中華人民共和国個人情報保護法(2021年11月1日施行)
第54条と第64条:個人情報保護コンプライアンス監査の基本的な法的枠組みを提供し、企業に監査義務の積極的な履行と規制への協力を求める。
ネットワーク・データ・セキュリティ管理規則(2025年1月1日施行)
第27条:ネットワークデータ処理者は、監査要件をさらに細分化するため、法令および行政法規を遵守した個人情報の取り扱いについて、自らまたは専門機関に委託して、定期的にコンプライアンス監査を実施する。
個人情報保護に関するコンプライアンス監査の運営に関する措置(2025年2月14日公布、2025年5月1日施行)
個人情報保護コンプライアンス監査のための最初のサポートルールが正式に導入された。
01 個人保険監査における原則から現実への重要なステップ
2025年2月14日個人情報保護コンプライアンス監査管理弁法」(以下、「弁法」という)が正式に発表され、中国の個人情報保護監督管理は「法整備」から「法執行深化」の段階に入った。このように個人情報保護法第54条の「定期的なコンプライアンス監査の実施」義務に付随する最初のルールとして、このスキームの導入は大きな意味を持つ:
(1)システム充填のための着陸条件の絞り込みブランクがある:そうしれいかん個人保護この文書の抽象的な要件は、26の具体的な監査指標(自動意思決定の透明性、未成年者情報保護の仕組みなど)に翻訳されている;
(2) 個別保険監査のきっかけを明確にするための責任の強化:1,000万人以上の情報を扱う」個人情報の処理業者に対して、少なくとも2年に1回の頻度で監査を義務付ける。情報セキュリティーインシデントまたはリスクが発生した場合、保護当局は、個人情報の処理者に対し、専門機関に委託して個人保護監査を実施するよう求めることができます;
(3)個人情報保護のための調整されたガバナンス・メカニズムの確立:企業自主検査+第三者監査+行政監督」の3層ガバナンスシステムが構築され、特に大規模プラットフォームは外部独立監督機関の導入が求められている。
ネットワークをフォローするデータセキュリティ管理弁法」の導入により、「弁法」は中国の個人情報保護分野における重要な立法パズルのピースとなった。同弁法の導入により、企業のコンプライアンス・コストは大幅に増加したが、個人情報データ集約型産業(通信・インターネット、金融、医療など)に対する従来の法的枠組みの曖昧さを明確にし、具体的で強制力のあるコンプライアンス・パスを提供した。
公開草案の発表から1年半が経過し、正式草案では、監査発動基準の引き下げや管理戦略の変更など、大幅な修正が加えられたが、これらはすべて、2024年に発表される「国境を越えたデータの流れの円滑化及び規制に関する規定」及び「ネットワークデータセキュリティ管理規定」が示す傾向に基本的に沿った、規制の包括性と柔軟性を反映したものである。本措置の正式草案で注目すべき変更点は以下の通りである:
I.強制監査の発動基準の引き上げ:1,000万人構成する分水嶺
個人情報保護コンプライアンス監査の強制的な発動基準値と実施頻度要件は、最も懸念される要素であり、「高い基準値、低い頻度」という一文に要約される。
|
個人情報量の閾値 |
周波数要件 |
閾値を下回る状況 |
| 最終版 |
1000万人以上 |
少なくとも2年に1回 |
明確な要件なし |
| パブリックコメント決議案 |
100万人以上 |
少なくとも年1回 |
少なくとも2年に1回 |
100万件」から「1,000万件」へ、弁法の正式草案では、個人情報保護コンプライアンス監査の強制発動基準値が大幅に引き上げられ、実施頻度も暴露草案の「100万件」から「1,000万件」に引き上げられた。少なくとも1年に1回」を「少なくとも2年に1回」に減らす。同時に、基準値を満たさない企業については、明確なコンプライアンス監査要件はなくなったが、個人情報保護法に基づく定期的な監査要件を満たす必要がある。同時に、基準値を満たさない企業については、明確なコンプライアンス監査の義務はなくなったものの、個人情報保護法に基づく定期的な監査の義務を履行する必要がある。 したがって、これらの企業は、リスクを適時に発見するために、事業の内容や個人情報の機微性に応じて、個人情報保護コンプライアンス監査を適時に実施することが推奨される!結局のところ、企業は「受動的な監査」の引き金を引きたくないはずである。
II.規制主導の「反応的監査」:3つのシナリオの確認
上記の「事前監査」メカニズムに加え、規制当局は、個人情報セキュリティ事件やリスクが発生した場合、専門機関にコンプライアンス監査を委託するよう企業に求めることができる。
スキームの公式草案では、3つの新しいシナリオが挙げられている:
(1)個人情報処理活動が個人の権利・利益に重大な影響を及ぼすおそれが高いと認められる場合、または安全対策が著しく不十分であると認められる場合;
(2) 多数の個人の権利利益を侵害するおそれのある個人情報処理行為;
(3) 100万人を超える個人情報または10万人を超える要配慮個人情報の漏えい、改ざん、滅失またはき損などの個人情報セキュリティ事故が発生した場合。
リスク事象の観点からは、「産業・情報技術分野におけるデータセキュリティ事故の緊急対応計画(試行版)」を参考に、「100万人以上の個人情報」または「10万人以上の個人情報」が関係する場合、すなわち、それ以上のデータセキュリティ事象が発生した場合、監督当局は、企業に個人情報保護に関するコンプライアンス監査の実施を求めることができる。本制度では、同一の個別の情報セキュリティインシデントやリスクについて、企業が繰り返し準拠性監査を実施する必要はないことを明確にしている。
III.監査形式の選択:自主監査または専門機関への委託
公式草案と公開草案のいずれにおいても、個人情報保護コンプライアンス監査の実施には、社内組織と第三者専門機関の両方が含まれる。
能動的な監査」という形式では、企業は実際のニーズに応じてコンプライアンス監査の実施方法を選択することができる。しかし、監督当局から個人情報保護のコンプライアンス監査を要求された場合、弁法では、「保護部門の要求に従い、専門機関を選定する」こと、専門機関が発行した監査報告書と修正書を保護部門に提出する必要があることを明確にし、具体的な実施期限を以下のように定めている:
|
監査報告書の提出期限 |
是正報告書の提出期限 |
| 最終版 |
ケースバイケースで決定され、企業は延長を申請することができる。 |
修正完了後15営業日以内 |
| パブリックコメント決議案 |
90営業日以内に延長を申請することができる。 |
不定 |
IV.第三者専門機関:認定を奨励し、監督を受け入れる
個人情報保護コンプライアンス監査では、第三者専門機関も重要な役割を担っており、コンプライアンス監査を実施するために明示的な資格が必要かどうかは大きな関心事となっている。
前回の草案では、「個人情報保護コンプライアンス監査のための専門機関の推奨カタログを制定」し、これらの機関を優先的に利用するよう企業に働きかけることが明記されていた。そして本弁法の公式草案では、「推薦カタログ」の関連規定が削除され、「関連専門機関の認証合格を奨励する」という規定が残されている。これは、カタログ推薦メカニズムが弱体化されただけで、ある程度までは、企業が資格のある機関を優先的に選んでコンプライアンス監査を実施すべきであることを依然として示唆している。
また、この措置は、個人情報保護のコンプライアンス監査を実施する第三者専門機関の定期的な交代と監督についても規定している:
(2) コンプライアンス監査を他の組織に再委託することはできない。
(3) コンプライアンス・オーディットは、同一の受審者に対して連続して3回を超えて実施してはならない。この要件は、専門家団体およびその関連団体、ならびにコンプライアンス・オーディットの担当者に向けられている。
個人情報保護のコンプライアンス監査を実施する専門組織について、「措置」は主に、専門的かつ独立した組織であるべきであり、同時に保護当局と国民による監督を受けるべきであると規定している。また、認証メカニズムを奨励することで、専門組織の参入の敷居を上げ、「規制指導+市場選択」という良性の生態系を形成している。
V. その他:個人情報保護責任者による基準値の設定
個人情報保護法第52条は、個人情報の取り扱いが「国家ネット情報局が定める量」に達した場合、個人情報を取り扱う企業に個人情報保護責任者を指名することを義務付けているが、「規定量」の最終回答を明らかにする関連文書がないまま3年以上が経過し、今回、弁法の公式草案で最終決定された--。規定数量」についての最終回答は、本弁法の公式草案でようやく決定された。取扱人数が100万人を超える個人情報取扱事業者は、個人情報保護コンプライアンス監査責任者を兼務する個人情報保護管理責任者を定めなければならない。
今回の措置で個人情報保護責任者の設置条件が明確化されたことで、企業に対して個人情報保護責任者の連絡先の開示や、監督官庁への氏名・連絡先の報告義務など、個人情報保護法の要求事項がさらに深化していくことが予想される。
03個人情報保護コンプライアンス監査ガイドラインのコアフレームワーク
本措置の公表に伴う重要な事項として、公開草案における「個人情報保護コンプライアンス監査のための参考事項」が、「個人情報保護コンプライアンス監査ガイドライン」に名称変更されました。公開草案のバージョンと比較して、正式草案の監査ガイドラインは、多くの点で合理化・最適化されており、例えば、自動意思決定シナリオにおけるアルゴリズムモデルの安全性評価、技術倫理の提出と審査、大規模インターネットプラットフォームの独立機関及び外部メンバーの監督要件の審査が削除され、その結果、監査項目は26項目となり、全体として下表のように分類されています:
個人情報保護コンプライアンス監査ガイドライン
監査ガイドラインは、「リスクの特定-コンプライアンスの検証-ダイナミックな改善」の大綱に基づき、リスクの高い特定のシナリオ(未成年者の保護、国境を越えた送信、自動意思決定など)について差別化された審査基準を設定し、個人情報保護における以下の原則を遵守するよう企業に求めている。原則
(1) 合法性の根拠が優先される:個人情報の取り扱いにおける「適法性、正当性、必要性」の原則を重視し、特に「同意」の妥当性(個別同意、再同意メカニズムなど)に留意する。
(2)シナリオに基づく階層管理:自己点検をリスクの高いシナリオ(未成年者の情報、生体情報など)に集中させ、「高リスク、高義務」の原則を明確にする。
(3) 技術と経営は車の両輪である:技術的セキュリティ対策(暗号化、非識別化など)の有効性と、内部管理システム(緊急時計画、研修プログラムなど)の完全性の両方が求められる。
監査ガイドラインの26の監査要求は、企業に個人情報保護コンプライアンス監査を実施するための明確な審査範囲を与え、実際の監査の実施は、国家標準「データセキュリティ技術個人情報保護コンプライアンス監査要求」(意見募集中)を参照することができるようになった。この国家標準は、個人保護コンプライアンス監査の具体的な運用を詳細に規定し、監査プロセス、監査証拠、監査内容、監査方法などを網羅し、監査草案テンプレート、監査報告書テンプレートなどの参考資料を提供し、個人保護コンプライアンス監査を実施するための参照可能な実施枠組みを提供する。また、監査草案テンプレートや監査報告書テンプレートなどの参考文書を提供し、個人保険コンプライアンス監査を実施するための参照可能な実施枠組みを提供している。
個人情報保護コンプライアンス監査の実施プロセス(参考))
個人情報保護コンプライアンス監査管理弁法」が正式に公布され、監査要求の国家標準も近く正式に公布される予定であり、企業が自ら監査を実施する場合、または第三者の専門機関に委託する場合、これを参考にして実施することができる。
個人情報保護コンプライアンス監査は、個人情報保護法の普遍的なコンプライアンス要求事項から派生したものであり、弁法に基づき、1000万人以上または100万人以上の個人情報を取り扱う個人情報取扱事業者に対してのみ、監査の頻度と範囲について差別化された要求事項が設けられている。同弁法は2025年5月1日から正式に実施される予定であり、実務遵守の観点から、同弁法の要求事項を参考に、企業は事前に準備と作業計画を立てる必要がある:
(1) リスクマップの設定ガイドラインの27の規定に対するギャップ分析を実施し、高頻度の罰則(例:有効な同意の不取得、過剰な徴収、国境を越えた違反)の是正のための分野の優先順位を決定する。
(2) ガバナンス体制の改善専任の個人情報保護管理者を設置し、部門横断的な調整を行う権限を与える。また、「管理より技術重視」にならないよう、システム、技術、人材の3要素からなるコンプライアンス体制を構築している。
(3) シナリオに基づくコンプライアンス設計:自動意思決定、未成年者保護、顔認証、国境を越えた送信などの重要なシナリオについて、特別なコンプライアンス・ガイドラインを策定する。
(4) 動的な反応メカニズム:個人情報保護影響評価報告書を四半期ごとに更新し、是正のための証拠チェーンを保持する。定期的な内部監査と規制当局の模擬検査を実施し、不測の事態に備えた仕組みが実施可能であることを確認する。
元記事はサイバー・インスティテュートによるもので、転載の際はhttps://cncso.com/jp/個人情報保護コンプライアンス監査-html。
