{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
中国では個人情報保護法が2021年に施行されており、違反した際に科される高額なペナルティなどから、非常に厳しい法令として知られています。同法では、個人情報取扱者に対して、個人情報保護コンプライアンス監査の実施義務が求められています。これに関連して、「個人情報保護コンプライアンス監査管理弁法」(以下「本弁法」という)およびその別紙「個人情報保護コンプライアンス監査ガイドライン」が、2025年5月1日に施行されました。
個人情報処理者または専門監査機関が本弁法の規定に違反した場合、個人情報保護法、ネットワークデータセキュリティ条例などの法律・法規の規定に従って処理され、犯罪を構成する場合には、法律に従って刑事責任を追及される可能性があります。
法定義務
個人情報保護コンプライアンス監査の実施義務は、中国の個人情報保護法の第54条および第64条によって定められた法定義務です。具体的には、同法の第54条において、個人情報取扱者は、定期的にその個人情報の取り扱いが関連する法律および行政規則に適合しているかどうかを確認するため、コンプライアンス監査を実施しなければならないと定められています。また第64条では、当局がその職責を遂行する過程で、個人情報取扱活動に比較的大きなリスクが存在する場合、または個人情報の安全に関するインシデントが発生した場合に、その個人情報取扱活動に対するコンプライアンス監査を専門監査機関に委託するよう、個人情報処理者に対して要求することができると規定されています。
本弁法の適用
本弁法は、個人情報保護コンプライアンス監査活動を規範するための指針として、2025年5月1日に施行され、中国国内において個人情報保護コンプライアンス監査活動を行う全ての個人情報処理者に適用されます(図表1)。
図表1:個人情報保護コンプライアンス監査実施義務の全体像
本弁法の概要
本弁法は、20の条文と付録である「個人情報保護コンプライアンス監査指針」から構成されています。条文には、個人情報保護コンプライアンス監査に関する実施義務や実施頻度、諸要件などが含まれています。また、同付録「個人情報保護コンプライアンス監査指針」では、26項目にわたりさまざまな側面から、個人情報保護コンプライアンス監査を実施する際に、重点的に監査すべき事項とその詳細が提示されています。
コンプライアンス監査の類型
個人情報保護コンプライアンス監査は大別して、個人情報保護法第54条に基づく「自主型個人情報保護コンプライアンス監査」(図表2)と、同法第64条に基づく「要求型個人情報保護コンプライアンス監査」(図表3)に区分されます。「自主型個人情報保護コンプライアンス監査」とは、一定の要件を満たす個人情報取扱事業者が自ら定期的に個人情報保護コンプライアンス監査を行うことを意味します。一方、「要求型個人情報保護コンプライアンス監査」とは、個人情報取扱行為に法令違反ないしその可能性があるなど一定の条件において、当局が個人情報取扱事業者に対して個人情報保護コンプライアンス監査の実施を求めることを指します。
図表2:自主型個人情報保護コンプライアンス監査
図表3:要求型個人情報保護コンプライアンス監査
個人情報処理者は、自ら実施する自主型個人情報保護コンプライアンス監査、または当局の要求に従って専門監査機関に監査を委託し、専門監査機関が個人情報保護コンプライアンス監査を実施する際には、本弁法の付録「個人情報保護コンプライアンス監査指針」を参照する必要があります。
その他諸要件
上記以外にも、本措置には以下のような規定が含まれており、個人情報処理者として注意が必要です。
- 個人情報処理者向けのその他諸要件
- 100万人以上の個人情報を取り扱う個人情報処理者は、個人情報保護責任者を選任し、当該個人情報処理者の個人情報保護コンプライアンス監査を担当させることが必要
- 重要なインターネットプラットフォームサービスを提供し、利用者数が多く、事業形態が複雑な個人情報処理者は、主に外部メンバーで構成される独立した組織を設立し、個人情報保護コンプライアンス監査を監督することが必要
- 要求型個人情報保護コンプライアンス監査に関するその他諸要件
- 要求型個人情報保護コンプライアンス監査への対応の一環として、監査報告書に、コンプライアンス監査責任者の署名、専門監査機関の主要責任者および専門監査機関の公印の押印が必要
- 個人情報処理者は、要求型個人情報保護コンプライアンス監査で発見した問題を是正しなければならない。是正後、15営業日以内に是正報告書を当局に提出することが必要
おわりに
本弁法は、2025年5月1日に施行されました。中国で個人情報を取り扱う日本企業は、データマッピングなどによる個人情報の取り扱い状況を精査し、その実態に応じて、適切な個人情報保護コンプライアンス監査施策を整備する必要があります。また、外部専門監査機関を起用する場合には、本弁法に定められた外部専門監査機関に関する要件に従い、適切な選定基準とセキュリティ管理施策を整備し、運用することが不可欠です。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
