最近、DiDiに中国政府が行政罰を科した一件、いわゆる「DiDi事件」がインターネット上を賑わせています。
ここに至るまで、DiDi は乗客の安全に関する問題をはじめ、個人情報やプライバシーの侵害、ビッグデータの不正利用による顧客いじめ、高額なプラットフォーム手数料など、さまざまな問題を起こしていました。
そして、中国政府はDiDiに再三の改善要求を出していましたが、DiDiは問題を先送りしていました。
個人のプライバシーや国家のデータ安全を損害する危険性があるにも関わらず、同社は2021年6月30日、DiDiはニューヨーク市場での上場を決行しました。
こうした行為を見過ごすことはできないということで、中国政府は違法に個人情報を収集、使用したとして、DiDiの展開するメインサービス「滴滴出行」のアプリに対してインターネットセキュリティの審査をしました。
この審査は、約 1 年にも渡って続き、今年7月21日、国家インターネット情報弁公室はDiDiに対し、日本円にして総額 1600 億円を超える 80 億 2600 万元の厳しい罰金を科しました。
調査によると、DiDi はユーザー、乗客、ドライバーの個人情報、顔認識情報、住居、職業、学歴などを過剰に収集して悪用しただけでなく、ユーザーの携帯電話内の写真、クリップボードなどの情報も収集していたとされ、『個人情報保護法』、『データセキュリティ法』、『インターネットセキュリティ法』に違反していると結論付けられました。
また、中国政府がDiDiに重い罰則を課した主な理由は、規制要件に従って是正を行わず、国家のネットワークやデータセキュリティを危険にさらす違法行為が2015 年 6 月から 2022 年 7 月までと長期間続いたことも一つの理由です。不正に処理された個人情報の数は 600 億件を超えているとされ、個人情報の不正収集などの要因が数多くありました。
ネット上では、DiDi はケイマン諸島で設立され、2021 年 6 月 30 日にニューヨーク証券取引所に上場した海外企業であるため、国家インターネット情報弁公室が「遠距離管轄権」を行使できないと言う意見もあります。
しかし、法的な解釈としては、『データセキュリティ法』第 2 条と『個人情報保護法』第 3 条がいずれも中国国民の正当な権利と利益を侵害する海外でのデータ処理活動や個人情報の処理活動を管轄することを規定していると考えられるため、国家インターネット情報弁公室はDiDiを罰することができるのです。
また、『行政処罰法』第36条第2項では、違法行為が連続して行われたか、又は継続した状態にある場合は、その行為が終了した日からその行為を起算するとしています。そのため、DiDi の違法行為のほとんどが、『データセキュリティ法』(2021 年 9 月 1 日施行)および『個人情報保護法』(2021 年 11 月 1 日施行)の施行前に発生したものですが、その違法行為が現在も続いている状態であるため、『データセキュリティ法』や『個人情報保護法』を適用して罰せられる可能性があるといえます。
◆日系企業へのアドバイス
DiDi事件から得られる教訓は、中国政府がインターネットセキュリティ、データセキュリティ、個人情報保護分野での法執行を徐々に強化しており、国家インターネット情報弁公室による違法行為の継続に対する『データセキュリティ法』や『個人情報保護法』の遡及適用の運用が進んでいることです。日系企業は処罰を受けないように、個人(顧客や従業員)の情報処理と海外へのデータ転送について、コンプライアンスの評価と社内規則制度をあらためて見直しする必要があるといえるでしょう。
さらに、直接的または間接的な株式保有を通じて数百の企業の実際の支配権を所有するDiDiの行為は、一部の学者によって無秩序な資本拡大であると見なされており、これは新たに改正された『独占禁止法』(2022年8月1日施行)の対象でもあります。これも行政処罰の対象となり、遡及適用が認められるものとなる可能性があるため、今一度適法性を確かめ、今後の『独占禁止法』の実務運用にもより一層注意を払うことが必要でしょう。