10月21日、第13期全国人民代表大会常務委員会第22回会議で審議された『個人情報保護法』の草案(以下「草案」という)が「中国人大ネット」上で公布され、パブリックコメントが開始されました。全8章70条からなる「草案」には、日系企業や駐在員の関心を集める内容も多いため、今回はこの草案の内容を簡単にご紹介いたします。

1.日系企業に関わる「草案」のポイント
(1)「草案」に国外への適用効力を与え、国外の機関で国内の自然人の個人情報を処理する場合にも「草案」の管轄を受け、中国国内に専門機関又は指定代表を設置しなければならないとした。 
   次の条件のいずれかに該当する国外の企業、機関又は個人は、全て「草案」の管轄を受けるものとなります。
   ①中国国内の自然人への製品又はサービスの提供を目的とする。
   ②国内の自然人の行為を分析、評価する。
   ③法律、行政法規に定めるその他の事由。
   上記の国外の企業、機関では、必ず中国国内に専門機関又は指定代表を置き、個人情報の保護に関する事務を担当させることが必要となります。具体的な対応方法については、関係機関により制定される実施条例等の関連法規による規定の明確化が待たれます。

(2)国内外の企業が個人情報を処理するにあたっては、事前に十分な告知を行い個人の同意を得たうえ、個人情報が漏えいしたり窃取、改ざんされることを防止する必要措置を講じなければならない。
   ①十分な告知と同意の必要性
   国内外の自然人個人の情報を処理する企業は、個人情報の処理対応を行う前に、十分告知して個人の同意を得なければならない。個人は同意を撤回することができ、原則として企業は個人が同意しなかったことを理由にサービスや貨物を提供しないことはできない。
   ②企業が取る必要措置
   例えば、企業は内部管理制度、操作規程を制定する必要があり、一般個人情報、個人の機微情報(医療・健康、金融口座、個人の行動歴等)を区分して分類管理し、相応の暗号化、非識別化等の安全技術措置を利用するとともに、会社に対する定期的な監査を受ける等、個人情報保護の必要措置を取る。

   国外の企業又は機関においては、上記の措置を取る以外に、中国国内に専門機関又は代表を置き、機関名称、代表者氏名、連絡先情報を個人情報保護機関に報告しなければならないとされています。

(3)国外に個人情報を提供する際の規則及び制限を明確に規定した。
   国外への個人情報提供、例えば現地の日系企業から日本の本社に中国国内の自然人(顧客、取引相手、従業員等を含む )の個人情報を提供するにあたっては、業務の必要に基づき、以下の条件を少なくとも一つ満たしている必要があります。
   ①国家インターネット情報機関による安全評価を受けている。
   ②専門機関による個人情報保護認証を受けている。
   ③国外の個人情報受領者と契約を締結し、国外機関の個人情報処理活動に対する監督が「草案」に規定する個人情報保護基準に達している。
   上記の要求のほかに、国内企業は個人情報主体に対して明確に告知して単独の同意を取得し、個人情報の安全性アセスメントを行ってからでないと、国外への個人情報提供ができないとされています。

(4)個人の権益への侵害に対する懲罰を強化し、罰金の最高額は売上高の5%又は5,000万元とする。
   「草案」では、違法な個人情報の取扱いや、必要な安全保護措置を取らない企業に対し、100万元以下の罰金を科すことを明確に規定しています。情状が重大な場合、5,000万元以下又は前年度売上高の5%に相当する罰金を科し、より厳しい罰として企業の営業許可証を取り上げるとしています。

2.日系企業へのアドバイス
   「草案」の審議上程には、個人情報の随意な収集、不適切な使用等の現実に起きている問題について、中国が立法面から規制や保護を詳細化した取り組みが反映されています。日系企業ではこれに十分注目いただき、関連規定について迅速に把握し、自身の状況に応じて自ら又は弁護士に委託して内部管理制度やマニュアルを制定し、相応のセキュリティ措置を講じて個人情報を取り扱うようにし、特に重要個人情報の取扱い、中国国外への個人情報提供等のリスクの高い活動に際しては、事前に弁護士によるリスク評価や計画を委託することをお勧めいたします。個人情報の漏えい防止や必要な安全措置を取っていないと、企業は処罰を受け、信用を損なうことになります。