MenuClose

Blog

ブログ

【中国】「小規模個人情報取扱者の個人情報保護に関する簡略措置規定(意見募集稿)」の公表と実務上の留意点

2026.04.13

#中国 / #中国法務 / #個人情報

2026年43日、中国国家インターネット情報弁公室は、「小規模個人情報取扱者の個人情報保護に関する簡略措置規定(意見募集稿)[1]」(以下「本意見募集稿」といいます。)を公表し、2026年53日まで意見募集を行っています。

これは、小規模事業者における個人情報保護法令上の義務履行について、一定の範囲で簡略化措置を認めるものです。中国の個人情報保護法においては、プライバシーポリシー等による利用目的等の告知や同意取得、個人情報保護影響評価の実施、越境移転対応(標準契約の締結や当局への届出を含む)、漏えい時の通知、コンプライアンス監査の実施等、多面的な義務が個人情報取扱者に課されています。他方で、これらの義務は大企業のみならず小規模事業者にも及ぶため、必ずしも事業規模が大きくなく法務リソースに限りある事業者においては、実務上の対応負荷が重いと感じられてきた領域も少なくありませんでした。本意見募集稿は、そのような実務上の負担を踏まえつつ、義務そのものを全面的に除外するのではなく、小規模事業者について「簡便な履行方法」を明示する内容となっています[2]

日系企業との関係においても、中国現地拠点が本意見募集稿における「小規模個人情報取扱者」に該当し得るケースは十分想定され、中国現地拠点における販売・マーケティング、人事管理、一般消費者向けサービス・アプリ提供等の場面において、簡略化措置が適用されることが考えられ、実務上の影響を持ち得るものといえます。

 

「小規模個人情報取扱者」の定義

本意見募集稿は、「小規模個人情報取扱者」を、「取扱う個人情報の対象者が10万人未満の個人情報取扱者」と定義しています[3]。この「小規模個人情報取扱者」の定義は、本意見募集稿全体の適用範囲を画するものであり、後述する告知方法の簡素化、越境移転規制の免除、監査・影響評価の簡便化、処罰の緩和といった各種メリットも、この定義を前提に適用されることになります。そのため、本意見募集稿が正式に採用された場合には、まず自社または中国現地拠点がこの基準に入るかを初期的に棚卸しすることが、簡略化措置の適否検討の出発点になると考えられます。なお、上記の「10万人未満」という基準については、年間の取り扱い数量なのか、あるいはこれまでの累計の数量なのかといった前提条件が明示されておらず、最終的にどのような数え方になるか注目する必要があるといえます。

個人情報取扱規則・告知義務の簡素化

本意見募集稿の中でも、実務上特に影響の大きいと考えられるのが、個人情報取扱規則と告知義務に関する簡略化措置です。本意見募集稿においては、小規模個人情報取扱者の個人情報取扱規則に最低限含めるべき事項として、①名称または氏名、②権利行使の受付担当者と連絡先、③取扱目的・取扱方法・個人情報の種類・保存期間等が挙げられています[4]。また、営業場所の目立つ場所への掲示又はオンラインで開示されているサービス規約への記載等の方法によって個人情報取扱規則を公開することにより、(i)製品またはサービスの提供に必要不可欠な個人情報(センシティブ個人情報を含まない)の取り扱いで、かつ(ii)他の個人情報取扱者への提供や公開を行わず、その旨が個人情報取扱規則に記載されていれば、個人への告知義務を充足できることが規定されています[5]。さらに、本人が製品またはサービス取得のために必要な個人情報を自ら提供した場合であれば、個人情報取扱者は公開された取扱規則に従って取り扱うことができることが規定されており[6]、これは個人情報保護法第13条により規定される、同意取得を含む法的根拠具備の要件を緩和した規定と考えられます。以上により、小規模個人情報取扱者においては、個別場面ごとの告知や同意取得を必ずしも行うことなく、適切な個人情報取扱規則の整備と公開によって従前よりも簡易な方法で個人情報の収集を行うことが可能となります。

プラットフォーム利用の場合における告知義務等の免除

さらに一定の場合には、個人情報取扱規則の制定自体と告知義務の履行自体が不要とされています。具体的には、ネットワークプラットフォームを通じてのみ個人情報を取扱する場合であれば、①プラットフォーム外の第三者に個人情報を提供せず、②当該プラットフォームが既に個人情報取扱規則を制定・公開し告知義務を履行しており、③小規模個人情報取扱者側においてもその規則遵守を宣言し、かつ④取扱が製品・サービス提供に必要である場合は、小規模個人情報取扱者自身が個人情報取扱規則を制定したり、公開したりすること自体が不要となります[7]。この条件を満たす場合、プラットフォーム事業者が既にコンプライアンス監査又は個人情報保護影響評価を実施していれば、小規模個人情報取扱者はこれらを独自に実施する必要もないとされています。

センシティブ個人情報の取扱い

個人情報取扱全般における簡略化措置が認められる一方で、センシティブ個人情報については一定の義務が維持されています。小規模個人情報取扱者が特定目的でセンシティブ個人情報を取り扱う場合、個人情報取扱規則においてその取り扱いの必要性および個人の権益への影響を告知しなければなりません[8]。ただし、本人がそれと知ったうえで顔情報や生体サンプル等のセンシティブ個人情報を自ら提供した場合には、既に告知した取扱目的・方法・種類等に従って取り扱うことができるとされています。この点については、センシティブ個人情報の取り扱いに関する同意取得が不要となるとされる規定であると解されますが、当該規定の適用範囲が、本意見募集稿第7条に定める製品またはサービスの取得場面における本人の自主的な提供に限定されるのか、その他の場面における提供も含まれるのかについては、必ずしも明確ではありません。そのため、本意見募集稿の最終施行版の動向を引き続き注視する必要があると考えられます。

越境移転規制の免除

小規模個人情報取扱者が個人情報(重要データを除く)を海外に提供する場合、一定の条件を満たせば、個人情報保護法38条で義務付けられている、データ越境安全評価の申告、個人情報標準契約の締結、個人情報保護認証の取得が免除されるとされています[9]。他方、当該免除事由は主に20243月「データの越境流動促進と規範規定」における緩和措置[10]と共通の内容となっているため、基本的には従前の運用が維持されるものと考えられます。

コンプライアンス監査と影響評価の簡便化

本意見募集稿は、これまで実務上負荷が重いと受け止められてきたコンプライアンス監査と個人情報保護影響評価についても、簡便な履行方法を明示しています。具体的には、コンプライアンス監査(個人情報保護法第54条)について、本意見募集稿に添付された「個人情報保護コンプライアンス監査自己点検表」に基づく簡便な方法で、5年に一度のコンプライアンス監査を実施することができると定めています[11]。また個人情報保護影響評価については、「個人情報保護影響評価表」に基づく簡便な方法で影響評価を実施することができるとされています[12]。これらは「免除」ではなく「簡便な方法による履行」として整理されているため注意が必要です。従前は法令上の義務があるとは理解しつつも、実務上は未対応または形式対応にとどまっていた企業も少なくないと考えられますが、本意見募集稿の正式化後は少なくともこの簡便な様式と頻度に沿った対応を取ることが求められることになります。

情報漏えい時の本人通知の緩和

個人情報の漏えい、改ざん、紛失が発生し、またはそのおそれがある場合、小規模個人情報取扱者は直ちに是正措置を講じ、法令に従って本人に通知しなければならないとしたうえで、客観的事情により他の方法で通知できない場合には、営業場所での掲示や製品・サービスにおけるポップアップ等の簡便な方法のみによる通知が認められています[13]。ただし、従来の法令に基づく所管部門への通知義務や、犯罪が疑われる場合の公安機関への通報義務については引き続き履行が求められます。

処罰の緩和

処罰に関しても一定の留保が付されています。小規模個人情報取扱者については、(i)違法行為が軽微で速やかに是正され危害結果が生じていない場合、(ii)初回違法行為で危害結果が軽微かつ速やかに是正した場合、(iii)その他法令上不処罰とされる場合[14]であれば、処罰を行わないことを定めています[15](ただし、不処罰の場合でも状況に応じて、当事者との面談や注意書送付等の行政監督措置を取り得るとされています)。

実務上の示唆

本意見募集稿の実務上のポイントは、中国個人情報保護法上の義務の多くについて小規模事業者向けの簡略化が見込まれることです。「小規模事業者」の範囲が「取り扱う個人情報の対象者が10万人未満の個人情報取扱者」であるため、多くの日系企業においても適用の想定される基準値であると考えられます。基本的には事業者にとっての負担軽減が見込まれますが、他方で影響評価やコンプライアンス監査については、現行法上は義務を意識しながらも十分に実施できていなかった企業もあると思われるところ、本意見募集稿の正式化により実務上対応しやすい義務内容となるため、少なくとも本意見募集稿が示す簡便な方法と頻度に従った対応を行う必要性が高まる側面もあるものと思われます。

本意見募集稿は現時点ではあくまでも意見募集稿にすぎず正式施行前の段階であるため、今後の制定動向を注視しつつ、自社または中国現地拠点が「10万人未満」の基準に該当するか、それによってどの義務が簡略化措置の適用を受ける余地があるのか予め整理しておくとともにコンプライアンス監査や影響評価の簡便対応の準備を進めることが実務対応として必要と考えられます。

 

TMI 包城、邢、杉浦

[1] 「小型个人信息处理者个人信息保护简化措施规定(征求意见稿)」

[2] 本意見募集稿第3条。

[3] 本意見募集稿第2条

[4] 本意見募集稿第4条

[5] 本意見募集稿第5条、第6条

[6] 本意見募集稿第7

[7] 本意見募集稿第8

[8] 本意見募集稿第10

[9] 本意見募集稿第11

[10] データの越境流動促進と規範規定(「促进和规范数据跨境流动规定」)第5

[11] 本意見募集稿第14条。なお5年間の保存義務がある。

[12] 本意見募集稿第15条。なお3年間の保存義務がある。

[13] 本意見募集稿第17

[14] 例えば、当事者が主観的過失の不存在を十分に証明した場合(行政処罰法第33条第2項)

[15] 本意見募集稿第19

Member

PROFILE

包城偉豊

包城偉豊

PROFILE

杉浦翔太

杉浦翔太

PROFILE

邢 沂晨

邢 沂晨

#中国 / #中国法務 / #個人情報

Other Categories

MORE
MORE
MORE
MORE
MORE
MORE
MORE

TAGS

VIEW MORE
× メールマガジンの
配信登録は
こちら