1.はじめに
2017年以降、中国においては「ネットワーク安全法」[1]、「データ安全法」[2]、「個人情報保護法」[3]が相次いで施行され、データに関するいわゆる「3本柱」が構築された。これらの「3本柱」の規定からみると、ネットワーク及びデータに関する活動を行う主体は、その行為、取り扱うデータの種類などによって、異なる義務を履行しなければならない。例えば、機微個人情報を取り扱う場合には、事前に個人情報保護影響評価を行わなければならないこと、また、重要データの取扱者はデータ取扱活動に対して定期的にリスク評価を実施のうえ関係する政府主管部門にリスク評価報告書を提出しなければならないことなどが挙げられる。ただし、大手企業の場合、社内各部門におけるデータ取扱活動が相対的に独立しているため、部門ごとのネットワーク及びデータ活動に関する義務の履行要否について正確に判断することが難しく、コンプライアンスリスクが生じるおそれがある。企業がどのようなネットワーク及びデータ活動を展開し、どのような法的義務を履行すべきかを全体的に把握するためには、社内でデータコンプライアンスの評価を実施する際に、まずは法的観点からデータマッピング(以下、「法務データマッピング」という)を行う必要がある。
「データマッピング」とは元を辿ればITに関連する概念であり、ソースデータモデルとターゲットデータモデル間でデータ要素に基づき関連付けるプロセスのことをいう。法律上、データ関連の「3本柱」では、データマッピングについて明確に定義されておらず、この概念は、推薦性国家基準である「情報安全技術 個人情報安全影響評価ガイドライン」(GB/T 39335-2020)に定められた要求に由来する。当該国家基準の規定により、個人情報安全影響評価を実施する際には、個人情報支配者が個人情報を取り扱うプロセスに対して全面的な調査研究を行い、明確なデータリスト及びデータマッピンググラフを作成しなければならない。ただし、当該国家基準においては、データマッピングの具体的な方法について定められておらず、個人情報の取扱状況のみのデータマッピングを行ったとしても、ネットワーク安全、データ保護及び個人情報保護などの各観点からすれば、データコンプライアンスのニーズを全面的にカバーすることはできない。したがって、本稿では、これまでの取扱事案を踏まえ、法務データマッピングのより一般的な実施プロセス及びよく見受けられる問題について紹介したい。
2.法務データマッピングの実施プロセス
(1)データマッピングリストの作成
上述のように、データマッピングの主な役割は、データに関する社内の収集、保存、使用、処理、提供等の行為を把握し、どのような法的義務を履行すべきかを明確にすることにある。例えば、ネットワーク安全の等級別保護など「ネットワーク運営者」としての義務を履行すべきか否かを判断する場合、その判断要素は「ネットワークを所有、管理又はネットワークサービスを提供しているか否か」、「情報システム、通信ネットワーク設備及びデータ資源などの等級別保護対象が存在するか否か」などである。「機微個人情報の取扱い」に関する義務の履行要否を判断する場合には、その判断要素は主に取扱データに「機微個人情報」が含まれているか否かである。社内の各部門が展開するネットワーク及びデータ活動について、コンプライアンスの問題が存在しうる状況を整理するためには、データマッピングを行うにあたり、まずはその目的に基づき、法定義務が生じうる要素を項目ごとに整理したうえで、データマッピングリストを形成することが求められる。
「3本柱」の施行から間もない現段階では、データコンプライアンスに関連する細則、ガイドライン、実務運用がまだ十分ではないため、法令の規定に基づいて整理するだけでは、社内の各部門において正確な判断を行うことが難しく、データマッピングの正確性に影響を与えるおそれがある。例えば、「機微個人情報が存在するか否か」という判断要素について、個人情報保護法では「機微個人情報」の定義として、「それが漏えいされ又は不法に使用されると、自然人の人格の尊厳が侵害を受け又は人身、財産の安全が損害を受けることが容易に惹起される個人情報をいい、生物の識別、宗教の信仰、特定の身分、医療健康、金融勘定、移動軌跡等の情報及び十四歳に満たない未成年者の個人情報が含まれる」と定められているが、これまでの取扱事案をみてみると、具体的なデータ類型を判定するにあたり、会社の公式ホームページに掲載している役員のプロフィール写真、又は従業員が病気休暇を申請する際に提出する診断証明が機微個人情報に該当するか否かなどの問題が依然として少なからず見受けられている。このため、データマッピングリストには、関連する国家基準、実務経験などを踏まえて、法令で定められている内容よりも更に具体的に各判断要素について説明を付すべきである。必要に応じて、社内の関連する部門の責任者を対象にデータコンプライアンス研修を事前に行うことも考えられる。
(2)データの整理及びマッピング分析
データ取扱活動を展開する社内の各部門にデータマッピングリストを配布した後、各部門においてはそのネットワーク及びデータ関連する状況を整理のうえリストに記入する。この過程で様々な質問が生じることは避けられない。このため、各部門における確認過程で生じる質問について、速やかに質問を収集し、よくある質問集(FAQ)の形で各部門にフィードバックすることが推奨される。
社内の各部門からデータマッピングリストが提出された後には、分析を前にリストに掲げられた内容を初期段階として確認し、問題が生じうる点について追加調査を行わなければならない。その後、データマッピング結果の正確性を確保するために、法務・コンプライアンス部門及び第三者の専門家においてデータマッピングを分析し、企業が遵守すべき義務及び当面のコンプライアンス状況をまとめて、その上でコンプライアンスの提案及び改善案を提示することが推奨される。
3.法務データマッピング後のよくある対応事項
(1)ネットワーク安全等級別保護に関する対応事項
「ネットワーク安全法」及び関連法令に基づき、ネットワーク運営者はネットワーク安全等級別保護制度の要求に従い、相応の安全保護義務を履行しなければならない。これには内部安全管理制度及び操作規程の制定、ネットワーク安全責任者の確定、必要なネットワーク安全技術的措置の採用などが含まれる。企業が管理しているネットワークの中に、情報システム、通信ネットワーク設備又はデータ資源などの等級別保護対象がある場合には、関連する国家基準に基づき、安全保護等級を確定しなければならず、第2級以上の保護対象とされた際には、届出手続きを完了しなければならない。
これまでの取扱事案を踏まえると、データマッピングを行う際に、ネットワーク安全等級別保護の等級評価又は届出手続きが未了であったり、関連する管理制度が未制定であったりといった問題がよく見受けられる。「ネットワーク安全法」及び関連する国家基準は施行から数年が経ち、管理も徐々に改善されつつあり、近年では調査や処罰の実例も現れたため、このような問題が発見された場合には、法令の関連する要求に基づいて速やかに社内で調整することが求められる。
(2)個人情報同意書の作成、安全対策の整備など
「個人情報保護法」の施行前、既に施行済みの「ネットワーク安全法」などにおいて、個人情報を収集するには個人の同意を得るべきであることが原則として定められていたが、実務では同意を得ずに個人情報を取り扱うケースがよく見られる。特に従業員の個人情報(機微個人情報が多く含まれる)を取り扱う際に、従業員の同意を得ず、個人情報に関する労働規則制度も制定されていない状況も珍しくない。これについて、「個人情報保護法」は、個人情報取扱規則を明確に定め、個人情報取扱者の安全保護義務などについても定めている。企業はその取り扱う個人情報の種類、情報源などにより、個人情報同意書、プライバシーポリシー、労働規則、管理規定などの必要な書類を作成し、関連する規定に基づき個人情報安全保護措置を完備しなければならない。
(3)データの海外保存に関する問題
企業の管理・経営のデジタル化に伴い、データの越境移転もよく見られる。本社を中国国外に置くグローバル企業であれば、統合的な管理、経営データの活用などのために、サーバーを本社に設置し、中国国外でデータを保存するケースが多い。しかし、データ関連の「3本柱」の関連規定によれば、重要情報インフラ運営者が中国国内での運営活動により収集し、生じた個人情報及び重要なデータは、原則として中国国内で保存しなければならない。重要情報インフラ運営者以外の企業が個人情報を海外に提供する場合には、国外の受取人と標準契約を締結し、個人情報保護影響評価を行わなければならない。これらの措置にはコンプライアンスコストが生じる。データマッピングの結果により、海外で保存される情報の中に個人情報や重要データが含まれる可能性がある場合には、関連する法定義務を履行すると同時に、データ保存の手順を適時に検討・調整し、情報の非特定化などの方法により、コンプライアンスのコストやリスクを軽減することが提案される。
4.おわりに
中国のデータに関する立法体系は、現時点ではまだ健全とはいえず、重要データや個人情報の取扱いなどに関する一部の法定義務をどのように履行すべきかなどの問題について、細則や基準、実務も十分ではない。したがって、企業においては、必要に応じて専門家にアドバイスを求め、リスクが生じやすい行為などを対象に明確な法務データマッピングを行うことが求められる。これと同時に、立法動向や実務上の取扱いなどを踏まえて総合的に分析し、コンプライアンスコストとリスクのバランスを捉えつつ、合理的なコンプライアンス対応策を検討していくことが推奨される。
全国人民代表大会常務委員会、2017年6月1日施行。
全国人民代表大会常務委員会、2021年9月1日施行。
全国人民代表大会常務委員会、2021年11月1日施行。
