近時の中国「個人情報保護法」関連アップデートに関するニューズレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

→近時の中国「個人情報保護法」関連アップデート

近時の中国「個人情報保護法」関連アップデート

 2023年10月
One Asia Lawyers Group
中国大湾区プラクティスチーム

１．はじめに

　中国では、「個人情報保護法」が2021年11月1日より施行されています。それ以来、越境移転に関する事項を中心として、データや個人情報に関する規定が発表されつつあり、企業に対してより明確な基準や具体的な解釈が提供されています。

以下、2022年後半以降に新たに発表された中国の個人情報保護に関する規定を簡単にご紹介します。

２．2022年9月1日より施行された「データ越境安全評価弁法」^[1]

2.1. 対象

（１）本規定の適用対象者：

　第2条より、「個人情報処理者が、中華人民共和国国内における経営で、収集・発生する重要データ（後述）や個人情報を国外移転する場合において、上記の重要データや個人情報へのセキュリティ評価」が適用対象となります。

　上記「個人情報処理者」に関して、

　EUのGDPR(General Data Protection Regulation)においては、「個人情報の取扱目的及び方法を決定する」「管理者」(controller)と「管理者の代わりに個人情報を取扱う」「処理者」(processor)の二つの概念があるに対して、中国の個人情報保護法においては「個人情報処理者」のみ存在し、定義的にGDPRの「管理者」と基本的に同一とされます。

（２）以下のいずれかを満たす場合には、データ越境移転セキュリティ評価の申告をしなければなりません（4条）：

• 海外に重要データを提供する場合
• 海外に個人情報を提供する重要情報インフラ事業者及び取り扱う個人情報が100万人以上である場合
• 前年の1月1日から、海外へ移転した個人情報が10万人以上である、若しくは提供した敏感な個人情報が1万人以上である場合
• 国家ネットワーク情報局が規定する他の申告が必要な場合　

　「敏感な個人情報」に関して、

　個人情報保護法28条において、「一旦、漏洩または違法使用が生じた場合には、容易に自然人の人格尊厳の侵害を引き起こし、または人身・財産の安全に対する危害を及ぼす個人情報であり、生物識別、宗教的信仰、特定身分、医療健康、金融口座、行動追跡等、及び14歳未満の未成年者の個人情報を含む」と規定されています。

2.2. 評価結果の有効期限：2年（14条）

　ただし、以下に該当する場合は、有効期限中にも改めて申告する必要があります：

（１）国内に提供するデータの目的、方法、範囲、種類、及び海外受領者による個人情報の使用または取り扱い方法に変更があった場合、若しくは、個人情報と重要データの海外での保存期限に延長があった場合

（２）海外受領者の所在国・地域において、個人情報保護政策やネットセキュリティ環境に変更があり、その他の不可抗力によって、情報処理者若しくは海外受領者の実際コントロール権または情報処理者や海外受領者の法律文章に変更があり、データセキュリティに影響を及ぼす可能性がある場合

（３）その他の個人情報のセキュリティに影響を及ぼす可能性がある場合

2.3. 重要データ

　「重要データ」は同弁法19条により、「改ざん、破壊、漏洩または不正取得、不正利用された場合における国家安全、経済運行、社会安定、公共利益が脅かされるデータ」と定義されています。

2.4. セキュリティ評価前のリスク自己評価事項、申請時に必要な材料、手続き、及び申請の流れ等はここで省略します。

３．2023年6月1日より施行された「個人情報越境移転標準契約弁法」^[2]

　同弁法の詳細に関しては、過去記事（https://oneasia.legal/9548）もご参照いただければと存じますが、概要は次の通りです。

3.1. 内容

（１）適用対象者

　標準契約を締結する形で個人情報を海外に移転する個人情報取扱事業者は、下記の条件を同時に満たさなければなりません（同弁法4条）：

1. 重要情報インフラ事業者でないこと
2. 取り扱う個人情報が100万人未満であること
3. 前年の1月1日から海外へ移転した個人情報が10万人未満であること
4. 前年の1月1日から海外で提供した敏感な個人情報が1万人未満であること

（２）標準契約の締結

１．注意点

（ア）本弁法付属の標準契約フォーマットに厳格に従わなければならないと規定される一方で、国家インターネット情報局は、実際の状況に応じて調整することができるとされます。

（イ）個人情報処理者に、海外の受信者とその他の条件を合意することができるが、標準契約と矛盾しないようにしなければなりません。

（ウ）個人情報処理者は、標準契約の発効日から10営業日以内に、地方(省)のインターネット情報部門に標準契約書と個人情報保護に関する影響評価報告書(Personal Information Security Impact Assessment, PIA)を提出しなければなりません。

２．契約の再締結

　以下いずれに満たす場合は、標準契約の有効期間中に、個人情報処理者が、個人情報保護に関する影響評価を新たに実施し、標準契約を補充または最締結し、提出手続きを行わなければなりません：

（ア）海外で提供する個人情報の目的、範囲、種類、感度、方法及び保管場所、海外の受領者による個人情報の使用または取扱方法に変更があった場合、若しくは標準契約の延長があった場合

（イ）海外受領者の所在国・地域の個人情報保護政策や規制に変更があり、個人情報の権利・利益に影響を及ぼす可能性がある場合

（ウ）その他の個人情報の権利・利益に影響を及ぼす可能性がある場合

3.2. より具体的な手続きは、同日(2023年6月1日)より施行された「個人情報越境移転標準契約届出ガイドライン（第一版）」^[3]に記載されています。（http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm）

（１）内容

• 越境移転の定義
• 手続き上、提出必要な書類
• 流れ及び手続き

（２）附属書類

• 個人情報海外移転標準契約届出に必要な書類
• 依頼書（テンプレート）
• 承諾書（テンプレート）
• 個人情報越境標準契約書（記載例）
• 個人情報保護に関する影響評価報告（テンプレート）

４．「データのクロスボーダー流動の規範化及び促進にかかる規定（意見募集稿）」（《规范和促进数据跨境流动规定（征求意见稿）》）

　同規定は、データの中国からの越境移転の流れに関して、ルール化を行うとともに促進することについての政府当局（国家インターネット情報弁公室）による規定であり、先般、ウェブサイト上でパブリックコメントの募集がなされました（募集自体は、2023年10月15日に締め切られています。）^[4]。

　これによると、契約の締結や生命・財産の保護等にあたり、当事者の個人情報を国外に提供する場合、または1年間で取り扱う個人情報が1万人未満の場合などに、セキュリティ評価、標準契約の締結、個人情報保護認証が不要と規定されています。他にも、取り扱う個人情報が100万人未満の場合や、自由貿易試験区外商投資参入特別管理措置におけるネガティブリスト等に関する詳細が規定されています。ただし、「データ越境安全評価弁法」と「個人情報越境移転標準契約弁法」の内容と異なる場合は、同規定にを優先的に従わなければなりません。

　この規定は現時点では意見募集稿にとどまるものの、中国からの個人情報の越境移転に関する取扱いにつき、今後の指針を示すものとして参考になる可能性があると思われるため、詳細は別記事にて改めてご紹介させていただきます。

5．まとめ

　個人情報保護に関する各種法令の発表及び施行により、中国において個人情報保護が一段と強化され、デジタル社会における情報の安全性の向上が期待されますが、それと同時に、外国企業が情報を越境移転する際にも、これらの規制に厳格に従わなければならず、対応に苦慮しているとの声も少なくありません。

　中国における個人情報保護全般に関する法律は、比較的新しいものであり、まだ多くの法規や基準が発布されていないか、または意見が募集中であるため、多くの問題に対する明確な答えが得られないこともあります。しかしながら、今後より詳細なルールが整備されることが予測されるため、引き続きその動きに注目していく必要があると思われます。

^[1] 「数据出境安全评估办法」（Outbound Data Transfer Security Assessment（ODTSA）
^[2] 「个人信息出境标准合同办法」（Standard Contract for the Cross-border Transfer of Personal Information
^[3] 「个人信息出境标准合同备案指南（第一版）」
^[4] http://www.moj.gov.cn/pub/sfbgw/lfyjzj/lflfyjzj/202309/t20230928_487155.html

中国における「生成型AIサービス管理弁法（意見募集稿）」の発表についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

→中国「生成型AIサービス管理弁法（意見募集稿）」の発表

中国「生成型AIサービス管理弁法（意見募集稿）」の発表

2023年4月
One Asia Lawyers Group
中国大湾区プラクティスチーム

1．はじめに

　生成型AIサービスは、人々の生活やビジネスにおける生産性に大きな変化をもたらす一方で、アルゴリズムの偏りや情報漏洩、コンテンツの改ざんなどのセキュリティリスクも存在し、また、過去の経験からは導くことができない想定外の権利侵害その他の危険が発生する可能性も指摘されており、世界各国の政府が一定の枠組み作りに動き始めています[1]。

　このような情勢において、中国の国家インターネット情報弁公室（国家互联网信息办公室）は、2023年4月11日、「生成型AIサービス」に関する枠組みを示す「生成型AIサービス管理弁法（意見募集稿）」（以下、単に「意見募集稿」）を発表しました[2]。これは、中国におけるいわゆる「データ3法」（「ネットワーク安全（サイバーセキュリティ）法」[3]、「データセキュリティ法」[4]及び「個人情報保護法」[5]）の下位法令という位置づけとなっています（「意見募集稿」第1条）。

2．中国政府の基本的スタンス

　「意見募集稿」においては、「生成型AI」を「アルゴリズム、モデル及びルールに基づいてテキスト、画像、音声、映像、コード等のコンテンツを生成する技術」であると定義づけています（第2条第2項）。この点、中国国内では基本的には利用可能ではない状況ですが、近時、大きな話題となり活用が進んでいる「ChatGPT」もこの定義に該当すると言えます。

　そして第3条においては、「国は、AIアルゴリズム、フレームワーク等の基礎技術の自主的な革新、普及及び応用並びに国際協力を支持し、安全かつ信頼できるソフトウェア、ツール、コンピューティング及びデータ資源の優先的な利用を奨励する。」と規定しており、基本的には、生成型AIの正当な発展・有効な利用に対してポジティブな態度をとっていることが伺われます。

3．生成型AIサービスが具備すべき要件

　一方で、生成型AIにおいては、その利用の仕方によっては国家機密や重要な個人情報が容易に漏洩するといった重大なセキュリティリスクや、不正確な情報をいかにも説得力のある表現で提供するケースも少なくないなど、特に、回答の真偽やメリットを判断できない場合等には、ユーザーを誤った方向に導いてしまう危険性が存在している状況とも言えます。また、自殺の仕方や化学兵器の作り方等といった、潜在的に重大な結果をもたらす質問に答えることもできてしまいます。

　そこで、このような「濫用」を規制し、生成型AIの安全な利用を図るため、「意見募集稿」第4条においては、「法律の遵守」「社会道徳及び公序良俗の尊重」といった抽象的な要件のほか、生成型AIサービスの提供にあたっては次の要件を満たすべきものとされています。

　(1) 生成型AIを用いて生成されるコンテンツは、社会主義の核心的価値を体現しなければならず、国家権力の転覆、社会主義体制の転覆、国家分裂の扇動、国民統合の阻害、テロリズム、過激主義の促進、民族憎悪、民族差別、暴力、わいせつ・ポルノ情報、偽情報、経済秩序や社会秩序を乱す可能性のある内容を含んではならない。
　(2) アルゴリズム設計、学習データ選択、モデル生成・最適化、サービス提供等の過程において、人種、民族、信条、国、地域、性別、年齢、職業等による差別を防止するための措置を講じる。
　(3) 知的財産権及びビジネス道徳を尊重し、アルゴリズム、データ、プラットフォーム等の利点を利用して不正競争を行ってはならない。
　(4) 生成型AIを用いて生成されるコンテンツは、真実かつ正確でなければならず、虚偽の情報の生成を防止するための措置を講じなければならない。
　(5) 他人の適法な利益を尊重し、他人の心身の健康への害悪、肖像権・名誉権・個人のプライバシーへの損害、知的財産権への侵害を防止する。 個人情報およびプライバシー・企業秘密の不法な取得、開示、利用を禁止する。

　上記のうち、(1)は中国特有の価値観に基づく部分が含まれると見受けられるものの、他の項目においては、およそ各国共通の問題意識に基づく事項であると思われます。

　また、一般的にAIの能力が事前に学習させるデータの質・量に依拠するという特性に鑑み、生成型AI製品に使用される事前学習データ及び最適化学習データソースは次の要件を満たさなければならず、生成型AIサービスの提供者（以下、単に「提供者」）がその合法性について責任を負うものとされます（第7条）。

　(1) 中華人民共和国のネットワークセキュリティに関する法律及びその他の法令の要件に適合すること。
　(2) 知的財産権を侵害する内容を含んでいないこと。
　(3) データに個人情報を含む場合には、個人情報の主体の同意を得、又は法律・行政法規の定めるその他の事情を満たすこと。
　(4) データの真正性、正確性、客観性、多様性を保証できること。
　(5）生成型AIサービスに関する国家インターネット情報部門のその他の規制要件

4．生成型AIサービス提供者の義務

　「意見募集稿」においては、提供者は、上記の学習データに関する義務のほか、主に次のような義務を負うものとされます。

　また、生成型AIサービスの提供にあたっては、利用者は、「ネットワークセキュリティ法」に基づき、実際の身元情報の提供が義務付けられることになります（第9条）。これは、近時の中国における各種サービス提供の趨勢に沿ったものと言えます。

5．違反時の罰則

　「意見募集稿」によれば、提供者が本弁法に違反した場合には、各種データ3法その他の法律・行政法規の関連規定に基づき処罰されることになりますが、それらの法律や行政法規に規定がない場合でも、当局が本弁法自体に基づき、警告、通報、批判を行い、一定期間内に是正を命じ、是正を拒否した場合や状況が深刻な場合は、当該AIサービス提供の停止・終了を命じ、1万元以上、10万元以下の罰金を科すこともできるとされている点には注意が必要と言えます（第20条）。

6．まとめ

　近年、5Gサービスが既に広く普及している中国においては、インターネットやAIの活用範囲が益々拡大しており、そのような状況に伴い、脚注でもご紹介したようなインターネット関連の規定が多数、制定される動きがみられています。

　「意見募集稿」についても、今後、各種フィードバックを受けて修正される可能性があるものの、上記の通り、中国におけるAIサービスの利便性を認めつつ、その危険性を考慮した規制内容となっており、中国政府のスタンスが垣間見られるものではないかと思料されます。また、「意見募集稿」の扱う内容に鑑みて、今後、比較的早期に正式な法令が発布されることも想定されます。

　なお、この意見募集稿に対するフィードバックは、2023年5月10日まで可能となっており、ウェブサイト上やEメール、郵便の方法によって行うことができます（脚注2に記載のウェブサイトをご参照ください。）。

[1] 例えば、英国政府は2023年3月に初のAI白書を発表し、AIガバナンスのための5つの原則を示しました（https://www.gov.uk/government/news/uk-unveils-world-leading-approach-to-innovation-in-first-artificial-intelligence-white-paper-to-turbocharge-growth）。また、イタリア個人データ保護庁は3月31日、「ChatGPT」の使用を禁止し、開発会社OpenAI社によるイタリア人ユーザー情報の処理を制限し、調査案件を開設したと発表しました（https://www.bbc.com/news/technology-65139406）。更に米国商務省は最近、新しい人工知能モデルがリリース前に認証プロセスを受けるべきかどうかなど、関連する説明責任措置に関する正式な公開協議を開始しました（https://www.washingtonpost.com/technology/2023/04/11/biden-commerce-department-ai-rules/）。

[2] http://www.cac.gov.cn/2023-04/11/c_1682854275475410.htm

[3] 2016年11月7日第12期全国人民代表大会常務委員会採択、2017年6月1日施行

[4] 2021年6月10日公布、同年9月1日施行

[5] 2021年8月20日第13期全国人民代表大会常務委員会採択・公布、同年11月1日施行

[6] 「世論の属性又は社会動員能力を有するインターネット情報サービスの安全評価にかかる規定」（国家インターネット情報弁公室、2018年11月30日施行）、「インターネット情報サービスアルゴリズム推薦管理規定」（国家インターネット情報弁公室・工業情報化部・公安部・国家市場監督管理総局令第9号、2022年3月1日施行）

[7] 「インターネット情報サービス深層合成管理規定」（国家インターネット情報弁公室・工業情報化部・公安部令第12号、2023 年 1 月 10 日施行）

中国における「個人情報越境標準契約弁法」の発表についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

→中国「個人情報越境標準契約弁法」の発表

中国「個人情報越境標準契約弁法」の発表

2023年3月
One Asia Lawyers Group
中国大湾区プラクティスチーム

１．はじめに

　ご存じの通り、中国においては2021年11月より、個人情報に関する包括的なルールである「個人情報保護法」が施行されているところ、2023年2月24日、個人情報の越境移転に対するルールである「個人情報越境標準契約弁法」（个人信息出境标准合同办法）（以下「本弁法」）が、国家インターネット情報局（国家互联网信息办公室）より発表されました[1]。 本弁法は、個人情報の越境移転にかかる標準契約の適用範囲、締結条件、届出要件等を規定し、標準契約書のひな型を明確にし、海外での個人情報提供の具体的な指針を示すもので、2023年6月1日から施行される予定となっています。

　中国の個人情報保護法においては、個人情報の越境移転について基本的な規定が設けられており、国のインターネット情報部門が策定した標準契約に基づいて契約を締結することが個人情報を国外に移転する適法な方法の一つとなっていたところ、2022年6月には、標準契約の「意見募集稿」が発表されていました。本弁法により、その内容が正式に発表されたことになります。

２．標準契約により越境移転が認められる条件

　本弁法においては、標準契約を締結することにより個人情報を海外に移転する個人情報取扱事業者は、次の条件を同時に満たさなければならないことを明確にしました。

　また、個人情報取扱事業者は、上記の数量基準をクリアするために分量を分割して移転する等の措置を採らないことも求められています。

　更に、本弁法においては、個人情報の海外提供の前に、主に次のような内容に関して個人情報保護の影響評価を行わなければなりません。

３．付属の標準契約フォーマット

　本弁法には標準契約のフォーマットが付属していますが、その主な内容は、契約の定義と基本要素、個人情報処理者と海外受領者の契約上の義務、海外受領者の国や地域の個人情報保護に関する政策や規制が契約の履行に与える影響、個人情報主体の権利と関連救済、更に契約の解除、契約違反の責任、紛争解決、個人情報の設計等について記載されています。また、実際の越境移転時における状況の詳細（処理の目的、方法、規模、移転方法等）の説明文書も添付されています。

　また、本弁法においては、付属の標準契約フォーマットに厳格に従わなければならないと規定される一方で、国家インターネット情報局は、実際の状況に応じて、附属書を調整することができるとされます。更に個人情報の処理者は、海外の受信者とその他の条件を合意することができるが、標準契約と矛盾しないようにしなければならず、個人情報の越境移転は標準契約の発効後にのみ実施できることを明確にしています。

４．標準契約の締結手続き等

　本弁法に基づき、個人情報取扱者が標準契約の発効日から10営業日以内に、地方（省級）のインターネット情報部門に標準契約を提出しなければならないと規定しています。 提出する資料には、標準契約書と個人情報保護に関する影響評価報告書が含まれます。

　また、本弁法上、次のような場合には、標準契約の有効期間中に、個人情報処理業者が個人情報保護に関する影響評価を新たに実施し、標準契約を補足又は再締結し、提出手続きを行わなければならないとされています。

　このほか、本弁法の実施前に個人情報の越境移転が既に行われていた場合で、本弁法の規定を遵守していないときは、本弁法の施行日から6ヶ月以内に是正するべきことが明確となった点にも留意が必要と言えます。

５．まとめ

　日本企業をはじめとする外国企業が、中国において収集した個人情報を海外へ移転（域外移転）する機会は非常に多く、その際の遵法手続きとしての標準契約を締結すべき場面もかなり多く想定されていましたが、本弁法の発表により、中国の当局における公式なスタンスが明らかになりました。従前は「意見募集稿」等を参考に、暫定的な内容の契約等により対応していたケースも少なくなかったと思われますが、今後は本弁法に従うべきことが明確になり、実務上の不透明さは減少したと言えます。

　また、暫定的な契約を締結していた場合でも、本弁法に沿わない内容を含む場合には、今後、その点に関する修正が求められる点にも注意が必要と言えます。

[1] http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

シンガポールにおける「オンラインセーフティ法」施行についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

→シンガポールにおける「オンラインセーフティ法」施行について

シンガポールにおける「オンラインセーフティ法」施行について

2023年2月
One Asia Lawyers Group
シンガポールオフィス

１．はじめに

　2022年11月9日に国会で成立した「オンラインセーフティ法」（the Online Safety (Miscellaneous Amendments) Act[1]、以下「本法」）が、2023年2月1日から施行されました。

　これは、シンガポールにおけるオンラインコンテンツのエンドユーザーの安全性を高めるため、「放送法」（the Broadcasting Act 1994[2]）及び「電子取引法」（the Electronic Transactions Act 2010[3]）の追加的改正という形で、保護者、若者、地域団体代表、学識経験者、産業界など複数のステークホルダーによる幅広い協議の結果を踏まえてなされたものです。

　この法律により、シンガポールのエンドユーザーがアクセスできるオンラインコミュニケーションサービス（Online Communication Services、OCS）を規制するため、放送法に新たなパートが導入されました。同パートの目的としては、概ね(a)シンガポールにおける健全なオンライン環境の提供、(b)シンガポールの子供のエンドユーザーの有害コンテンツからの保護、及び(c)公益性に基づく規制、の3つにあると規定されています（本法第5条、放送法第45A条）。

　なお、この規制は、放送法の別表において指定された OCS に対してのみ適用され、現時点では、ソーシャルメディアサービス（Social Media Services、SMS）[4]のみが指定されています。

２．シンガポールのエンドユーザーのオンライン安全性向上措置

（１）「有害コンテンツ」（egregious content）規制

　本法の施行により、シンガポールの情報通信当局（Infocomm Media Development Authority、IMDA）は、OCSに見られる「有害コンテンツ」（egregious content）へのシンガポールのエンドユーザーのアクセスを無効にする各種命令（direction）を出すことができることになりました。この「有害コンテンツ」には、次のようなものが含まれ、かつ、それがシンガポール内外で行われたかは問わないとされています（本法第5条、放送法第45D条）。

　・自殺や自傷行為、身体的・性的暴力、テロリズムを擁護・指導するコンテンツ

　・子どもの性的搾取を描写したコンテンツ

　・シンガポールにおける公衆衛生上のリスクをもたらすコンテンツ

　・シンガポールの人種・宗教上の不和を引き起こす可能性があるコンテンツ

　このほか、Code of Practiceのドラフト（後述）においては、

　・ネット上のいじめ（Cyberbullying）に関するコンテンツ

　・悪徳商法や組織的犯罪を助長するコンテンツ

も含まれるとされています。

　更に、本法、ドラフトガイドライン（後述）等において、定義される各コンテンツの詳細な内容について規定されていますのでご参照ください。

　また、IMDAは、次の3種類の命令を出すことができます（本法第5条、放送法第45H条、45I条）。

（a）OCSプロバイダーに対し、シンガポールのエンドユーザーによる有害コンテンツ（特定の投稿など）へのアクセスを無効にすべきとする命令

（b）OCSプロバイダーに対し、シンガポールのエンドユーザーへの有害コンテンツの配信または通信を停止する命令

（c）OCSプロバイダーがIMDAの指示に従わない場合に、インターネットアクセスサービスプロバイダーに対し、シンガポールのエンドユーザーによる当該OCSへのアクセスをブロックする命令

（２）実務規範（Code of Practice）の制定

　IMDAは、OCSの提供範囲及びその内容・程度等に鑑み、著しい影響力を持つと判断したOCSを「規制対象オンライン通信サービス」（Regulated Online Communication Services、ROCS）に指定することもできます（本法第5条、放送法第45L条）。ROCSプロバイダーは、有害コンテンツにさらされることによるシンガポールのエンドユーザーの危険性を軽減するためのシステムおよびプロセスをサービス上に導入し、そのような措置について、ユーザーに説明責任を果たすことを求めるCode of Practiceに準拠することが要求される場合もあります（本法第5条、放送法第45L条）。

　この点に関しIMDAは、指定されたSMSのためのオンライン安全性に関するCode of Practiceを提案しています。このドラフト、及びそのガイドラインがIMDAのウェブサイトで公開されており[5]、関連業界においてさらなる協議を経て、2023 年後半に施行される予定となっています。

（３）罰則

　本法（放送法）に基づく規制に違反した場合の罰則としては、例えば上記「有害コンテンツ」の配信の停止命令に違反した場合には、最大1,000,000シンガポールドル、及び継続的な違反に対して一日あたり更に最大100,000シンガポールドルの罰金が課されることになり（本法第5条、放送法第45E条）、比較的厳しいものと言えます。

　このほか、そのような「有害コンテンツ」にアクセスするインターネットサービスの提供者に対しても、最大500,000シンガポールドルの罰金が課され得ます（本法第5条、放送法第45F条）。

３．まとめ

　本法は、直接にはエンドユーザーを規制するものではなく、サービスプロバイダが規制対象となりますが、上記の通り、罰則も小さくないため、プロバイダ自身がコンテンツに対する規制を強化することが想定され、今後、エンドユーザーが各種SNSにアップするコンテンツにも、より一層の注意を払う必要が出てくるものと思われます。例えば、日本で最近見られるような「迷惑動画」や、炎上商法まがいのコンテンツは、本法上の「有害コンテンツ」に該当する可能性が高いものと思われます。

　本法自体は、プロバイダに対する責任を持ったサービス提供をより一層義務付けるものですが、このような法規制を通じて、結局のところ、エンドユーザーにおいても、この種のサービスについて「責任を持った利用」が益々求められてくるものと思われます。また、具体的にどのような記事が「有害コンテンツ」に該当するかについての更なる詳細の記載された正式なCode of Practice及びガイドラインの発表が待たれるところです。

[1] https://sso.agc.gov.sg/Acts-Supp/38-2022/Published/

[2] https://sso.agc.gov.sg/Act/BA1994

[3] https://sso.agc.gov.sg/Act/ETA2010

[4] 本法（放送法）上、「ソーシャルメディアサービス」は次の通り定義されており、一般にイメージするSNSなどは、基本的にこれに該当すると思われます。

“social media service” means an electronic service that satisfies all the following characteristics:

(a) the sole or primary purpose of the service is to enable online interaction or linking between 2 or more end‑users (including enabling end‑users to share content for social purposes);

(b) the service allows end‑users to communicate content on the service;

(c) any other characteristics that are prescribed by Part 10A regulations;

[5] https://www.imda.gov.sg/Regulations-and-Licences/Regulations/Codes-of-Practice/Codes-of-Practice-and-Guidelines—Media

中国個人情報保護法Q&A（第6回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→中国個人情報保護法Ｑ＆A（第6回)

2022 年7月5日
One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A（第６回）

2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法（仮）」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

　本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q：個人情報を第三者に開示することはできるのでしょうか？できる場合，どの様な義務があるのでしょうか。

狭義における第三者への開示とは，ある個人情報処理者が，他の個人情報処理者にその取り扱う個人情報を開示することを指す。これについて「個人情報保護法」は，個人情報処理者が法定条件を満たす前提のもと，他の個人情報処理者に個人情報を開示することを認めている。具体的には，以下の二つの状況である。

1.他の個人情報処理者に個人情報を提供する一般的な状況（23条）

「個人情報保護法」23条によれば，「個人情報処理者が他の個人情報処理者に自身が取り扱う個人情報を提供する場合，個人に受領者の名称又は氏名，連絡先，取扱い目的，取扱い方式及び個人情報の種類を通知しなければならず，かつ，個人の単独の同意を取得しなければならない。受領者は，前述の取扱い目的，取扱い方法及び個人情報の種類等の範囲内にて個人情報を取扱うものとする。受領者が元の取扱い目的，取扱い方法を変更する場合，本法の規定に基づき，改めて個人の同意を取得しなければならない。」

ここから分かるとおり，「個人情報保護法」は，他の個人情報処理者に個人情報を提供する一般的な状況において，なおも「通知・同意」のルールを遵守するよう明確に定めており，個人に受領者の名称又は氏名，連絡先，取扱い目的，取扱い方法及び個人情報の種類を通知し，かつ，個人の「単独」の同意を取得しなければならない。

受領者にとっては，前述の個人の単独の同意を取得した目的，方法及び種類に基づき個人情報を取り扱わなければならず，個人からの同意を取得せずにいかなる変更もしてはならない。

注意を要するのは，「サイバーセキュリティ法」42条及び「民法典」1038条も個人の同意を取得せずに他人に個人情報を不法に提供してはならないと規定しているが，そこでは「加工を通じて特定個人を識別不可能にし，かつ，復原不可能にした場合は除外する」，すなわち，匿名化された個人情報は除外すると強調している点である。「個人情報保護法」は，これらの法律のようにこの例外状況を強調してはいないが，「個人情報保護法」は匿名化処理された情報は個人情報に該当しないと明記している（第２回記事を参照）。よって，「個人情報保護法」施行下においても，その他の個人情報処理者に匿名化処理された個人情報を提供することは本条の規制を受けないと言え，上記の各法律からの実質的な変更はしていない。

このほか，受領者が中国国外の第三者である場合，個人情報の越境提供にかかわることになる。そこで，本法23条のほか，個人情報越境提供に関連する規定も遵守しなければならない。この点については，具体的には次回以降記事を参照されたい。

2.合併，分割，解散，破産宣告を受けた等の原因により個人情報を移転する特殊な状況（22条）

「個人情報保護法」22条によれば，「個人情報処理者が合併，分割，解散，破産宣告を受けた等の原因により個人情報を移転する必要があるとき，個人に受領者の名称又は氏名及び連絡先を通知しなければならない。受領者は引続き個人情報処理者の義務を履行するものとする。受領者が元の取扱い目的，取扱い方法を変更する場合，本法の規定に従い改めて個人の同意を取得しなければならない。」すなわち，

(1) 個人情報処理者に合併，分割，解散，破産宣告を受ける等の法定状況が発生し，個人情報を移転せざるを得ない場合のみ本条が適用される。これらの状況を除き，原則として他の個人情報処理者に個人情報を移転するときは，１．で論じた一般状況が適用される。

(2) 元の個人情報処理者は個人に対し通知義務を負うのみで，個人の同意を取得する必要はない。通知すべき内容は，受領者の名称又は氏名及び連絡先である。

(3) 個人情報を受領する個人情報処理者は，受領者として元の個人情報処理者の権利と義務を承継する。「個人情報保護法」14条２項に基づき一般の個人情報処理者が個人情報取扱いについて変更しようとするときの条件と同じく，受領者が元の個人情報処理者から取得した個人情報の取扱い目的，取扱い方法の変更を希望する場合，改めて個人の同意を取得しなければならない。

広義の第三者への開示は，個人情報処理者以外の第三者に開示する状況も含まれ，個人情報の公開，及び受託者への個人情報の委託を含む。前者について，「個人情報保護法」25条は，個人の単独の同意を取得した場合を除き，個人情報処理者は個人情報を公開してはならないと明確に定めている。後者については，「個人情報保護法」の規定に適合すれば，第三者に個人情報の取扱いを委託することができる。具体的には次回以降記事を参照されたい。

また、狭義の第三者への開示か広義の第三者への開示かにかかわらず，「個人情報保護法」55条によれば，個人情報処理者が個人情報の取扱いを第三者に委託する場合，他の個人情報処理者に個人情報を提供する場合、又は個人情報を公開する場合には，個人情報処理者は事前に個人情報保護に及ぼす影響を評価する義務を負う。具体的には第３回記事を参照されたい。

Q：個人情報を保管するにあたって，どのような義務があるでしょうか。また，保管期間についての制限はあるのでしょうか。

　個人情報の保管にあたって，個人情報処理者は，大きく分けて，１．セキュリティ保護義務及び２．保管期間に関する制限を受ける。

１．個人情報に対するセキュリティ保護義務（51条）

個人情報処理者は個人情報を保管するとき，セキュリティ保護義務を負わなければならない。個人情報処理者は個人情報を保護する第一の責任者である。個人情報処理者はその個人情報処理活動に対し責任を負い，かつ，その取り扱う個人情報の安全を保護するために必要な措置を講じる必要がある。

「個人情報保護法」51条によれば，「個人情報処理者は個人情報の取扱い目的，取扱い方法，個人情報の種類及び個人の権益に与える影響，存在しうるセキュリティリスク等に基づき，以下に掲げる措置を講じて個人情報取扱い活動が法律，行政法規の規定に適合することを確保し，かつ，未授権のアクセス及び個人情報の漏洩，改竄，逸失を防止する。」とされる。同条は，具体的に以下の措置を明記している。

(1) 内部管理制度及びそのオペレーション規程を制定する。

(2) 個人情報に対し分類管理を実施する。

(3) 相応の暗号化，非識別化等の安全技術措置を講じる。

(4) 個人情報取扱いの操作権限を合理的に確定し，従事者に対するセキュリティ教育と研修を定期的に実施する。

(5) 個人情報セキュリティ事件の応急対策案を制定し実施を手配する。

(6) 法律，行政法規が規定するその他の措置

「個人情報保護法」が発布されるまで，実務において比較的高い参考価値があった「個人情報安全規範」も個人情報の保管に対する要求を定めている。同規範６.２条は個人情報処理者が個人情報を収集した後，直ちに非識別化処理を行い，かつ，技術的措置及び管理面の措置を講じて個人情報の安全を保障することを要求した。同６.３条は，敏感個人情報について，暗号化等のセキュリティ措置を講じ，かつ，個人生体識別情報と個人身分情報は分けて保管することを要求した。これらの要求と「個人情報保護法」が要求する措置は矛盾せず，かつ，個人情報に対し分類管理を実施するという措置は細分化されたと言える。

「法律，行政法規が規定するその他の措置」については，今後，個人情報保護領域の法規，規則が発布される可能性があるほか，サイバーセキュリティ，データセキュリティ等その他の領域の立法における措置，要求にも注意する必要がある。例えば，「サイバーセキュリティ法」21条は，ネットワーク運営者はサイバーセキュリティ等級保護制度の要求に基づき，「コンピュータウィルス及びサイバー攻撃，ネットワーク侵入等サイバーセキュリティに危害を及ぼす行為から防御する技術的措置」，「ネットワーク運行状況，ネットワークセキュリティ事件をモニタリング，記録する技術的措置を講じ，かつ規定に基づき関連するネットログを６ヶ月以上保管する」等を含む法定のセキュリティ保護義務を履行し，ネットワークが干渉，破壊又は未授権のアクセスを受けることがないよう保障し，ネットワークデータの漏洩，窃取，改竄されることを防止するよう規定する。個人情報処理者がネットワークを通じて個人情報を保管するとき，「サイバーセキュリティ法」及び関連する規則，標準の要求する措置を講じなければならない。

セキュリティ保護義務のほか，保管する個人情報に漏洩，改竄又は逸失が生じたとき，個人情報処理者は，救済措置，個人への通知，個人情報保護職責履行部門への通知等を含む応急対応義務を負わなければならない（詳細は次回以降記事を参照されたい）。

２．保管期間に関する制限

「個人情報保護法」は必要最小限度の原則を適用し，６条１項は「個人情報の取扱いは，明確，合理的な目的を備えなければならず，かつ，取扱い目的と直接関係し，個人の権益に及ぼす影響が最小の方法を採用しなければならない。」と規定する。個人情報の保管期間にもこの原則が適用される。

「個人情報保護法」19条は，「法律，行政法規に特段の規定がある場合を除き，個人情報の保管期間は取扱い目的を実現するために必要な最短時間とする。」と規定している。「取扱い目的を実現するために必要な最短時間」を判断する要素は，目下のところ不明確である。

上記「法律，行政法規に特段の規定がある場合」については，各種の法律法規に散見される。例えば，「労働契約法50条」は，解除又は終了した労働契約書本文を少なくとも２年保存して照会に備えることを雇用主に要求しており，当該契約には必然的に労働者個人の個人情報が含まれる。よって，このとき労働関係が終了していても，雇用主である個人情報処理者は，労働者の個人情報を取扱う必要性はほぼないが，法律上はなおも労働者の関連個人情報を少なくとも２年間は保管することが雇用主に要求される。また，業界及び領域によっては，個人情報保管期間について特殊な要求が設けられることもある。例えば「電子商取引法」31条は，電子商取引プラットフォーム経営者に対し，取引完了日から起算して３年間は取引情報を保管することを要求している。また「与信業管理条例」16条は，与信機構による個人不良情報の保管期間は不良行為又は事件が終了した日から起算して５年とし，５年を超過したときは削除することを明確に規定している。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

中国個人情報保護法Q&A（第5回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→中国個人情報保護法Ｑ＆A（第5回)

2022 年5月26日
One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A（第５回）

2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法（仮）」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

　本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q：個人情報を本人からではなく，第三者等から間接的に取得することはできるのでしょうか。できる場合はどのような義務を負うのでしょうか。

個人情報を第三者等から間接的に取得することは可能であるが，個人情報の受領者としては，以下１ないし３の義務を負わなければならない。

１．情報源の合法性の確認

個人情報の受領者として，間接的に個人情報を受領したときは，「個人情報安全規範」５.４条e)の要求に基づき，次のような取扱いをしなければならない。

２．個人が授権に同意する範囲と提供者が約定する範囲内に限り，個人情報を取り扱うこと。

「個人情報保護法」の規定によれば、具体的に以下を含む。

３．法に従い個人情報を保護する措置を講じること。

「個人情報保護法」51条は，個人情報処理者が指定された措置を講じて個人情報の取扱活動が法律・行政法規の規定に合致するよう確保し，授権を得ずに個人情報にアクセスし，又は個人情報が漏洩・改竄・逸失することを防止するよう定めている。

個人情報取扱いの受託について，個人情報の取扱活動に関して自主的に取扱目的，方法を決定しない受託者に対し[1]，「個人情報保護法」59条は，必要な措置を講じて取扱う個人情報の安全を保障するとともに，個人情報処理者の法定義務の履行に協力する義務を定めた。よって，間接的に個人情報を取得した受領者はいずれも，個人情報を保護する措置を講じる義務を負う。措置の詳細は第３回記事を参照されたい。

Q：個人の同意なく個人情報を取得できる場合はありますか。

「個人情報保護法」13条第1項２号から７号[2]においては，個人の同意を取得することなく[3]，個人情報を直ちに取り扱うことが可能な状況を規定している。

１．個人を当事者の一方とする契約に必要であり，又は法により制定された労働規則制度及び法により締結された集団契約に基づき人事管理を実施するために必要な場合（２号）

２．法定の職責又は法定の義務を履行するために必要な場合（３号）

３．突発的な公共衛生事件に対応するため，又は緊急事態において自然人の生命・健康，財産の安全を保護するために必要な場合（４号）

なお，後者については，同意は必要ないものの，「個人情報保護法」18条２項によれば，「緊急事態のもと，自然人の生命・健康及び財産の安全を保護するため，速やかに個人に通知することができないときは，個人情報の処理者は緊急事態が解消された後，速やかに通知しなければならない。」

４．公共利益のためニュース報道，世論監督等の行為を実施し，合理的な範囲内において個人情報を取り扱う場合（５号）

この点，中国「民法典」999条も，「公共利益のためニュース報道，世論監督等の行為を行うとき，民事主体の氏名，名称，肖像，個人情報等を合理的に使用することができる。不合理な使用により民事主体の人格権を侵害したとき，法により民事責任を負わなければならない。」と規定している。

５．本法の規定する合理的な範囲内において個人が自ら公開し，又はその他の既に合法的に公開された個人情報を取扱う場合（６号）

「個人情報保護法」27条[4]は，同意を取得せずに「公開」の個人情報を取り扱うことができる二つの例外状況として，個人がその個人情報の取扱いを明確に拒絶した場合，及び当該公開された個人情報を取扱うことが個人の権益に重大な影響を与える場合，を規定している。これらの場合，なお法により個人の同意を取得しなければならない。

６．法律，行政法規の規定するその他の状況（７号）

Q：個人情報を，処理・加工するに際して，どのような義務があるでしょうか。

「個人情報保護法」においては，「加工」[5]は個人情報の取扱い行為の一つとして明確に列記されているが，「加工」自体について詳細に定めた規定は存在しない。

この点に関し，中国における学術上の見解によれば，データに対する加工処理行為には，データ集積処理とデータ分析処理が含まれるとするものがある[6]。データ集積処理とは，特定の目的に基づきデータを収集，整理，分類し，生のデータを加工して使用価値を有するデータセット（datasets）にすることである。一方，データ分析処理とは，データに対し深い加工処理を施し，分析対象の規律を発見又は将来的な趨勢を予想し，データから新たな知識，新たな発見をし，予測判断又は解決案を導き出すことである。自動化された意思決定は，典型的なデータ分析処理行為である。

「個人情報保護法」24条は，個人情報処理者が個人情報を利用して自動化された意思決定を行う際の義務も規定している。具体的には以下の義務を含む。

１．意思決定が明確であり，結果が公平，公正で，個人の取引価格等，取引条件に対し不合理な差別待遇をしてはならない。

２．個人に対し情報のプッシュ送信，商業マーケティング活動を行うとき，その個人的特徴に基づかない選択項目を同時に提供し，又は個人が簡便に拒絶しうる手段を提供しなければならない。

３．自動化された意思決定[7]の方法を通じて個人の権益に重大な影響を与える決定をするとき，個人は個人情報処理者に説明を要求する権利を有し，個人情報処理者が自動化された意思決定の方法のみを通じて決定を下すことを拒絶するための方法が提供されるべきである。

なお，当然ながら，個人情報処理者が加工行為に従事するときは，個人情報にかかるセキュリティ保護義務等を遵守し，個人情報処理者としての日常管理義務を貫かなければならない。詳細は第３回記事を参照されたい。

[1] なお，「個人情報保護法」73条によれば，個人情報処理者とは，個人情報を取り扱う活動において処理目的，取扱方法を自主的に決定する組織，個人を指す。よって，個人情報処理者の委託を受けて，その要求に基づき個人情報を取扱うのみの受託者は，本法の定義する個人情報処理者には該当しないと理解すべきである。

[2] 「個人情報安全規範」５.６条も，個人の同意を取得する必要なく直ちに個人情報を取り扱うことができる状況を規定しており，「個人情報保護法」第13条と矛盾しない。但し，分類にはいくらかの相違がある。例えば，b）～d）にて，「国家安全，国防安全」「公共安全，公共衛生，重大な公共の利益」「刑事捜査，起訴，裁判及び判決執行等」と直接関係する状況としているが，「個人情報保護法」では第３号と第４号によりこれらの内容が網羅されている。

[3] 「個人情報保護法」４条２項によれば，個人情報の取扱には，個人情報の収集，保存，使用，加工，伝送，提供，公開，削除等が含まれる。

[4]「個人情報保護法」27条によれば，「個人情報処理者は，合理的な範囲内において個人が自ら公開した，又はその他のすでに合法的に公開された個人情報を取扱うことができるが，個人が明確に拒絶する場合はこの限りでない。個人情報処理者が公開された個人情報を取扱うことで，個人の権益に重大な影響を与える場合，本法規定に基づき個人の同意を取得しなければならない。」

[5]「個人情報保護法」の中の“処理（漢字）”は，本Q&Aにおける“取扱い”に相当し，その概念は“加工”より広く，本Q&Aにおける“処理”は狭義の“加工”の理解に近い。

[6] 高富平「データ生産理論——データリソース権利配置の基礎理論」，「交大法学」2019年第４期，第12～14頁。

[7] 自動化された意思決定とは，コンピュータプログラムにより個人の行動習慣，趣味・趣向又は経済，健康，信用状況等の評価を行い，自動的に意思決定がなされる活動を指す。ビッグデータの分析により関連行為について意思決定することであり，例えば，ビッグデータの分析に基づき個人に向けて商業情報、販促情報等をプッシュ送信すること等である。実務において多くみられる「ビッグデータを活用した価格差別」は，典型的な自動化された意思決定の方法である。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

中国個人情報保護法Q&A（第4回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→中国個人情報保護法Ｑ＆A（第4回)

2022 年5月5日

One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A（第４回）

2022年初夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法（仮）」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

　本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q：個人情報を取得するに際して，通知または同意取得の義務はありますでしょうか。通知または同意取得の義務があった場合，どのような形式で通知または同意取得をしなければならないでしょうか。また，未成年者からの個人データの取得に関する規制があれば教えてください。

１．法定の例外事由を除き，原則として「通知・同意」の義務がある。

GDPR及び他の国際的なルールと同じく，中国の個人情報の取扱いも「通知・同意」によることを原則としている。

すなわち，「個人情報保護法」17条は，個人情報処理者は個人情報を取り扱う前に通知する義務があると明確に規定した。一方で，「個人情報保護法」はいくつかの例外事由を規定し，通知義務を履行しなくても良い場合を定めている。具体的には次の通りである。

(1)法律，行政法規により秘密保持又は通知不要と定められている場合（18条１項）

(2)通知すると国家機関の法定職責の履行を妨げるとき（35条）

(3)緊急事態において自然人の生命・健康と財産の安全を保護するため，速やかに個人に通知することができないとき。但しこの場合，事前に通知しなくてよいが，緊急事態が解消されてから速やかに通知しなければならない。（18条２項）

また，「個人情報保護法」13条は，「個人の同意を取得」することを，個人情報取扱いの合法性の基礎の一つとしており，個人情報処理者は，所定の例外事由（次回以降記事を参照）がある場合を除き，個人の同意を取得しなければならない。なお，個人の同意を取得する必要のない個人情報の取扱いの際に事前通知を必要とするか否かについては，「個人情報保護法」は言及しておらず，今後，立法による明確化が待たれる。

原則として，前述の法定事由を除き，個人情報処理者は個人情報を取得又は個人情報を取扱う前に，法により個人に通知し，個人の同意を取得しなければならない。

２．「通知・同意」の形式

第１回記事のとおり，中国において「サイバーセキュリティ法」「データセキュリティ法」と「個人情報保護法」は個人情報保護領域における最も重要な三つの法律である。但し，これらの法律は主に枠組みとしての役割を果たすものにすぎず，個人情報保護全体に関する法令スキームにはその他の法規，部門規章及び標凖が数多く存在する。なお，目下のところ，政府の監督管理部門は法執行の際の実務において，通常は国家推薦標凖である「個人情報安全規範」を参考にしている[1]。

（１）通知の内容

「個人情報保護法」17条によれば，個人情報処理者は，個人情報を取扱う前に，目立つ方法，明瞭かつ分かりやすい言葉で，真実に基づき，正確，完全に，以下の事項を個人に通知しなければならない。関連事項に変更が発生したときは，変更後の内容を通知しなければならない。

①個人情報処理者の身分と連絡先

②個人情報を取り扱う目的，取扱い方法，取り扱う個人情報の種類，保管期間

③個人が「個人情報保護法」所定の権利を行使する方法と手続き

④法律，行政法規が定める通知すべきその他の事項

なお，「敏感個人情報」（定義は第２回記事を参照）については，「個人情報保護法」30条に基づき，前記の事項のほか，個人に敏感個人情報を取扱う必要性及び個人権益に対する影響を通知しなければならない。

（２）通知の方法

「個人情報保護法」17条に基づき，前記の通知内容は目立つ方法にて，明瞭かつ分かりやすい言葉で，真実に基づき，正確，完全に通知しなければならないとされている。「個人情報安全規範」５.４条を参照すると，通知方法は主に以下の二種類がある。

①個人情報保護ポリシー（すなわち「個人情報保護法」17条２項の取扱規則）による方法

「個人情報安全規範」５.４条a）の注1は，製品又はサービスが個人情報を収集・使用する機能を一つのみ提供するとき，個人情報処理者[2]は個人情報保護ポリシーの形式を通じて，個人情報主体への通知を実現することができる。

②特定の個人情報の収集を実際に開始するとき，単独で通知する方法

ポップアップウィンドウ等による通知は，よく見られる単独の通知（及び同意取得）の方法である。「個人情報安全規範」５.４条a）注1によると，製品又はサービスが個人情報を収集・使用する複数の機能を提供するとき，個人情報保護ポリシーのほか，個人情報処理者は，実際に特定の個人情報の収集を実際に開始する時点で，個人情報主体に個人情報を収集，使用する目的，方法および範囲を通知し，個人情報主体が具体的な授権・同意をする前に，その具体的な影響を十分に考慮できるようにしなければならない。

このほか，一部の法律，行政法規又は標凖により，単独での通知を要求される個人情報については，単独で通知しなければならない。例えば，「個人情報安全規範」５.４条c）は，「個人生体識別情報[3]を収集する前に，個人情報主体に単独で，個人生体識別情報を収集，使用する目的，方法と範囲，保存期間等の規則を通知し，個人情報主体の明示的な同意を得なければならない。」と規定する。

（３）同意の要求

①原則的要求

「個人情報保護法」14条によれば，個人の同意に基づき個人情報を取り扱うとき，かかる同意は個人が十分に内容を知ったうえで，自発的かつ明確に同意したものでなければならない（１項）。また，個人情報の取扱目的・取扱方法・取扱う個人情報の種類に変更が生じたときは，個人の同意を改めて取得しなければならない（２項）。

②特別な要求

「個人情報保護法」14条１項は，法律，行政法規において，個人情報を取扱うにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき，その規定に従うと定める。本条に列記される単独の同意と書面による同意という二つの特別な同意形式のほか，実務上は，明示的な同意が要求される場合がある。これらは，主に以下の状況において適用される。

・敏感個人情報を取扱うとき

「個人情報保護法」29条及び「個人情報安全規範」５.４条b）[4]を総合的に考えると，敏感個人情報については，「単独の同意＋明示的な同意」を取得し，かつ，法律，行政法規に特段の要求があるときは，書面の同意も取得しなければならない。

このうち，「明示的な同意」とは，「個人情報安全規範」において提起された概念であり，同規範３.６条の定義によれば，明示的な同意（explicit consent）とは，個人が書面，口頭等の方法を通じて主体的に紙面又は電子形式にて声明を発し，又は自主的に肯定的な動作をし，その個人情報に対して特定の取扱いをすることを明確に授権する行為を指す。肯定的な動作には，個人情報主体が主体的に，「同意」，「登録」，「送信」，「電話をかける」等をチェック，クリックする，主体的に記入又は提供すること等を含む。「個人情報保護法」は，「明示的な同意」という要求を明確には提起していないが，個人が「自発的かつ明確」に同意することを要求しており，今後の法律，行政法規等に明確に規定される場合を除き，なお「明示的な同意」の要求が適用される。

・個人情報を特定の用途に使用するとき

「個人情報保護法」には，以下の方法により個人情報を取り扱う場合には，個人の単独の同意を取得しなければならないと規定されている。

a）取り扱う個人情報を公開する必要があるとき（25条）

b）公共の場所に画像を採集し，個人の身分を識別する設備を設置し，かつ，その収集した個人の画像，身分の識別情報を公共の安全を維持する目的以外の目的に使用するとき（26条）

c) 取り扱っていた個人情報を，その他の個人情報処理者に提供する必要があるとき（23条）

d)国外に向けて個人情報を提供する必要があるとき（39条）

３．未成年者の個人情報取得に関する特別規定

中国の未成年者に対する一般法「未成年者保護法」においては，「未成年者」は「18歳未満の公民」と定義されている。但し，個人情報保護の問題にかかるときは，法律上「14歳未満」のみを特殊な保護を受ける未成年者として規定している。

（１）適用法律の枠組み

未成年者の個人情報保護特別規定は，主に以下の法律又は部門規章により規定されている。

①「未成年者保護法」

「未成年者保護法」の最新の改正（2021年６月１日発効）においては，「ネットワーク保護」の章が設けられ，その72条は，ネットワークを通じて未成年者の個人情報を取り扱う行為を規制し，後見人の知悉及び同意を取得すべき未成年者の年齢基準を14歳に設定し，かつ，未成年者及びその父母，その他の後見人が個人情報処理者に個人情報を是正，削除を要求する権利を有することを明確にした。

②「個人情報保護法」

「個人情報保護法」28条は，「14歳未満の未成年者の個人情報」は敏感個人情報に属すると規定し，31条において，未成年者の父母又はその他の後見人の同意を取得し，専門の個人情報取扱規則を制定する要求を規定した。

③「児童個人情報ネットワーク保護規定」

①②の法律は主に原則的な規定であるが，具体的な要求としては「児童個人情報ネットワーク保護規定」（2019年８月22日発布，2019年10月1日発効）により規制される。本規定は中国初の児童個人情報のネットワーク保護に対する専門の法規である。同規定にいう「児童」とは14歳未満の未成年を指す。

曖昧さを避けるため，本書において「児童」とは，特殊な保護を受ける14歳未満の未成年を指すものとする。

（２）児童個人情報の「通知・同意」

児童の特殊性により，児童本人ではなく，その後見人に対し「通知・－同意」を実施する。

「児童個人情報ネットワーク保護規定」８条から10条は，児童の特殊性により，ネットワーク運営者（個人情報処理者）は，専用の児童個人情報保護規則及びユーザー合意書を設置しなければならず，明瞭かつ目立つ方法で，その個人情報の取扱いを児童の後見人に通知し，児童の後見人の同意を取得しなければならない。児童の後見人の同意を求めるとき，同時に拒否する選択を与え，以下の事項を明確に通知しなければならない。

①児童の個人情報を収集，保存，使用，移転，開示する目的，方法及び範囲

②児童の個人情報の保存場所，期間，期間満了後の取扱方法

③児童の個人情報のセキュリティ保護措置

④拒絶することによる結果

⑤クレーム，通報のルートと方法

⑥児童の個人情報を是正，削除する経路と方法

⑦その他の通知すべき事項

これと同時に，「個人情報保護法」が，児童の個人情報は敏感個人情報に属すると明確に規定したことに鑑み，個人情報処理者は，上記の規定と同時に，敏感個人情報の「通知・同意」の要求も遵守しなければならない。

このほか，「児童個人情報ネットワーク保護規定」２条は，同規定が，中国国内においてネットワーク媒体を通じて児童の個人情報を収集，保存，使用，移転，開示する活動に従事する場合のみに適用される旨を明確に規定した。但し，「個人情報保護法」は国外における効力を明確にしたため，国外での行為が本規定の明確な適用範囲内に属さないとしても，国外における行為の関連規定が発布されるまでは，中国の児童を対象として個人情報を取扱う国外企業も，当該規定を参照した上でコンプライアンスに関する対処を行うほうが無難であると思われる。

４．「通知・同意」以外の制限

敏感個人情報について，「個人情報保護法」は個人の「通知・同意」の取得のほか，その他の要求も規定している。

すなわち，「個人情報保護法」28条２項は，「特定の目的と十分な必要性があり，かつ，厳格な保護措置を講じた場合にのみ，個人情報処理者は敏感個人情報を取扱うことができる。」と規定している。つまり，個人情報処理者が不必要な敏感個人情報を収集した場合には，当該敏感個人情報の取扱いにおいて法により「通知・同意」の義務を履行したとしても，「個人情報保護法」に違反する恐れがあるため特に注意が必要である。

また，児童の個人情報について，「児童個人情報ネットワーク保護規定」11条も，個人情報処理者は，「提供するサービスに関係のない児童の個人情報を収集してはならない」と規定しており，「個人情報保護法」の必要性の原則と同様の定めとなっている。

[1]「個人情報安全規範」の最新版は2020年の制定であり，かつその中の要求と「個人情報保護法」は（矛盾がないが）完全には一致しないことに鑑み，今後更に改正「個人情報安全規範」又は具体的な実施細則が発布される可能性がある。

[2]「個人情報安全規範」における原文は，「個人情報支配者」（controller）であり，定義はGDPRにおける「管理者」（controller）及び「個人情報保護法」における「個人情報処理者」と同じである。用語統一のため，ここでは「個人情報保護法」における表現に改める。

[3]「個人情報安全規範」５.４条c）注３の規定によれば，個人生体識別情報には，個人の遺伝子，指紋，声紋，掌紋，耳殻，網膜，顔識別特徴等が含まれる。

[4] そのうち，「個人情報保護法」29条は，「敏感個人情報を処理するにあたり個人の単独の同意を取得しなければならない。法律，行政法規において，個人情報を処理するにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき，その規定に従う。」と規定し，「単独の同意」と特別要求時の「書面による同意」を要求する。「個人情報息安全規範」５.４条b）は，明示的な同意を要求することを提起したのみである。c）は，個人生体識別情報について「単独の通知＋明示的な同意」の要求を提起し，実際の操作を結びつけると「単独＋明示的」な同意を要求すると理解すべきである。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

シンガポール個人情報保護法Q&A（第16回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→シンガポール個人情報保護法Ｑ＆A（第16回)

2022年2月2日

One Asia Lawyers シンガポール事務所

シンガポール個人情報保護法Q&A（第16回）

2022年春、弊所からは、本稿や中国の個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法（仮）」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

　本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.　違反事例通知義務（Data Breach Notification Obligation）が生じる場合の通知にあたっては、他にどのような点に留意すべきですか。

（１）通知の際のタイムフレーム

ガイドラインによると、万が一、個人情報に関する漏洩事故が発生し、通知が必要と判断された場合の通知に関するタイムフレームは次の通りです。

(a) PDPCに対しては、可能な限り速やかに、ただし、いかなる場合でも、通知が必要と判断された日の翌日から3日以内[1]

(b) 個人に対する通知も必要と判断された場合、可能な限り速やかかつPDPCへの通知と同時、又は通知後

上記の通り、PDPC及び/又は影響を受ける個人への通知のためのこれらの期限は、その漏洩事故が通知可能であると事業者が判断した時点から開始されます。この通知が不当に遅れた場合には、違反事例通知義務違反となり、また事業者は、通知が遅れた理由を証拠とともに明示することが求められます。通知が遅れた理由は、事業者の違反事例通知義務違反の重大性に関係し、その結果、事業者に課される罰則の内容や厳格性に関係する可能性があるため注意が必要です。

　ただし、漏洩事故の発生後、事業者が適切なタイミングで是正措置を講じた結果、その事故が影響を受ける個人に重大な損害を与える可能性が低くなった場合等には、個人に対する通知義務は不要となり得ます。また、ガイドライン上、漏洩事故が発生した場合でも、個人情報保護の暗号化、パスワード保護等、技術的はセキュリティ対策を適切に行っていたことにより、一般的に無権限者がそれらの個人情報にアクセスできない状態になっていたような場合でも、個人に対する通知義務は不要となり得るとされています[2]。

一方で、上記のような場合でも、PDPCに対する通知義務は免れません。

（２）PDPCへの通知に含まれるべき内容

　PDPC及び/又は影響を受ける個人に対して通知を行う場合、事業者は、知りうる限りできるだけ詳細な情報を提供すべきことが求められています。また、通知には、事業者の個人情報管理及び是正計画に関する情報も含める必要があります[3]。PDPCに対する具体的な通知先としては、PDPCウェブサイト（https://eservice.pdpc.gov.sg/case/db）であり、また重大なケースの緊急通知については、営業時間内であれば、PDPC窓口（+65 6377 3131）に直接に連絡することも可能です。

　PDPCに対して通知すべき内容に関する具体的な事項は、次の通りです。

(a) 漏洩事故に関する事実状況

(i) 当該事故が発生したことを事業者が初めて認識した日及びその状況

 (ii) 当該事故が発生した経緯

 (iii) 当該事故により影響を受けた個人の数

 (iv) 当該事故により影響を受けた個人情報の内容、又はその類型

 (v) 当該事故害の結果、影響を受ける個人に対する潜在的な損害

(b) 当該事故への対応

 (i) 事故の発生を認識した後に事業者がとった措置の時系列的説明（通知が必要であると判断するに至ったセルフアセスメントの内容を含む）

 (ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報（影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等）

 (iii) 当該事故の発生及び影響を受ける個人に対してあり得る損害をどのように除去又は軽減するかに関する計画（一般用語による表現で足りる）

(c) 事業者の連絡先情報

 (i) 事業者の少なくとも1名の正式な代表者の連絡先（代表者がDPOである必要はない）

以上のほか、事業者が影響を受ける個人に通知する必要がないと判断した場合には、PDPCへの通知にあたり、その理由も明示する必要があります。

（３）影響を受ける個人への通知に含まれるべき内容

事業者は、影響を受ける個人への通知にあたっては、以下の情報を含めるべきとされています。

(a) 漏洩事故に関する事実状況

 (i) 当該事故が発生したことを事業者が最初に認識した状況

 (ii) 当該事故の影響を受けた、又は影響を受ける個人に関する個人情報の内容、又はその類型

(b) 当該事故への対応

(i) 当該事故により影響を受ける個人が被る可能性のある損害

(ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報（影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等）

 (iii) 事故により生じる潜在的損害を除去又は軽減するため、当該影響を受ける個人が取り得る措置

(c) 事業者の連絡先情報

 (i) 事業者の少なくとも1名の正式な代表者の連絡先（代表者がDPOである必要はなく、PDPCへの通知の際に記載した代表者と同じでなくても良い）

影響を受ける個人への通知は、明確かつ容易に理解できるものでなければなりません。また、これには、漏洩事故により生じ得る潜在的損害から自身を保護するため、影響を受ける個人が取るべき手段についてのガイダンスも含まれていなければなりません。個人が幼少な場合等においては、事業者は、漏洩事故の対象となった個人の両親又は保護者に通知する必要があります。

また、漏洩された個人情報がセンシティブな内容を含み、個人の特定がなされることが不都合と考えられる場合、事業者はまずPDPCに通知し、影響を受ける個人への通知に関する指導を仰ぐべきであるとされます。

もっとも、事業者は、影響を受ける個人に送られるべき通知内容をPDPCに提供する必要はないとされています。

[1] 例えば、1月1日に通知が必要と判断された場合には、1月4日までにPDPCに通知しなければなりません。

[2] このようなセキュリティ対策が十分か否かの判断にあたっては、事業者の属する業界の一般的な慣行に照らして商業的に妥当と言えるか否か、セキュリティ対策の選択肢の利用可能性及び費用水準等も考慮することができるとされています。

[3] 詳細については、Personal Data Protection (Notification of Data Breaches) Regulations 2021（https://sso.agc.gov.sg/SL-Supp/S64-2021/Published/20210129?DocDate=20210129）をご参照ください。

　　　　　　　　　　　　　                                                                                                         以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

中国個人情報保護法Q&A（第3回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→中国個人情報保護法Ｑ＆A（第3回)

2022 年1月11日

One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A（第３回）

2022年春、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法（仮）」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

　本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q：個人情報保護法の適用が免除される個人・法人等があるのであれば，教えてください。政府関係の機関（公立学校，公立病院）や政府系企業が保有する個人情報の取扱いに関しても個人情報保護法が適用されるのですか。 

「個人情報保護法」上，同法３条の規定する活動を行っているにも関わらず同法の適用を免除されるような類型の個人・法人は存在しない。但し，「個人情報保護法」72条では，「自然人が個人的な，または家庭にかかわる都合で個人情報を取り扱う場合には，本法を適用しない。」と規定され，これが唯一の適用外の規定となっている。

国家機関については，「個人情報保護法」２章３節に単独で「国家機関の個人情報取扱いの特別規定」の章節が設けられている。本章節は，国家機関が個人情報を取扱う際にも「個人情報保護法」が適用されることを明確にすると同時に，次のような，国家機関に対する特別規定も規定している。

１．個人情報を法定手続きに従って取扱わなければならず，かつ，その取扱いが法定職責に必須の範囲と限度を超えてはならない。（34条）

「個人情報保護法」34条は，「国家機関が法定職責を履行するため個人情報を取扱うとき，法律・行政法規の規定する権限・手続きに従わなければならず，法定職責の履行に必要な範囲と限度を超えてはならない。」と規定した。つまり，国家機関が法定職責に必須の範囲と限度を超えて個人情報を取扱うとき，たとえ「通知・同意」のステップを履行していても，違法な取扱いとなる可能性がある。

２．第18条の状況のほか，個人に対する通知が国家機関の法定職責の履行の妨げとなる場合には，通知義務を履行しなくてよい。（35条）「個人情報保護法」35条は，国家機関も通知義務を履行すべきことを明確にしたが，通知義務を行使する必要のない状況も列記している。「個人情報保護法」
（１）18条１項の状況があるとき。すなわち，「法律，行政法規に秘密を保持するものと定められており，又は通知する必要がない」とき，通知義務を履行しなくても良いとされている。なお，この条項の適用は国家機関に限定されない。
（２）通知することで国家機関の法定職責の履行の妨げとなるとき。これは，国家機関が通知義務を履行しなくてもよい特別な事由であり，刑事事件の捜査過程での個人情報の収集・使用等が典型的な適用例である。

３．国家機関が取扱う個人情報は，中国国内に保存しなければならない。（36条）

４．個人情報を国外に提供する必要があるとき，安全評価を行わなければならない。（36条）

「個人情報保護法」38条は，個人情報処理者が国外に個人情報を提供する数種類の方法を規定しているが，その一つが、国家インターネット通信部門が手配する安全評価である（具体的には，次回以降の記事を参照されたい。）。これにより，国家機関は，40条の規定する重要情報インフラ運営者と個人情報の取扱いが国家インターネット通信部門の定める数量に達する個人情報処理者と同じく，安全評価を通過する方式のみにより国外に情報を提供することができる。

政府関係機関（公立学校，公立病院を含む）および国有企業について，「個人情報保護法」37条は，「法律，法規の授権する公共の事務を管理する職能を有する組織が法定の職責を履行するために個人情報を取扱う場合には，本法の国家機関の個人情報取扱いに関する規定を適用する。」と規定している。よって，公立学校，公立病院，国有企業等が特定の法律，法規の授権を経て公共の事務を管理する職能を有し，法定の職責の履行として個人情報を取扱うとき，「個人情報保護法」の原則規定が適用されるほか，前述の国家機関に対する特別規定も適用される。

Q：個人情報保護法に基づき，事業者が遵守すべき義務にはどのようなものがありますか。 その義務を履行したといえるためには，具体的にどのような手続きを行わなければならないのでしょうか。

１．概要

「個人情報保護法」は，第五章（51条から59条）を「個人情報処理者の義務」として，個人情報処理者の義務につき特に規定した。但し，本章のほかにも個人情報処理者の義務は，個人情報処理者の特定の取扱い行為の規定の中に散見される。

すなわち，「個人情報保護法」における個人情報処理者の義務は，おおむね三つの類型に分類することができる。一つ目の類型は，第五章に規定される「日常管理義務」であり，セキュリティ保護義務等すべての個人情報処理者が遵守すべき義務が含まれるとともに，特定の標準を満たす個人情報処理者が遵守すべき義務も含まれている。二つ目の類型は，「特定の行為に従事する際に課せられる義務」で，主に法定の行為に従事する前に，個人情報保護影響評価を行う義務である。三つ目の類型は，個人情報の収集，保存，使用等の取扱い行為において遵守すべき「特定処理行為の義務」である。「個人情報保護法」第五章に規定されているのは，前二つの類型の義務である。

類型ごとに整理した個人情報処理者の義務の概略を樹形図にすると，概ね以下のとおりとなる。

※樹形図はPDFをご覧ください。

　本記事の他の質問において一部の義務が詳細に説明される予定であることに鑑み，本問では，一つ目及び二つ目の類型に関する義務のみ整理し，他の質問にて論じられている部分については，簡略的な紹介に留める。

２．日常管理義務（一般的義務）

（１）セキュリティ保護義務

個人情報を保護する第一の責任者として，個人情報処理者は，個人情報に対し必要なセキュリティ保護措置及び内部管理措置を講じる義務（本記事では「セキュリティ保護義務」と呼称する。）を負う。「個人情報保護法」51条は，個人情報処理者が講じるべき措置として，制度制定，分類管理，技術的措置，従業員管理，応急対応案等を列記している。詳細は，次回以降の記事を参照されたい。

（２）応急対応義務

セキュリティ保護義務が個人情報の漏洩，改竄，逸失等，個人情報セキュリティ事件の発生を未然に防止するための予防的義務であるならば，応急対応義務は，個人情報セキュリティ事件が発生した場合に，その発生中又は発生後に講じる保護義務である。この点，「個人情報保護法」27条によれば，個人情報の漏洩，改竄，逸失が発生した場合，個人情報処理者は主に二つの義務を負い，その一つ目は，救済措置を講じることであり，二つ目は通知義務を履行し，個人情報セキュリティ事件による損失を減少させることである。詳細は，次回以降の記事を参照されたい。

（３）定期的なコンプライアンス監査義務

「個人情報保護法」54条は，個人情報処理者に，個人情報の取扱いにかかる法律，行政法規の遵守状況について定期的なコンプライアンス監査を行うことを要求する。但し，「個人情報保護法」には原則的な条項が設けられたのみで，今後具体的な詳細を定めた細則が発布されることが予想される。

３．日常管理義務（特殊な要求を満たす個人情報処理者又は特殊な行為に従事する個人情報処理者の義務）

（１）個人情報保護責任者を設置する（取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者）

「個人情報保護法」52条は，取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者は，個人情報保護責任者を指定するよう規定した。規定の数量に達する個人情報処理者は，個人情報保護責任者の連絡先を公開し，かつ，個人情報保護責任者の氏名，連絡先等を個人情報保護職責の履行部門に届出なければならない。但し，目下，国家インターネット情報部門は規定の数量につき明確な数を示す明文を発布していない。詳細は，次回以降の記事を参照されたい。

（２）専門機構又は指定代表の設置（国外機構）

「個人情報保護法」は国外においても効力を有し，国外機構が中国国内の個人情報を取扱う活動が指定の状況に合致する場合にも，「個人情報保護法」が適用される。中国国内の個人の個人情報に関わる権益を確実に保護するため，「個人情報保護法」は本法が適用される国外の個人情報処理者に，中華人民共和国国内に専門機構又は指定代表を設置し，個人情報保護に関連する事務を担わせ，かつ，関連機構の名称又は代表の氏名，連絡先等を個人情報保護職責の履行部門に届出ることを要求している。詳細は，次回以降の記事を参照されたい。

（３）大型インターネットプラットフォームの特殊な義務

「個人情報保護法」58条は専門の規定を設けて，重要インターネットプラットフォームサービスであり，ユーザー数が膨大であり，業務類型が複雑な個人情報処理者に対し，以下の義務を履行するよう規定した。

①国の規定に基づき個人情報保護コンプライアンス制度体系を構築・健全化し，主に外部の人員から構成される独立機構を設置し，個人情報保護を監督させる。

②公開，公平，公正の原則を遵守し，プラットフォーム規則を制定し，プラットフォーム内の商品又はサービス提供者の個人情報取扱いの規範と個人情報保護の義務を明確にする。

③法律，行政法規に重大な違反をして個人情報を取扱うプラットフォーム内の商品又はサービス提供者に対し，サービスの提供を停止する。

④個人情報保護の社会責任報告を定期的に発行し，社会的監督を受ける。

この点に関し，市場監督管理総局は2021年10月29日に「インターネットプラットフォーム分類分級ガイドライン（意見募集稿）」及び「インターネットプラットフォームの主体責任実現ガイドライン（意見募集稿）」を公表した。これらのガイドラインは，大型インターネットプラットフォーム認定の参考になり得ると考えられる。

４．特定の取扱い行為に従事する前の義務　個人情報保護への影響評価

（１）定義

「個人情報保護法」が発布される以前には，「個人情報安全規範」及び「情報安全技術個人情報安全影響評価指南」（GB/T 39335-2020，以下「個人情報安全影響評価指南」という。）において，個人情報安全影響評価[1]に対する要求が提起されていた。そして，「個人情報保護法」は，55条と56条において，初めて法律レベルで個人情報保護影響評価の義務を明確にした。

なお，「個人情報保護法」は，個人情報保護影響評価が適用される状況と内容について直接規定しているものの，個人情報保護影響評価の定義は示していない。これに対し，「個人情報安全影響評価指南」３.４条は，個人情報安全影響評価を定義しており，これに基づくと，個人情報保護影響評価とは，「個人情報を取扱う活動について，その適法性，コンプライアンス性を検査し，その個人情報主体の合法的な権益を損ねる各種リスクを判断し，個人情報主体を保護する各種措置の有効性を評価する過程」であると理解すべきである。

（２）適用される取扱い行為

「個人情報保護法」は，個人情報処理者に以下に掲げる状況のひとつがあるとき，事前に個人情報保護影響評価を行い，かつ，取扱い状況を記録しなければならないと規定している。個人情報保護影響評価報告と取扱い状況の記録は，少なくとも三年間保管しなければならない。

①敏感個人情報を取扱う場合

②個人情報を利用して自動化された意思決定を行う場合

③個人情報の取扱いを委託し，その他の個人情報処理者に個人情報を提供し，又は個人情報を公開する場合

④国外に個人情報を提供する場合

⑤その他個人の権益に重大な影響を与える個人情報の取扱い

このうち，“⑤その他個人の権益に重大な影響を与える個人情報の取扱い”の具体的な内容については，「個人情報安全規範」11.４条に規定された個人情報安全評価の義務を負う状況を参考にすることができる。すなわち，同条のc）は，「製品又はサービスを発布する前，又は業務に重大な変化が生じるとき」，d）は，「法律法規に新たな要求があるとき，又は業務モデル，情報システム，運用環境に重大な変更が発生したとき，又は重大な個人情報安全事件が発生したとき」に安全評価を行うべきとされている。

（３）評価内容

「個人情報保護法」56条は，個人情報保護影響評価は以下を含むものと規定している。

①個人情報の取扱い目的，取扱い方式等が合法，正当，必要であるか否か

②個人権益への影響とセキュリティリスクの有無

③採られた保護措置が合法，有効であるか，リスク程度に適するか否か

個人情報保護への影響評価の具体的な内容については，個人情報保護に対する影響評価に関する法律法規が発布されるまでは，「個人情報保護法」と「個人情報安全影響評価指南」等の国家標凖を参考にすることができる。

[1]「個人情報安全規範」及び「個人情報安全影響評価指南」の中で用いられるのは“個人情報安全影響評価”であり，「個人情報保護法」にて規定されるのは“個人情報保護影響評価”で，表現は一致していないが，主旨は同じである。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

シンガポール個人情報保護法Q&A（第15回）についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

→シンガポール個人情報保護法Ｑ＆A（第15回)

2021年12月3日

One Asia Lawyers シンガポール事務所

シンガポール個人情報保護法Q&A（第15回）

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.　違反事例通知義務（Data Breach Notification Obligation）とは、どのような義務ですか。

 PDPAの2021年2月における改正により、Part 6Aが新設され、同Partにおいて、事業者は、何らかの個人情報漏洩事故等の違反事例(data breach)が発生した場合に、それが通知すべきものであるかどうかを自己評価し、通知すべきと評価された場合には影響を受ける個人及び/又はPDPCに通知すべきものとされており、また、公的機関を含む他の事業者のためにデータを処理するデータ仲介者においても、発見された違反事例について他の事業者又は公的機関に速やかに通知すべきものとされています。この義務を、ガイドライン上、違反事例通知違反と呼んでいます。

事業者は、（自己発見、一般市民からの通報、データ仲介者からの通知等に基づき）違反事例が発生したと信ずるに足る十分な根拠を得た場合には、その違反事例がPDPAに基づき通知すべきか否かを評価するため、合理的かつ迅速な手順を踏むことが要求されます。また、影響を受ける個人への重大な損害の可能性は時間とともに増加する可能性があるため、評価は迅速に行われるべきであり、事業者は、一般にこれを30日（暦日）以内にこれを行うことが求められ、遅延は違反事例通知義務の違反となり得るため注意が必要です。この点、ガイドラインにおいては、違反事例に関する事実を立証し、それが通知すべきものかどうかを判断するために時間を要する様々な状況があり得るかもしれないことに鑑み、事業者が30日以内に自己評価を完了できない場合には、その評価の実施に要した時間についてPDPCに説明する準備をしておくべきことが示唆されています。また、この自己評価を行うために合理的かつ迅速な手段を講じたことを証明するため、事業者は、その違反事例の評価に要した全ての手順を文書化しなければならず、更にそれに関する証拠資料も準備しておかなければならない可能性もあります。

なお、この違反事例通知義務は、データ仲介者が違反事例を発見した場合にそれを依頼者である事業者に対して速やかに通知すべきことも含みますが、データ仲介者に対しては、上記のような自己評価やその後の通知までを求めるものではなく、それらの義務・責任は、あくまで事業者自身が負うものとなります。そこで、ガイドライン上は、事業者がデータ仲介者との間でサービス契約等締結する際に、違反事例通知義務を遵守するための明確な手順（事例の連絡方法、確認プロセス、その後の回復措置等）についても約定することが推奨されています。

また、違反事例が、複数の事業者が所有ないし管理している個人情報を含む場合には、各事業者が、それぞれその違反事例に関する通知義務を負うことになります。

Q.　具体的には、どのような場合に違反事例通知義務（Data Breach Notification Obligation）を果たすべきことになるのですか。

　事業者が違反事例通知義務を負う際の要素としては、(a)違反により影響を受ける個人にもたらす害悪が重大な場合、又は(b)違反の規模が重大な場合、の2つが挙げられます。

(a)「重大な害悪（significant harm）」

事業者は、違反により影響を受ける個人に対して「重大な害悪（significant harm）」をもたらす可能性があるため、違反事例を通知すべきか否かにつき自己評価を行うことが求められます。この通知により、影響を受ける個人がその事実（自己の個人情報の漏洩等）を認識し、自己を保護するための手段（パスワードの変更、クレジットカードの解約、アカウントに異常な活動がないか等を監視する等）を取ることができるようになります。

そして、この「重大な害悪」には、身体的、心理的、感情的、経済的、金銭的な損害のほか、レピュテーションの毀損、合理的な人物であればその違反事例の結果として認識するであろうその他の形態の害悪が含まれ得ます。

この点、Personal Data Protection (Notification of Data Breaches) Regulations 2021[1]においては、漏洩した場合に影響を受ける個人に重大な害悪をもたらすとみなされる個人情報の類型として、次のようなものを挙げています。

(a) 個人のフルネーム[2]若しくは通称、又は完全な国民識別番号[3]及び次の類型のいずれかの個人情報との組み合わせ[4]

・公開されていない財務情報（賃金・報酬等の収入、クレジットカード情報、その他資産、負債、信用に関する情報等）

・児童・未成年、保護が必要な成年に関する識別情報・経歴（非行歴）等

・公開されていない生命保険・健康保険等に関する情報

・特定の医療・健康関連情報

・養子縁組に関する情報

・何らかの暗証番号・プライベートキー

(b) 銀行口座の特定に関する個人情報

　逆に言えば、上記の類型に属さない個人情報の組み合わせ、例えば氏名と電話番号等の連絡先のみが漏洩した場合であれば、必ずしも上記のような「重大な害悪」が生ずる場合に該当せず、通知を要しないと判断され得ることになるため、実際に漏洩事故が発生した場合でも、冷静な対応により、この判断を行っていくことが肝要になると思われます。

(b)「重大な規模の違反（Significant scale of breach）」

　違反の規模が重大となる場合、それは事業者内部におけるシステム上の問題が存在している可能性があるため、その違反についてPDPCに対する報告義務を課すことにより、是正や予防のための措置を講じるよう促すことが期待されるとされます。

　この点、違反の規模が重大と言えるための具体的な数値としては、ガイドライン上、500名以上の個人情報に関わるものであるか否かにより判断されます。違反により500名以上の個人に影響を与える場合、その違反事例が上記(a)所定の類型の個人情報に関連しない場合でも、事業者は、PDPCに対して通知すべきことになります。

　また、事業者が違反の規模を確定できない場合でも、それが500名以上の個人に関わると信ずる理由があるときは、PDPCに報告すべきであり、これは事前評価による推定数に基づいていてもよいとされます。

　上記に関連し、ガイドライン上、いくつかの事例がアドバイスとともに掲載されているため、ご参考までに次の表の通り紹介させていただきます。

[1] 2021年10月1日より、改正版が施行されています。

[2] 公的資料に記載されるフルネームを指し、イニシャルのみは含まないとされます。

[3] 国民識別番号とは、NRIC番号、出生証明書番号、FIN、ワークパーミット番号、パスポート番号、外国人の国民識別番号など、政府から発行されるあらゆる識別番号を指すとされます。

[4] 詳細は、ガイドライン20.15項をご参照下さい。

https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Key-Concepts/Advisory-Guidelines-on-Key-Concepts-in-the-PDPA-1-Oct-2021.pdf?la=en

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal