中国個人情報保護法Q&A(第6回)
中国個人情報保護法Q&A(第6回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2022 年7月5日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第6回)
2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q:個人情報を第三者に開示することはできるのでしょうか?できる場合,どの様な義務があるのでしょうか。
狭義における第三者への開示とは,ある個人情報処理者が,他の個人情報処理者にその取り扱う個人情報を開示することを指す。これについて「個人情報保護法」は,個人情報処理者が法定条件を満たす前提のもと,他の個人情報処理者に個人情報を開示することを認めている。具体的には,以下の二つの状況である。
1.他の個人情報処理者に個人情報を提供する一般的な状況(23条)
「個人情報保護法」23条によれば,「個人情報処理者が他の個人情報処理者に自身が取り扱う個人情報を提供する場合,個人に受領者の名称又は氏名,連絡先,取扱い目的,取扱い方式及び個人情報の種類を通知しなければならず,かつ,個人の単独の同意を取得しなければならない。受領者は,前述の取扱い目的,取扱い方法及び個人情報の種類等の範囲内にて個人情報を取扱うものとする。受領者が元の取扱い目的,取扱い方法を変更する場合,本法の規定に基づき,改めて個人の同意を取得しなければならない。」
ここから分かるとおり,「個人情報保護法」は,他の個人情報処理者に個人情報を提供する一般的な状況において,なおも「通知・同意」のルールを遵守するよう明確に定めており,個人に受領者の名称又は氏名,連絡先,取扱い目的,取扱い方法及び個人情報の種類を通知し,かつ,個人の「単独」の同意を取得しなければならない。
受領者にとっては,前述の個人の単独の同意を取得した目的,方法及び種類に基づき個人情報を取り扱わなければならず,個人からの同意を取得せずにいかなる変更もしてはならない。
注意を要するのは,「サイバーセキュリティ法」42条及び「民法典」1038条も個人の同意を取得せずに他人に個人情報を不法に提供してはならないと規定しているが,そこでは「加工を通じて特定個人を識別不可能にし,かつ,復原不可能にした場合は除外する」,すなわち,匿名化された個人情報は除外すると強調している点である。「個人情報保護法」は,これらの法律のようにこの例外状況を強調してはいないが,「個人情報保護法」は匿名化処理された情報は個人情報に該当しないと明記している(第2回記事を参照)。よって,「個人情報保護法」施行下においても,その他の個人情報処理者に匿名化処理された個人情報を提供することは本条の規制を受けないと言え,上記の各法律からの実質的な変更はしていない。
このほか,受領者が中国国外の第三者である場合,個人情報の越境提供にかかわることになる。そこで,本法23条のほか,個人情報越境提供に関連する規定も遵守しなければならない。この点については,具体的には次回以降記事を参照されたい。
2.合併,分割,解散,破産宣告を受けた等の原因により個人情報を移転する特殊な状況(22条)
「個人情報保護法」22条によれば,「個人情報処理者が合併,分割,解散,破産宣告を受けた等の原因により個人情報を移転する必要があるとき,個人に受領者の名称又は氏名及び連絡先を通知しなければならない。受領者は引続き個人情報処理者の義務を履行するものとする。受領者が元の取扱い目的,取扱い方法を変更する場合,本法の規定に従い改めて個人の同意を取得しなければならない。」すなわち,
(1) 個人情報処理者に合併,分割,解散,破産宣告を受ける等の法定状況が発生し,個人情報を移転せざるを得ない場合のみ本条が適用される。これらの状況を除き,原則として他の個人情報処理者に個人情報を移転するときは,1.で論じた一般状況が適用される。
(2) 元の個人情報処理者は個人に対し通知義務を負うのみで,個人の同意を取得する必要はない。通知すべき内容は,受領者の名称又は氏名及び連絡先である。
(3) 個人情報を受領する個人情報処理者は,受領者として元の個人情報処理者の権利と義務を承継する。「個人情報保護法」14条2項に基づき一般の個人情報処理者が個人情報取扱いについて変更しようとするときの条件と同じく,受領者が元の個人情報処理者から取得した個人情報の取扱い目的,取扱い方法の変更を希望する場合,改めて個人の同意を取得しなければならない。
広義の第三者への開示は,個人情報処理者以外の第三者に開示する状況も含まれ,個人情報の公開,及び受託者への個人情報の委託を含む。前者について,「個人情報保護法」25条は,個人の単独の同意を取得した場合を除き,個人情報処理者は個人情報を公開してはならないと明確に定めている。後者については,「個人情報保護法」の規定に適合すれば,第三者に個人情報の取扱いを委託することができる。具体的には次回以降記事を参照されたい。
また、狭義の第三者への開示か広義の第三者への開示かにかかわらず,「個人情報保護法」55条によれば,個人情報処理者が個人情報の取扱いを第三者に委託する場合,他の個人情報処理者に個人情報を提供する場合、又は個人情報を公開する場合には,個人情報処理者は事前に個人情報保護に及ぼす影響を評価する義務を負う。具体的には第3回記事を参照されたい。
Q:個人情報を保管するにあたって,どのような義務があるでしょうか。また,保管期間についての制限はあるのでしょうか。
個人情報の保管にあたって,個人情報処理者は,大きく分けて,1.セキュリティ保護義務及び2.保管期間に関する制限を受ける。
1.個人情報に対するセキュリティ保護義務(51条)
個人情報処理者は個人情報を保管するとき,セキュリティ保護義務を負わなければならない。個人情報処理者は個人情報を保護する第一の責任者である。個人情報処理者はその個人情報処理活動に対し責任を負い,かつ,その取り扱う個人情報の安全を保護するために必要な措置を講じる必要がある。
「個人情報保護法」51条によれば,「個人情報処理者は個人情報の取扱い目的,取扱い方法,個人情報の種類及び個人の権益に与える影響,存在しうるセキュリティリスク等に基づき,以下に掲げる措置を講じて個人情報取扱い活動が法律,行政法規の規定に適合することを確保し,かつ,未授権のアクセス及び個人情報の漏洩,改竄,逸失を防止する。」とされる。同条は,具体的に以下の措置を明記している。
(1) 内部管理制度及びそのオペレーション規程を制定する。
(2) 個人情報に対し分類管理を実施する。
(3) 相応の暗号化,非識別化等の安全技術措置を講じる。
(4) 個人情報取扱いの操作権限を合理的に確定し,従事者に対するセキュリティ教育と研修を定期的に実施する。
(5) 個人情報セキュリティ事件の応急対策案を制定し実施を手配する。
(6) 法律,行政法規が規定するその他の措置
「個人情報保護法」が発布されるまで,実務において比較的高い参考価値があった「個人情報安全規範」も個人情報の保管に対する要求を定めている。同規範6.2条は個人情報処理者が個人情報を収集した後,直ちに非識別化処理を行い,かつ,技術的措置及び管理面の措置を講じて個人情報の安全を保障することを要求した。同6.3条は,敏感個人情報について,暗号化等のセキュリティ措置を講じ,かつ,個人生体識別情報と個人身分情報は分けて保管することを要求した。これらの要求と「個人情報保護法」が要求する措置は矛盾せず,かつ,個人情報に対し分類管理を実施するという措置は細分化されたと言える。
「法律,行政法規が規定するその他の措置」については,今後,個人情報保護領域の法規,規則が発布される可能性があるほか,サイバーセキュリティ,データセキュリティ等その他の領域の立法における措置,要求にも注意する必要がある。例えば,「サイバーセキュリティ法」21条は,ネットワーク運営者はサイバーセキュリティ等級保護制度の要求に基づき,「コンピュータウィルス及びサイバー攻撃,ネットワーク侵入等サイバーセキュリティに危害を及ぼす行為から防御する技術的措置」,「ネットワーク運行状況,ネットワークセキュリティ事件をモニタリング,記録する技術的措置を講じ,かつ規定に基づき関連するネットログを6ヶ月以上保管する」等を含む法定のセキュリティ保護義務を履行し,ネットワークが干渉,破壊又は未授権のアクセスを受けることがないよう保障し,ネットワークデータの漏洩,窃取,改竄されることを防止するよう規定する。個人情報処理者がネットワークを通じて個人情報を保管するとき,「サイバーセキュリティ法」及び関連する規則,標準の要求する措置を講じなければならない。
セキュリティ保護義務のほか,保管する個人情報に漏洩,改竄又は逸失が生じたとき,個人情報処理者は,救済措置,個人への通知,個人情報保護職責履行部門への通知等を含む応急対応義務を負わなければならない(詳細は次回以降記事を参照されたい)。
2.保管期間に関する制限
「個人情報保護法」は必要最小限度の原則を適用し,6条1項は「個人情報の取扱いは,明確,合理的な目的を備えなければならず,かつ,取扱い目的と直接関係し,個人の権益に及ぼす影響が最小の方法を採用しなければならない。」と規定する。個人情報の保管期間にもこの原則が適用される。
「個人情報保護法」19条は,「法律,行政法規に特段の規定がある場合を除き,個人情報の保管期間は取扱い目的を実現するために必要な最短時間とする。」と規定している。「取扱い目的を実現するために必要な最短時間」を判断する要素は,目下のところ不明確である。
上記「法律,行政法規に特段の規定がある場合」については,各種の法律法規に散見される。例えば,「労働契約法50条」は,解除又は終了した労働契約書本文を少なくとも2年保存して照会に備えることを雇用主に要求しており,当該契約には必然的に労働者個人の個人情報が含まれる。よって,このとき労働関係が終了していても,雇用主である個人情報処理者は,労働者の個人情報を取扱う必要性はほぼないが,法律上はなおも労働者の関連個人情報を少なくとも2年間は保管することが雇用主に要求される。また,業界及び領域によっては,個人情報保管期間について特殊な要求が設けられることもある。例えば「電子商取引法」31条は,電子商取引プラットフォーム経営者に対し,取引完了日から起算して3年間は取引情報を保管することを要求している。また「与信業管理条例」16条は,与信機構による個人不良情報の保管期間は不良行為又は事件が終了した日から起算して5年とし,5年を超過したときは削除することを明確に規定している。
以上
本記事やご相談に関するご照会は以下までお願い致します。
