中国の個人情報保護法とは？制定の背景から日本企業が取るべき対策を解説

中国に事業展開を予定している、またはすでに事業展開をしている企業の法務担当者の方の中には、中国の個人情報保護について悩むことは多いのではないでしょうか。

本記事では、中国に事業展開する際に知っておきたい法規制を網羅的に紹介します。また、対応方法や日本企業が対応するべき点もわかりやすく解説します。ぜひ参考にしつつ、中国の個人情報保護法を理解して、対策をはじめましょう。

中国の個人情報保護法が制定された背景・目的

これまで中国では、日本の個人情報保護法のように個人情報の保護を包括的に定めた法律は存在しませんでした。しかし、以前から個人情報保護法を策定しようとする動きがあり、2021年11月1日に「中国個人情報保護法」として、中国で初めて個人情報保護を包括的に規定した法律が施行されました。

特に「サイバーセキュリティ法」や「データセキュリティ法」は、国家安全保障の要素が濃い法律であるものの、中国の個人情報保護法は個人の権利保護に重点を置いた内容となっています。

中国の個人情報保護法の骨組みは「EU一般データ保護規則（GDPR）」など、近年の諸外国の法規制の影響を大きく受けているようです。しかし、適法性の根拠として認められるポイントや、本人の権利などの詳細は独自の内容であるため、個別の対応策が求められます。

中国の個人情報保護法の規制対象

本章では、中国の個人情報保護の規制対象を解説します。
下記の条件を満たす場合は規制の対象となるので、注意しておきましょう。

• 中国国内の個人に対して商品またはサービスを提供することを目的とする場合
• 中国国内の個人の行為を分析、評価することを目的とする場合
• 法令が定めるその他の場合

中国の個人情報保護法は、場合によっては中国国内だけでなく外国にも効力がおよぶケースがあります。また、国外であっても中国にいる「個人」を対象とした販売事業や行動分析を実施する場合は同法が適用されるため、注意しておきましょう。

中国の個人情報保護法を理解する上でのポイント

本章では、中国の個人情報保護を理解するための8つのポイントをそれぞれ解説します。

適法性の根拠

企業は、中国個人情報保護法で定められた適法性の根拠のいずれかに該当する場合に限り、個人情報を取り扱うことが可能です。

根拠である7つは下記の通りです。

• 本人同意
• 契約の履行
• 法定義務の履行
• 公衆衛生
• 公共の利益
• 公表された個人情報の処理
• 法令等に定めるその他の事情

ここから分かる通り、GDPRにある「正当な利益」は含まれていません。そのため、GDPRと比較すると本人の同意を根拠として個人情報を取り扱わなければならない場面が多くなることが想定されるでしょう。

また、同意自体が「本人がいつでも容易に撤回できるもの」でなくてはならないと定義されています。同意の撤回を簡単に行えるUIにしたり、撤回方法を簡潔にわかりやすく記載したりするなどの配慮が必要です。

情報提供

企業は、個人情報を取り扱う前に内容に関して、中国個人情報保護法で求められる事項を明確に分かりやすい言葉で本人に通知しなければなりません。

また、取り扱いの目的だけではなく、処理の方法や個人情報の種類、保管期間、権利行使の方法や手順など詳細な情報提供が求められています。

委託先との合意

個人情報の取り扱いを委託する場合、委託先との間で処理目的や期限、処理方法、保護措置などについて委託契約などで合意しておく必要があります。

また同時に、委託処理に関する監督責任も負うことになります。他の企業と共同で個人情報を取り扱う場合は、委託の場合と同じように事前に個人情報を取り扱う目的や方法、双方の権利義務について合意しておきましょう。

越境移転における規制

中国国内で集めた個人情報を国外の第三者に提供する際には、以下の2つの対応が求められます。

1つ目は、個人情報の提供先の名称や連絡先、処理目的、処理方法、個人情報の種類、個人が提供先に対し権利を行使する方法、手続きなどを通知します。そして、本人の同意を個別に取得しなければなりません。

2つ目は、下記4つのいずれかの措置を実施しなければなりません。

• 国家の安全評価に合格している
• 専門機関による個人情報保護の認証を得ている
• 標準契約に基づいて地域外の提供先と契約を締結している
• 国家インターネット情報部門が規定するその他の条件を満たしている

移転する個人情報の内容によっては、国家の安全評価が必須です。そのため「データ国外移転安全評価弁法」に沿って、国家の安全評価の要否を確認してから、取るべき措置を選択しましょう。

権利について

中国個人情報保護法は本人に対して、知る権利、閲覧権、複製権、撤回権、ポータビリティ、訂正権、削除権などの各権利を認めています。

また、GDPRでは認められていない「死者の権利」も認められています。「死者の権利」とは、本人が死亡した場合に近親者が死者に代わってその権利を行使できることです。そのため、故人の情報保護についても留意しておきましょう。

インシデントの報告義務

個人情報の漏洩を防止するために、企業にはISMS（情報セキュリティマネジメントシステム）で要求される事項と同様の対応が求められます。

下記が求められる対応例です。

• 内部規程の策定
• 機密度に応じた分類管理
• 必要に応じた暗号化
• 仮名化などの実施
• 従業員への教育の実施
• インシデントレスポンスプロセスの策定など

安全管理の措置については、サイバーセキュリティ法やデータセキュリティ法でもそれぞれ規定されているため、3法の要件をしっかりと整理して対策を確認しておくことがおすすめです。

関連記事：中国サイバーセキュリティ法とは？遵守する上でのポイントを解説

関連記事：中国データセキュリティ法とは？日本企業が取るべき対策を解説

DPO・代表者の設置義務

企業は、取り扱う個人情報の件数が一定数量に達した場合、DPO（データ保護責任者）の任命が義務付けられます。

また、域外適用の対象となる企業は、中国国内に代表者を設置し、名称や連絡先などを主管当局に届け出る必要があります。

個人情報保護影響評価の実施義務

企業は、以下の5つのいずれかに当てはまる場合に、事前にリスク評価を行い、リスクを適切にコントロールすることが必要です。

実施義務が必要なケースは下記の通りです。

• センシティブ情報を取り扱う場合
• 自動化された意思決定を行う場合
• 個人情報の取り扱いを委託する場合や個人情報を第三者に提供する場合
• 国外に個人情報を移転する場合
• 個人の権利および利益に重大な影響を与える場合

中国における個人情報保護法の罰則

違反した際には、高額な制裁（最大で5,000万元、または前年度売上の5%の罰金）が科されるリスクがあります。域外にも適用されるため、中国に対して事業を展開する日本企業は早急な対応が必要です。

日本企業がするべき個人情報保護法対策

本章では、日本企業がするべき個人情報保護対策を4つ紹介します。

社内体制を見直す

まず、社内体制の見直しを検討しましょう。代表者やDPOの設置義務があるため、社内体制を見直す必要があります。

例としては、個人情報を含むデータ全般のコンプライアンス業務を担当する法務と技術の専門部門の設置や業務フローの整理、詳細なデータマッピングの実施など、さまざまなものがあります。

規定やポリシーを更新する

規定やポリシーの更新を行うことも重要です。中国データ3法に遵守した規定やポリシーの更新をする必要があります。

また、単に法令要件を反映させた規程を策定するだけではなく、すべての従業員が実行可能な運用を整備することが求められます。

運用の実態を把握する

個人情報保護法は2021年11月1日に制定されてまだ間もないため、運用実態を把握しながら恒常的に対策する必要があります。また、企業に属する従業員にも、適切な取り扱いと法令の厳守がルールとして定められています。

そのため、企業は従業員に対しても定期的な研修を実施し、最新の法令や手順についての認知を深めておきましょう。

専門家との協力体制を構築する

専門家との協力体制の構築や強化も不可欠です。中国の法規制に詳しい専門家と協力体制を築くことで、迅速な対応ができるでしょう。また、企業は個人情報保護のコンプライアンス状況を定期的に監視・評価する必要があります。そのため、外部の専門家による協力体制の構築は必須だといえるでしょう。

まとめ：複数の法規制を理解し、正確な対応を

2021年11月1日に中国で初めて個人情報保護を包括的に規定した「中国個人情報保護法」が施行されました。グローバルで事業を展開する企業にとっては、中国データ関連法規制（サイバーセキュリティ法、データセキュリティ法、個人情報保護法）は、市場の重要度や規制の厳格度からしても、見過ごすことのできない法令です。場合によっては専門家の手を借りながら、必要な実務を遂行できる体制をしっかり整えていきましょう。

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、グローバルビジネスはますます拡大しており、専門家によるリーガルチェックの必要性はますます増加しています。当事務所では国際法務に関するソリューション提供を行っております。

モノリス法律事務所の取扱分野：国際法務・海外事業