备案指南（第二版）」
[15] 「数据出境安全评估申报指南（第二版）」
[16] 「个人信息保护认证实施规则」
[17] 「网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0」
[18] 「网络安全标准实践指南——敏感个人信息识别指南」
[19] 「信息安全技术 基于个人信息的自动化决策安全要求」
[20] 「网络安全事件报告管理办法」
[21] 「个人信息出境个人信息保护认证办法」