に対して個人保護新たな経営・コンプライアンスの要請に伴い、さまざまな業界・企業の参考となる「12の主要対応策」をまとめました。また、特定の業界の状況やニーズに基づいて、さまざまな業界がこれらの対応をどのように実行できるかについての推奨事項も提供します。 「12の主要対応策」は以下のとおりです。
個人情報の分類・階層的管理体制を確立します
個人情報保護組織を設置し、要件を満たした場合には個人情報保護責任者を任命します。
個人情報の完全なライフサイクル管理体制を確立する
個人情報主体認可管理プラットフォームを構築し、企業のアクセス権管理システムと連携する
個人的なものを構築する情報セキュリティー影響評価システム
個人情報セキュリティ事故に対する緊急対応体制と、規制当局と協力して調査・証拠を収集するプロセスを確立します。
個人情報受託者管理体制の確立
個人情報主体が権利を行使するための申請受付および処理メカニズムを確立する
個人情報保護遵守監査体制の確立
個人情報セキュリティ教育・研修制度の確立
個人情報の国境を越えた送信に対する安全性評価制度の確立
ユーザープロファイリング、ビッグデータ分析、アプリケーション(APP)による人工知能などのハイテク技術の使用を検討し、暗号化や匿名化などのプライバシーコンピューティング技術を最大限に活用するためのプライバシー設計システムを確立します。
以下の図は、これらの「12 の主要な対応策」を個々の法的保護の枠組みにおけるニーズに対応させたものです。
金融業界における「12大対策」の具体的な適用については、以下のとおりです。
- 個人情報の分類・階層的管理体制を確立します
個人保護法第51条では、個人情報処理事業者は「個人情報の機密管理」を義務づけており、多くの金融機関はこれまでデータガバナンスプロジェクトにおいてメタルデータを機密扱いに取り組んできたが、一般にセキュリティの観点からの意見は不足している。 。
2020 年 10 月 1 日に発効した GB/T 35273-2020「個人情報セキュリティ仕様」3.1 および 3.2 では、個人情報および個人の機密情報が定義され、付録 A および B で決定方法と種類が規定されています。
中央銀行によって公布され、2020 年 2 月 13 日に発効する JR/T 0171-2020「個人金融情報の保護に関する技術仕様」の 3.2 および 3.3 では、個人金融情報および支払いの機密情報の定義が規定されており、それらは 4.1 に記載されています。 4.2. 詳細な説明と分類:
C3:利用者識別情報
C2: ユーザー識別情報、財務状況情報、主要な製品およびサービス情報
C1:金融機関による個人金融情報の内部利用
中央銀行はJR/T 0197-2020「金融規則」を公布し、2020年9月23日に発効した。データセキュリティグレーディング ガイドは、広義の財務データの階層的セキュリティ保護をさらに標準化しており、財務データ セキュリティの機密かつ階層的な管理のための最も詳細なガイドです。このうち、3.10 では財務データを定義し、3.11 の個人財務情報の定義は、「個人金融情報の保護に関する技術仕様」の 3.2 の定義と完全に一致しており、2 および 4.3 では、その原則と範囲がさらに明確になっています。格付け; セクション 5 では、財務データのセキュリティ格付け、動的なレベル変更管理、および重要なデータの識別の要素、ルール、プロセスについて詳しく説明します。
付録 A には、典型的な財務データの格付けルールの参照表が詳細にリストされています。個人財務データのリストはより完全かつ詳細であり、「個人財務保護のための技術仕様」の C3、C2、および C1 に完全に対応しています。 「個人情報セキュリティ仕様書」における個人情報および個人機密情報と同様に、以下の表に示すとおりです。金融機関は、参照表の粒度と単位の実際の状況に基づいて分類および格付け作業を実行することが推奨されます。
JR/T0197 | JR/T0171 | GB/T 35273 |
レベル4:個人のプライバシーに重大な影響を与える情報従来の認証情報(銀行カードの追跡データ (またはチップと同等の情報)、カード検証コード (CVN および CVN2)、カードの有効期間、銀行カードのパスワード、オンライン支払い取引パスワード、アカウント ログイン パスワード、取引パスワード、クエリ パスワードなど)プライベート性の低い生体情報(顔、声紋、歩き方、耳紋、瞳紋、筆跡など)強力なプライバシー生体認証情報(指紋、虹彩など) | C3 | 機密性の高い個人情報 |
レベル 3: 個人のプライバシーに重大な影響を与える情報基本的な個人プロフィール情報(氏名、性別、国籍、民族、婚姻、証明書、住所など)個人の財産情報(収入、不動産、車、税金、積立金、社会保障、医療保険など)個人の連絡先情報(携帯電話、固定電話、メール、WeChat IDなど)個人の健康および生理学的情報(症状、入院記録、医療オーダー、検査報告書、外科麻酔記録、看護記録、投薬記録、アレルギー情報、不妊情報、病歴、診断と治療、家族の病歴、現在の病歴、感染症の病歴など)個人の位置情報(国、都市、地域、番地、経度、緯度など)個人識別情報(動的パスワード、SMS 認証コード、パスワードを求める質問への回答、動的声紋パスワードなど)個人信用情報(融資情報、返済情報、延滞情報)個人的な関係情報(両親、子供、兄弟、配偶者、社会的関係)ラベルの基本情報(学歴、職業などの基本属性に基づく個人タグ)関係タグ情報(家族関係、職業関係、ビジネス関係などの関連属性に基づいて構築された個人タグ) | C2 | 機密性の高い個人情報 |
レベル 2: 個人のプライバシーに中程度またはわずかに影響を与える情報個人教育情報(学部、学科、学歴、学位、学科、入学年月日、卒業年月日など)個人情報および職業上の情報(単位、役職、勤務地、収入、始業時刻、終業時刻等)個人資格証明書情報(証明書番号、発行機関、発効日、有効期限など)政党および政府の個人情報(パーティー、参加時間)官民関係情報(求人情報)個人の行動情報(オンラインおよびオフラインでの相談、購入、使用記録、閲覧記録、運転習慣など)その他のタグ(署名ラベル、取引ラベル、行動ラベル、マーケティングサービスラベル、リスクラベル、価値ラベル) | C1 | 個人情報 |
- 個人情報保護組織を設置し、要件を満たした場合には個人情報保護責任者を任命します。
個人保護法第 52 条では、個人情報処理業者は「国家サイバーセキュリティ・情報化部門が指定する量まで個人情報を処理し、個人情報処理活動を監督する責任を負う個人情報保護責任者を任命し、第 66 条の法的責任は、「この法律の規定に違反して個人情報が処理された場合、またはこの法律に規定された個人情報保護義務を履行せずに個人情報が処理された場合…直接の責任者」と規定しています。責任者およびその他の直接責任者は 10,000 元以上の罰金、100,000 人民元以下の罰金、重大な場合には...直接責任者およびその他の直接責任者は 100,000 人民元以上の罰金に処される。 100万元以下で、一定期間内に関連企業の取締役や監督者としての職務を禁止する決定を下すことができる。上級管理者および個人情報保護責任者」
個人情報保護責任者は、GDPR に規定される DPO に相当し、その職務責任については、JR/T 0171-2020「個人金融保護に関する技術仕様」の 7.2.2.B の推奨事項を参照してください。情報":
金融機関の個人金融情報セキュリティ管理システムの策定と管理を担当します。
プライバシー ポリシーおよび関連手順を開発、実装し、定期的に更新します。
組織内および組織と外部パートナー間の個人財務情報の安全管理を監督します。
情報セキュリティ管理の内部監査を実施し、情報セキュリティ関連のインシデントを分析および処理します。
個人金融情報セキュリティ影響評価を整理および実施し、個人金融情報保護のための対策および提案を提案します。
金融商品またはサービスがオンラインでリリースされる前に技術テストを組織し、未知の(金融商品またはサービスの機能およびプライバシーポリシーと矛盾する)個人金融情報の収集、使用、共有、およびその他の処理を回避します。
苦情・異議申し立ての方法に関する情報を公開し、個人金融情報に関する苦情・異議申し立てを速やかに受け付けます。
より包括的な個人金融情報保護の組織構造については、2021 年 4 月 8 日に中央銀行によって公布され発効された JR/T0223-2021「金融データ ライフ サイクル セキュリティ仕様」のセクション 8「データ セキュリティの組織的保証」を参照してください。
金融機関は、データセキュリティ管理委員会を設置し、意思決定、管理、執行、監督の4段階にわたるトップダウンのデータセキュリティ管理体制(上図参照)を確立し、組織構造や役職設定を明確にし、データのライフサイクルのセキュリティを確保し、保護要件を効果的に実装します。
- 個人金融情報の完全なライフサイクル管理システムを確立する
個人保護法第 4 条では、個人情報の処理には「個人情報の収集、保管、利用、処理、送信、提供、開示、削除等」が含まれ、個人情報のライフサイクル全体を対象とすることが明確に定義されています。 5-32条は、それに対応するさまざまな詳細な要件を規定します。金融機関は、あらゆる関係において個人保護法の要件を動的に満たすために、個人金融情報のライフサイクル全体をカバーする管理システムを確立する必要があります。
JR/T 0171-2020「個人金融情報の保護に関する技術仕様」のセクション 6 および 7 では、個人金融情報のライフサイクルに関する技術要件と管理要件がそれぞれ規定されています。 JR/T0223-2021「財務データのライフサイクルセキュリティ仕様」は、ライフサイクルの観点から財務データ全体に対するより完全かつ体系的なセキュリティ要件を提案しています。
によるとサイバーセキュリティJR/T0071.2-2020「金融業界におけるサイバーセキュリティ レベル保護の実装ガイドライン」は、Level Protection 2.0 によって更新され、2020 年 11 月 11 日に発効し、金融業界の個人情報保護の強化された要件 (7.1. 4.11、8.1.4.11、9.1.4.11)に基づき、一般分類保護 2.0 における個人情報保護の要件が 2 から 6 に拡張され、特にライフサイクル全体の管理、制御、検査、評価の要件が強化されました。表示と開発の要件、リンクのテスト、共有、転送の要件。
いくつかの仕様は比較的うまくマッピングでき、組み合わせることで基本的には個々の法的保護における対応する要件を満たすことができます (以下を参照)。
- 個人情報主体認可管理プラットフォームを構築し、企業のアクセス権管理システムと連携する
個人保護法第 13 条では、個人情報の収集と処理については、個人情報主体の許可と同意が主な法的根拠であると規定しており、第 23 条、第 25 条、第 26 条、第 29 条、および第 39 条でも、それぞれ、個人情報を提供する場合と、個人情報を提供する場合とを規定しています。第三者への公的処理、公共の場で収集した個人情報の他の目的での利用、機密性の高い個人情報の収集と処理、海外への提供などの5つの場合には、個人情報主体の別途の同意が必要となります。第 15 条は、個人情報主体に同意を撤回する権利を与えます。したがって、金融機関は、個人保護法の要件を満たすために、個人金融情報のライフサイクル全体をカバーするために、個人情報主体の認証を企業のアクセス制御システムと動的にリンクできるプラットフォームを確立する必要があります。
統合認可管理基盤は、下図に示すように、タグ等による個人情報主体(顧客)の明示的な認可により、収集したデータに「認可属性」を付与し、認可属性に基づくアクセス制御(Attribute Base Access Control)を確立します。 - ABAC) をこれらのデータに適用し、エンタープライズ レベルの ID 認証およびアクセス制御システムで一般的に使用されるロールベースのアクセス制御 (Role Base Access Control – RBAC) と組み合わせて、さまざまなアプリケーション システムやビジネス プロセス リンクに適用します。個人情報のライフサイクルに関わる動的調整を実現します。
- 個人情報セキュリティ影響評価制度の確立
個人保護法第 55 条では、個人情報セキュリティ影響評価は以下の状況で実施することが求められています。
(1) 機密性の高い個人情報の処理。
(2) 自動化された意思決定のために個人情報を使用する。
(3) 個人情報の処理の委託、他の個人情報処理業者への個人情報の提供、及び個人情報の開示。
(4) 個人情報を海外に提供する場合
(5) その他個人の権利利益に重大な影響を与える個人情報の処理行為。
第 56 条では、個人情報保護影響評価には次の内容を含めるべきであると規定しています。
(1) 個人情報の処理の目的および方法が適法、正当かつ必要なものであるかどうか。
(2) 個人の権利とセキュリティリスクへの影響。
(3) 講じられた保護措置が合法的かつ効果的であり、リスクのレベルに見合ったものであるかどうか。
個人情報保護影響評価報告書および処理記録は、少なくとも 3 年間保存する必要があります。
GB/T 39335-2020「個人情報セキュリティ影響評価のガイドライン」は、個人情報セキュリティ影響評価の基本原則と実施プロセスを規定し、評価の要点、高リスクの個人情報処理活動の例、および付録には一般的に使用されるツールのリストと参照方法が含まれており、非常に実用的な国家標準であり、金融機関はこれを使用して、実情に基づいた独自の個人金融情報セキュリティ評価システムを構築できます。次の図は、この国家規格が推奨する具体的な評価手順を示しています。
別紙B「リスクの高い個人情報処理行為の例」によれば、金融機関は以下の点に注意する必要があります。
データ処理には、個人データ主体の評価またはスコアリング、特に個人データ主体の仕事のパフォーマンス、経済状況、健康状態、好みまたは興味の評価または予測(ライフスタイル、健康状態に基づく融資前の信用分析など)が含まれます。 )プレミアム設定決定等)
個人に重大な影響を与える司法判断やその他の決定を提供するための自動分析に個人情報を使用する (ユーザー プロファイリングによるユーザー固有の好みに基づいたマーケティング プランの設定など)
収集される個人の機密情報の量と割合は多く、収集頻度も高く、個人の経験、考え、意見、健康、財務状況などと密接に関連しています。
さまざまな処理アクティビティからのデータセットを照合および結合して、ビジネス (不正防止、リスク管理など) に適用します。
データ処理には、未成年者、患者、高齢者、低所得者などの弱い立場にある人々が関与します。
生体認証、モノのインターネット、人工知能などの革新的なテクノロジーまたはソリューションの適用 (人工知能カスタマー サービスなど)
個人情報の処理により、個人情報主体が権利を行使したり、サービスを利用したり、契約上の保護(潜在的な顧客に対する信用判断を行うなど)を得ることができなくなる可能性があります。
付録D「個人情報セキュリティ影響評価参考方法」には、「影響レベル」と「可能性レベル」の2つの側面で総合的に評価するためのリスクレベル判定表も記載されています。
- 個人情報セキュリティ事故に対する緊急対応体制と、規制当局と協力して調査・証拠を収集するプロセスを確立します。
個人保護法第51条では、個人情報処理事業者は「個人情報セキュリティ事故に対する緊急計画を策定し、実施しなければならない」と規定し、第57条では「個人情報の漏洩、改ざん若しくは滅失が発生し、又は発生するおそれがある場合には、 「個人情報処理者は、直ちに是正措置を講じ、個人情報保護の責任を負う部門および個人に、通知が必要な具体的な内容を通知しなければならない。」 第 63 条は、個人情報保護部門に調査および証拠を収集する権利を与えています。金融機関は、この法律の要件を遵守し、「緊急事態に対応した銀行および保険機関の金融サービス管理の措置」、GB/T 38645「サイバーセキュリティインシデントに対する緊急訓練のガイドライン」、および「上海」を参照する必要があります。 「サイバーセキュリティインシデント緊急対応計画(2019年版)」など 個人情報の漏洩、改ざん、紛失などに対する緊急対応計画を策定します。
- 個人情報受託者管理体制の確立
個人保護法第22条では、「委託先は、契約に従って個人情報を処理し、委託契約が有効でない場合、無効である場合には、合意された処理目的、処理方法等を超えて個人情報を処理してはならない」と規定されています。受託者は、個人情報の処理を委託された者が行うものとし、個人情報は処理者に返却または削除され、保有されず、個人情報処理者の同意がない限り、第三者に個人情報の処理を委託しません。第 55 条では、「受託者は、本法および関連法令および行政法規の規定を遵守し、処理される個人情報の安全性を確保するために必要な措置を講じ、個人情報処理業者が本法に基づく義務を履行するのを支援しなければならない」と規定されています。 「金融機関は、「データ ライフ サイクル セキュリティ仕様」の 8.4 の要件に従って、中国銀行業監督管理委員会の情報技術アウトソーシング リスクに関する独自の一連の規制と JR/T0223-2021「財務管理」を組み合わせることができます。
- 個人情報主体が権利を行使するための申請受付および処理メカニズムを確立する
個人保護法第 4 章の第 44 条から第 49 条は、個人情報主体に一連の権利を与え、第 50 条で「個人情報処理業者は、個人がその権利を行使するために便利な申請受付および処理の仕組みを確立すること」を要求しています。個人情報主体は、申請が却下された場合には訴訟を起こす権利を有し、さらに第 70 条では、関連部門および組織が公的訴追を開始する仕組みを規定している。
「利便性」の要件の観点から、金融機関は、特にAPPや公的口座などのさまざまなオンラインチャネルを考慮して、オムニチャネル受け入れプラットフォームの確立に最善を尽くす必要があります。
- 個人情報保護遵守監査体制の確立
個人保護法第 54 条は、「個人情報処理業者は、個人情報を取り扱う際の法令および行政法規の遵守状況について、定期的に遵守監査を実施しなければならない」ことを義務付けており、第 64 条では、関係部門に対し、「個人情報処理業者は、専門機関に遵守監査を委託すること」を義務付けています。個人情報処理活動の概要」。第 58 条では、「重要なインターネット プラットフォーム サービスを提供し、多数のユーザーを抱え、複雑な業態を有する個人情報処理業者」に対して、「個人情報の保護を監督するために外部メンバーを主とする独立した機関を設立すること」と「個人情報保護に関する規則を定期的に公表すること」を義務付けています。社会的責任を報告し、社会的監督を受け入れる」
金融機関は、JR/T0223-2021「財務データ ライフ サイクル セキュリティ仕様」の 8.1.d に従ってセキュリティ監査を明確にすることができます。
コンプライアンス監査、リスク管理、およびその他の関連職は、データ セキュリティ管理の監督層として、次の職務責任を実行する必要があります。
1) 組織のデータ関連ビジネスの実際の状況に基づいて、監査サイクル、監査方法、監査形式などを含むがこれらに限定されない、対応する監査戦略と仕様を決定します。
2) データセキュリティポリシーとガイドラインの実施を監督します。
3) 苦情や報告方法などの情報を公開し、データセキュリティやプライバシー保護に関する苦情や報告を速やかに受け付けます。
4) 内部データセキュリティ監査と分析を実施し、問題とリスクを特定してフィードバックを提供し、組織のその後の是正作業を監督します。
5) 外部監査に係る組織及び調整業務に協力する。
- 個人情報セキュリティ教育・研修制度の確立
個人保護法第 51 条では、「従業員に対する定期的な安全教育と訓練」が義務付けられています。トレーニング計画を作成するには、「財務データ ライフ サイクル セキュリティ仕様」の 8.3.b の要件を参照してください。
1) 研修計画に基づき、関連する国内法令、業界規則、技術基準、社内のデータセキュリティ関連のシステムや管理手順などのデータセキュリティ意識の教育・訓練を定期的に実施します。金融業界機関等の研修を実施し、その結果を評価・記録・保管します。
2) 高セキュリティレベルのデータに濃厚接触する担当者に対するデータセキュリティ意識の教育・訓練を定期的に実施し、オフィスデータの定期的な削除に対する意識の醸成と、定期的なデータ削除の自己点検を実施します。
3) データ セキュリティ管理のフルタイムおよび主要担当者を対象に、少なくとも年に 1 回、特別なデータ セキュリティ トレーニングを実施します。
4) 少なくとも年に 1 回、またはプライバシー ポリシーに大きな変更があった場合は、データ セキュリティの主要なポジションの担当者に対して専門的なトレーニングと評価を実施し、担当者がプライバシー ポリシーと関連手順に習熟していることを確認します。
すべての従業員に対する個人情報セキュリティ意識の構築には、通常、トレーニング内容、評価と追跡、コミュニケーション計画、意識文化の 4 つの部分が含まれます。
- 個人情報の国境を越えた送信に対する安全性評価制度の確立
個人保護法の第 38 条から第 43 条は、個人情報の国境を越えた転送を規制しています。以下は、個人金融情報のローカリゼーションおよび国境を越えた送信に関して金融機関に適用される法律、規制、および国家および業界の標準規定の概要です。
」サイバーセキュリティ法》第37条:
中華人民共和国領域内での業務中に重要な情報インフラストラクチャの運営者によって収集および生成された個人情報および重要なデータは、中華人民共和国領域内で保管されるものとします。ビジネス上の必要性により、実際に海外に情報を提供する必要がある場合、国家サイバーセキュリティ・情報化部門が国務院の関連部門と協力して策定した方法に従ってセキュリティ評価を実施するものとする。
b.データセキュリティ法》第26条:
中華人民共和国に対し、データやデータ開発・活用技術に関する投資、貿易等に関して差別的な禁止、制限等の差別的な措置を講じている国又は地域がある場合、中華人民共和国は当該国に対して制限を課す可能性があります。または地域の実情に応じて対応し、対策が講じられるのを待ちます。
c. データセキュリティ法第 31 条:
中華人民共和国サイバーセキュリティ法の規定は、中華人民共和国領域内での業務において重要な情報インフラストラクチャの運営者によって収集および生成される重要なデータの送信セキュリティ管理に適用されます。他のデータ処理業者はデータを収集および生成します。生成された重要なデータの外部への安全管理のための措置は、国家サイバーセキュリティおよび情報化部門が国務院の関連部門と協力して策定するものとする。
d. データセキュリティ法第 36 条:
中華人民共和国の管轄当局は、関連する法律、中華人民共和国が締結または同意した国際条約および協定に従って、または平等の原則に従って、外国の司法機関または法執行機関からのデータ要求を処理するものとします。そして互恵性。中華人民共和国の管轄当局の承認がない限り、国内の組織および個人は、中華人民共和国の領域に保存されているデータを外国の司法機関または法執行機関に提供することはできません。
e.」個人情報保護法》第40条:
国家サイバーセキュリティ・情報化部門が指定した量の個人情報を取り扱う重要情報インフラ運営者および個人情報処理業者は、中華人民共和国の領域内で収集および生成された個人情報を中華人民共和国の領域内で保管しなければならない。本当に海外に提供する必要がある場合は、国家サイバーセキュリティ情報化部門が主催するセキュリティ評価に合格する必要があります。
f.「個人情報保護法」第41条:
中華人民共和国の管轄当局は、関連する法律および中華人民共和国が締結または同意した国際条約および協定に従って、国内で保管されている個人情報の提供を求める外国の司法機関または法執行機関からの要求に対処するものとします。または平等と互恵の原則に従って。中華人民共和国の管轄当局の承認がない限り、個人情報処理業者は、中華人民共和国の領域内に保管されている個人情報を外国の司法機関または法執行機関に提供してはなりません。
g.「個人情報保護法」第42条:
海外の組織または個人が中華人民共和国国民の個人情報の権利を侵害する、または中華人民共和国の国家安全保障または公共の利益を危険にさらす個人情報処理活動に従事している場合、国家サイバーセキュリティおよび情報化部門は以下を含む場合があります。個人情報の提供の制限または禁止の一覧表に掲載し、公表し、個人情報の提供の制限または禁止等の措置を講じます。
h. 個人情報保護法第 43 条:
中華人民共和国に対して個人情報保護の観点から差別的な禁止、制限等の差別的な措置を講じている国又は地域がある場合には、中華人民共和国は、その実情に応じて当該国又は地域に対して対抗措置を講じることができるものとします。
i. 証券法第 177 条:
海外の証券監督機関は、中華人民共和国領域内で調査や証拠収集、その他の活動を直接行うことは認められていない。国務院証券監督管理当局および国務院の関連主管部門の同意がない限り、いかなる組織または個人も、許可なく海外の証券事業活動に関連する文書および情報を提供することはできません。
j. マネーロンダリング防止法第 5 条:
法律に従ってマネーロンダリング防止義務または義務を履行することによって取得される顧客の身元情報および取引情報は機密として扱われ、法の規定に従う場合を除き、いかなる組織または個人にも提供されません。
k. 「サイバーセキュリティ審査措置 - 意見募集の改訂草案」第 6 条:
100万人を超えるユーザーの個人情報を保有し、海外で上場を希望する事業者は、サイバーセキュリティ審査室にサイバーセキュリティ審査を申請する必要があります。
l. 「サイバーセキュリティ審査措置 - 意見募集の改訂草案」の第 10 条:
製品やサービスの使用によって引き起こされる重要な情報インフラストラクチャの違法な制御、妨害、または破壊のリスク
製品やサービスの供給停止による重要な情報インフラの事業継続に対する危険
安全性、公開性、透明性、製品やサービスの供給元の多様性、供給チャネルの信頼性、政治、外交、貿易、その他の要因による供給中断のリスク。
製品およびサービスプロバイダーの中国の法律、行政規制、部門規則の遵守。
基幹データや重要データ、大量の個人情報が盗難、漏洩、破損、不正利用、海外に輸出されるリスク。
海外に上場された後、重要な情報インフラ、コアデータ、重要なデータ、または大量の個人情報が外国政府によって影響を受け、管理され、悪用されるリスクがあります。
m. 「個人金融情報(データ)の保護に関する試行措置」第 20 条および「個人金融情報の保護に関する技術仕様」の 7.1.3.d は、いずれも次のように規定しています。
中華人民共和国領域内で金融商品またはサービスの提供中に収集および生成された個人金融情報は、中華人民共和国領域内で保存、処理、分析されるものとします。 。ビジネス上の必要により、個人財務情報を海外の機関(本社、親会社または支店、子会社、および事業を遂行するために必要なその他の関連機関を含みます)に提供する必要がある場合、具体的な要件は次のとおりです。
国内法規制および業界当局の関連規制を遵守する必要があります。
個人金融情報の主体から明示的な同意を得る必要があります。
個人金融情報の輸出セキュリティ評価は、海外機関のデータセキュリティ保護能力が国、関連業界部門、金融機関のセキュリティ要件を確実に満たすように、国および関連業界部門が策定した方法と基準に従って実施する必要があります。 ;
海外機関との協定締結や立入検査等を通じて、個人金融情報の機密保持、データ削除、事件支援など海外機関の責任と義務が効果的に履行されているかを明確にし、監督する必要がある。
n. 「個人情報の海外移転の安全性評価に関する措置 – 意見募集案」の第 2 条:
中華人民共和国領域内での業務中に収集した個人情報を海外に提供(以下、個人情報輸出という)するネットワーク事業者は、本措置に従って安全性評価を実施しなければならない。安全性評価により、個人情報の輸出が国家安全保障に影響を及ぼし、公共の利益を損なう可能性があると判断された場合、または個人情報の安全性を効果的に保護することが困難であると判断された場合には、輸出は許可されません。
ほぼすべての法律や規制には出国時の安全性評価の要件が記載されており、中央銀行は現地での個人金融情報の「保管、処理、分析」には安全性評価と出国旅行の承認が必要であることを明確にしている。個人保護法の第 38 条でも次のように明確にされています。
個人情報処理業者がビジネス上の必要により中華人民共和国の領域外に個人情報を提供する必要がある場合は、次のいずれかの条件を満たしている必要があります。
(1) この法律第 40 条の規定に従って、国家サイバーセキュリティ情報化部門が主催するセキュリティ評価に合格する。
(2) 国家サイバースペース部門の規定に従い、専門機関から個人情報保護認証を取得する。
(3) 国家サイバーセキュリティ情報化部門が策定し、両当事者の権利と義務を規定する標準契約に従って、海外受領者と契約を締結する。
(4) 法律、行政法規、または国家サイバーセキュリティおよび情報化部門によって定められたその他の条件。
また、個人情報処理事業者は、海外の受領者の個人情報処理活動がこの法律に定める個人情報保護基準に適合するよう必要な措置を講じなければなりません。
現時点では、「個人情報転送の安全性評価の方策-意見募集草案」も「データ転送の安全性評価に関するガイドライン-意見募集草案」もまだ発効していない。ただし、金融機関自体が個人情報の海外への転送に関するより包括的かつ完全なセキュリティ評価システムを備えていない場合、業務上の必要性により実際に個人情報を海外に転送する必要がある場合には、セキュリティ評価を実施することをお勧めします。まだ発効していないこれら 2 つの規制および基準に従って監督当局に提出し、報告書を提出して承認を得ます。
「データ転送セキュリティ評価ガイド – コメント草案」によると、まず個人情報の海外転送の合法性、正当性、必要性を確保する目的の評価を実施し、次に情報自体と個人情報のセキュリティへの影響を評価する必要があります。データの送信者と受信者 セキュリティ評価を実施するための管理能力と技術的能力:
表 3: 個人の権利と利益、国家安全保障、経済発展および社会公益への影響のレベルの決定
表 4: 送信者と受信者のセキュリティ保証機能
表5:セキュリティインシデント可能性レベル判定表
表 6: セキュリティ リスク レベルを決定するための参照表
ガイドライン 4.2.5 によると、「評価後、データ輸出計画が輸出目的評価における合法性、正当性および必要性の要件を満たしていない、またはデータ輸出セキュリティ リスク評価における出口セキュリティ リスクが高いまたは非常に高い場合、個人情報および重要なデータはエクスポートできません」
- ユーザープロファイリング、ビッグデータ分析、アプリケーション(APP)による人工知能などのハイテク技術の使用を検討し、暗号化や匿名化などのプライバシーコンピューティング技術を最大限に活用するためのプライバシー設計システムを確立します。
個人保護法第73条では、自動意思決定について「コンピュータプログラムを通じて個人の行動習慣、興味、経済、健康、信用状況等を自動的に分析・評価し、意思決定を行う活動をいう」と定義している。第 24 条では、ビッグデータとアルゴリズムに対して具体的な要件を定め、一線を引いており、特に「ビッグデータが親しみを殺す」現象を防ぐために「取引価格およびその他の取引条件に関して個人に対する不当な差別的取扱い」が追加されていると付け加えています。さらに、「個人情報セキュリティ仕様書」の 7.4 では、ユーザーの肖像画の使用にも制限を設けており、商用プッシュを行う場合には間接的なユーザーの肖像画の使用を義務付けています。金融機関はプライバシー設計システムを確立し、製品開発とサービスのあらゆる側面にデフォルトプライバシーの概念を導入する必要があります。
個人保護法第 73 条は匿名化と匿名化を定義しており、第 51 条は個人情報処理業者に「適切な暗号化、匿名化、その他のセキュリティ技術的措置を講じること」を義務付けており、金融機関は JR/T 0171- の特定の要件に従うことができます。暗号化と匿名化については 2020 年の「個人金融情報の保護に関する技術仕様」で規定されており、必要な場合に適切な暗号化と匿名化技術を使用するには、GB/T 37964-2019「個人情報の匿名化に関するガイドライン」を参照してください。シナリオ。
金融業界におけるプライバシー コンピューティング技術の適用を促進するために、中央銀行は特別に JR/T 0196-2020「マルチパーティ セキュア コンピューティング金融アプリケーションの技術仕様」(MPC) を発行し、セキュリティとパフォーマンスの要件を提案しました。次の図は、主要なプライバシー コンピューティング テクノロジーの比較を示しています。
今後、プライバシーコンピューティング技術がさらに発展すれば、範囲や性能の面でさまざまな金融ビジネスシナリオのニーズに応えることができ、例えば、信用報告と国境を越えたデータ。すべての金融機関は、プライバシーコンピューティング技術の発展に細心の注意を払い、積極的に試行する必要があります。
最後に、コンサルティング会社のデロイト社の「個人情報管理システムの全体フレームワーク」をおすすめしたいと思います。
そして、この記事で繰り返し推奨している3大中央銀行が発行する金融基準は、これら「12大対応策」の実現に役立つ可能性がある。
お読みいただきありがとうございます。今後も他の高度に規制された業界についての分析を開始していきますので、ご期待ください。
このデジタル世界では、企業の評判はオンラインで始まり、オンラインで終わることもあります。ネットワークはどこにでも存在するため、サイバーセキュリティは企業全体で共有される責任です。信頼はあらゆる関係の基礎であり、従業員、サプライヤー、パートナー、顧客とのすべてのやり取りの基礎となります。
元記事はデビッドによるもの。転載の際は、https://cncso.com/jp/個人情報保護法対策-html。
コメント(2)
個人の保護方法を実装するための非常に良い参考資料であり、比較的実践的で、気に入っています。
@通行人:新しいメソッドを一緒に学びましょう。 :)