中国「インターネット個人情報セキュリティ保護ガイドライン」解説

中国「インターネット個人情報セキュリティ保護ガイドライン」解説

中国弁護士(Not admitted in Japan)李 昱昊

 

 

 2018年11月30日、中華人民共和国(以下「中国」といいます。)公安部サイバーセキュリティ保衛局は、「インターネット個人情報セキュリティ保護ガイドライン(意見募集稿)」(以下、「意見募集稿」といいます。)を発表しました。2019年4月10日、同保衛局は、北京インターネット業界協会、公安部第三研究所と共同で制定した「インターネット個人情報セキュリティ保護ガイドライン」(以下、「ガイドライン」といいます。)を正式に発表しました。意見募集稿の内容を一定程度に変更したほか「中国サイバーセキュリティ法」(以下、「サイバーセキュリティ法」と言います。)、GB/T35273-2017「情報技術安全個人情報安全規範」、GB/T22239「情報安全技術ネットワーク安全等級保護基本要求」等の技術基準を参考にして新たな内容と義務を追加しました。民間からの意見をとり入れ、制定したものであり、主に管理メカニズム、安全技術措置、業務プロセス、緊急処置の4つの角度から規定され、個人情報保持者における個人情報のセキュリティ保護の業務についての参考となります。
 本記事では、弊所の中国サイバーセキュリティ分野の経験を踏まえ、ガイドラインの内容及びガイドラインと意見募集稿の間の主な差異について、以下の通りご紹介いたします。

 

 

1.ガイドラインの性質

 ガイドライン及び意見募集稿の序文によると、ガイドラインは公安機関が大量の事案を処理した執法経験を踏まえ、監督管理において把握した状況に基づいて制定したものであり、企業が個人情報保護業務において参考にするためのものとされています。
 注目すべきなのは、企業が個人情報保護業務において参考にするだけでなく、サイバーセキュリティ監督管理当局が個人情報保護の監督管理を行う際にも参考にすることができると明確にしています。したがって、強制的な法規範ではないが、公安当局の個人情報保護関連法律に対する解釈を表し、公安当局が執法の実務において使用される可能性が高いため、ガイドラインを十分重視しなければならないと思われます。

 

 

2.適用範囲

 「ガイドライン」は、意見募集稿におけるインターネット企業をさらに明確に規定しました。適用範囲の規定において、「インターネット経由でサービスを提供する企業に適用されるのみならず、専用ネットワークまたはネットワーク以外の手段で個人情報の管理及び処理をする組織または個人にも適用される」と規定しています。個人情報保有者による個人情報の安全保護業務にも適用され、ここでいう個人情報保有者とは、上記のインターネット企業及び専用ネットワークまたはネットワーク以外の手段を使用して個人情報を管理及び処理する組織または個人が含まれることになります。インターネット以外の分野の企業または個人は、個人情報に対する管理及び処理に関わる限り、いずれもガイドラインの適用範囲に属することになります。
 また、サイバーセキュリティ法の適用対象であるネットワーク運営者及びそれに課せられた義務と規定した形とは異なり、ネットワークを通じて個人情報を管理・処理する組織または個人に適用されるため、個人情報の保護義務に重点を置いているといえます。

 

 

3.法規範文書の引用

 「GB/T 25069-2010 情報セキュリティ技術 用語」 、「GB/T 35273-2017 情報セキュリティ技術個人情報セキュリティ規格」(以下、「セキュリティ規格」といいます。)「GB/T 22239 情報セキュリティ技術ネットワークセキュリティレベル保護基本要求」(以下、「レベル保護基本要求」といいます。)の3つの国家基準が、ガイドラインに引用されています。内容から見ると「セキュリティ規範」と「等級保護基本要求」の内容を一定程度に統合し、これら2つの基準に対して一定の補足及び修正を行ったものです。

 

 

4.内容の概要

 ガイドラインは、管理措置、人員設置、情報の収集使用・保存・共有、事件対策などの角度から企業の個人情報保護に対する業務の要求を全面的に規定しています。本記事において、重要な内容について以下の通りご紹介いたします。

 

(1) 個人情報の安全保護義務

 「個人情報処理システムのセキュリティ技術措置は、GB/T 22239における相応する等級の要求を満たさなければならず、ネットワークセキュリティ等級保護制度の要求に基づき、セキュリティ保護義務を履行しなければならない」と規定しています。請求意見原稿において規定されていたように一律にネットワークセキュリティ等級の第三級の基準に適用するのではなく、個人情報処理システムのセキュリティ技術措置が「等級保護の基準」に対応する等級の基準を満すように規定されているため、各企業が対応する等級に応じて安全保護を行うように柔軟に対応することが可能となります。

 

(2) 管理組織体制

 管理組織及び管理責任者に関して以下の通り要求しています。

  1. 管理組織については、専任管理責任者を選任して個人情報の保護業務を担当させる事のほか、監査管理者のポジションを増設するように要求しています。
  2. 管理責任者については、その採用、離職、教育訓練などにおいて管理の強化を求めているほか、管理責任者に関連業務についての基礎知識、安全責任、懲戒措置、法律法規などに対する理解を定期的に考察し、考察の結果を記録・保存するような要求を初めて設けました。
  3. 外部人員のアクセスについては、物理的方法またはネットワークを介している方法であるかどうかにかかわらず、事前の承認、アクセス適切な制限、記録の保存等が要求されています。

 

(3) 技術的措置

 共通要求及び拡張要求との二段階の基準から技術的措置について規定しており、その中に以下の通りいくつかの注意すべき点があります。

  1. セキュリティ監査については、各ユーザー、各ユーザーの行動、及び各セキュリティ事件をカバーするように要求しています。
  2. 認証については、認証情報が定期的に変更され、複雑であるものにしなければならず、情報漏洩が確認された場合、すべてのユーザーに対しパスワードを強制的に変更するような機能を提供することを要求しています。
  3. バックアップ・リカバリについては、データの可用性を保証するために、バックアップ・データのリカバリ・テストを定期的に実施するように要求しています。

 

(4) 個人情報の収集

 個人情報保有者が個人情報を収集することについて、以前より厳しく要求しています。例えば、提供するサービスに関連しない個人情報を収集したり、商品・サービスの機能の利用を関係させるなどして個人情報の収集を強要したりしてはならないと要求しています。
 また、個人情報収集者は、「中国国民の人種、民族、政治的な観点、宗教的な信念などの機密データを収集するべきではない」と規定しています。これに加えて、「個人の生体認証情報は、要約情報のみを収集して使用し、元の情報を収集することは避けなければならない」という内容が、ガイドラインに初めて規定されました。例えば、個人情報保有者は、顔特徴情報等の生体認証情報を収集する場合、顔特徴ベクトル等の抽象化処理された情報のみを収集すべきであり、元の顔画像を収集してはならないとされています。

 

(5) 個人情報の保存及び共有

 個人情報の保存、利用、共有と譲渡等において要求しています。

  1. 個人情報の保存については、個人情報を暗号化などの措置を通じて処理するように要求しています。 個人情報の収集、利用の目的などに基づいて、利用類型によって個人情報に異なる保存期限を設け、保存期限を過ぎだ個人情報を削除しなければならないとされています。それに加えて、個人情報のデータのバックアップと復元機能を備えなければならないとされています。
  2. 個人情報の利用については、個人情報の主体との間で締結された契約及び規定を超えて個人情報を利用してはならないと明記されています。ただし、個人を特定することができず、かつ、復元することができない個人情報は除きます。個人情報の主体に対して、個人情報にアクセス、修正、削除、是正する権利を保護しなければならず、 これに加えて、個人情報にアクセスできる者に対応するアクセス制御措置を設けることを要求しています。ガイドラインでは、個人情報が保存期限を過ぎた後に削除しなければならないこと及び個人情報データを削除された後に技術的手段による復元を防止する措置を講じなければならないことについて明記しています。個人情報安全規範では、個人情報は、設定された保存期限を過ぎた場合に削除または匿名化しなければならないと規定されていることに対して、「削除」措置のみを残しており、期限を超えた個人情報の処理措置に対するより厳格な規定を設けています。
  3. 個人情報の共有と譲渡について、個人情報は原則として共有、譲渡してはならないと規定している一方、個人情報を共有・譲渡するには、個人情報セキュリティへの影響に対する評価を行わなければならないと規定しています。また、譲受人は、個人情報セキュリティ保護能力を評価し、譲受人が十分な能力を備えていることを保証しなければならないとされています。
  4. また、個人情報の保存については、「国内での運営において収集・発生した個人情報は国内に保存し、国外に移転する場合には国の関連規定に従う」ことが明記されています。クラウドサービスについて、個人情報にかかるクラウドコンピューティングプラットフォームを中国国内に設置しなければならないとし、国外に移転する必要がある場合は国の関連規定に従わなければならないと規定しています。

 

(6) ユーザパーソナとその利用

 処理を経て個人を特定することができず、かつ復元することができない個人データは、個人情報の主体と締結した利用規約及び契約の規定を超えて利用できるとされていますが、適切な保護措置を通じて保護しなければならないと明確に規定しています。
 データを利用して生成したユーザパーソナに対してユーザーの承認が必要か否かについては,個人情報安全規範は、「直接ユーザパーソナ」と「間接ユーザパーソナ」との概念のみを提示しているのに対して、ガイドラインは、ユーザーに与える影響及びその結果によって区別して、異なる要求を示しています。例えば、完全に自動化処理によるユーザパーソナ技術は、ポイントマーケティング、検索結果の序列、パーソナライズされたプッシュニュース、指向性広告の投入などに利用される場合、事前にユーザーの明確な同意を得なくてもよいが、ユーザーに反対または拒否する権利を確保しなければならないとされています。 上述の自動化処理以外の、信用調査サービス、行政司法政策決定などの、ユーザーに法的結果をもたらす可能性のあるアプリケーションに利用する場合、またはネットワーク運営者を跨いで利用する場合、ユーザーの明確な同意を得なければ、データを利用できないとされています。

 

(7) 応急処置

 個人情報セキュリティ事件が発生した場合の応急処置について明確な要求を設けています。プロセスから見ると、応急処置を「応急メカニズムと対応案」、「処置と対応」の2つの部分に分け、セキュリティ事件予防と処置の各ステップをカバーしています。注目すべき点としては、意見募集稿は、セキュリティ事件が発生した場合、「関連主管部門」に報告しなければならないと規定しているのに対し、ガイドラインは、セキュリティ事件が発生した場合、速やかに公安機関に報告しなければならないと初めて明確に規定しました。このほか、「国家サイバーセキュリティ事件応急対策」などの関連規定に基づき速やかにセキュリティ事件を報告しなければならず、報告内容には以下のものが含まれるが、これらに限定されない」と初めて規定しました:個人情報の主体の属性、個人情報の数量、内容、性質などの状况、事件がもたらす可能性のある影響、すでに取ったまたは取る予定の処置措置、事件の処置に関係する人員の連絡先。

 

 ガイドラインの発表は、個人情報保有者である企業や個人に、より詳細な個人情報保護の基準と規範を提供していますが、同時に、要求もより高く、かつ、より詳細になっています。今後の実務における動向をさらに注目すべきだと思われます。

 

 

中国のサービス詳細はこちら

中国弁護士(Not admitted in Japan)