1.はじめに
中国の「個人情報保護法」が2021年11月1日に施行された。同法は、個人情報保護分野の「基本法」として、個人情報の取扱や個人情報越境提供に関する規制、個人の権利と個人情報取扱者の義務などについて、全面的かつ系統的に定めている。企業を含む個人情報取扱者が遵守すべき義務についても明確な規定を設けていることから、社会の大きな注目を集めている。他方、「個人情報保護法」は「基本法」としての位置づけであることから、その一部の規定について、実務上どのように取り扱うべきか詳細に定めていない。このため、その他の関連する法規、国家基準などを参考にする必要があり、一部の内容については、今後の付随的な法規、細則又は基準などによるさらなる整備が待たれる。
この状况を受けて、関連する細則、基準などが完備される前において、実務上どのように個人情報取扱者の義務を遵守すべきかなどについて企業は困惑しており、当チームにも多くの問合せが寄せられている。本稿においては、当チームのこれまでの実務経験を踏まえ、関連する法令や国家基準などを参考に、「個人情報保護法」の定める個人情報取扱者の安全管理義務を企業がどのように遵守していくかについて全面的に分析し、社内制度の構築及び完備、関連する内部規定の制定などについて実務面での提案を行いたい。
2.安全管理義務
(1)概要
「個人情報保護法」51条は、個人情報取扱者の安全管理義務及び個人情報の安全保障に必要な措置について定めている。同条により、個人情報取扱者は、次に掲げる措置を講じ、個人情報取扱の活動が法律、行政法規の規定に適合することを確保するとともに、授権のないアクセス及び個人情報の漏えい、改ざん、紛失を防止しなければならない。
- 内部管理制度及び操作規程の制定
- 個人情報に対する分類管理の実施
- 相応の暗号化、非特定化などの安全技術措置の採用
- 個人情報取扱の操作権限の合理的な確定並びに従業員に対する安全教育及び研修の定期的な実施
- 個人情報安全事件緊急対応策の策定及び実施の手配
この51条は、上記の措置を社内で講じるという企業の義務を明確にした。また、「個人情報保護法」69条は過失の推定原則を規定しており、企業が上記の安全保障措置を効果的に講じた場合であって、今後の個人情報の取扱により個人情報の権利・利益を侵害して権利者に損害を及ぼすとき、過失責任を推定する際にその措置の実施は企業にとって資することとなる。
(2)内部管理制度及び操作規程の制定
「個人情報保護法」は、内部管理制度及び操作規程(以下、「関連内部規定」という)について、具体的にどのような内容を含むべきかは明確に規定していない。これまでの当チームでの経験によれば、会社の関連内部規定が過度に簡易なもので具体的な措置がない場合には、今後個人情報の権利者との紛争が生じたとき、会社はその安全措置を効果的に講じており、過失責任がないと主張し、過失責任がない旨を証明することが極めて難しい。この点から、会社の関連内部規定の内容はできる限り全面的なものとし、具体的な措置を具備したものとすることが提案される。
なお、「インターネット個人情報安全保護ガイドライン」[1](以下、「安全保護ガイドライン」という)及び「情報安全技術 個人情報安全規範」[2](以下、「安全規範」という)の関連規定などを踏まえ、内部管理制度及び操作規程の制定に際しては、少なくとも次に掲げる内容を含むことが提案される。
内部管理制度:
①個人情報保護業務の全体方針と対応策(これには個人情報保護業務の目標、範囲、原則及び安全措置の枠組みなどに関する説明を含む)
②收集、保存、使用、提供などの各個人情報取扱の各段階における情報取扱及び安全技術措置に関する原則的規定
③社内の関係部署、人員とその取扱権限に関する原則的規定
④安全教育と研修の定期的な実施
⑤コンプライアンス監査の定期的な実施
⑥安全事件の緊急取扱に関する原則的規定
操作規程:
①個人情報及び個人機微情報の具体的な識別方法
②收集、保管、使用、提供など各個人情報取扱の各段階における取扱の手順
③安全技術措置の具体的な実施方法
④社内関係部署と人員の具体的な職責、操作権限など
(3)個人情報の分類管理
「個人情報保護法」の第1次審議草案において、個人情報取扱者は「個人情報について級に分けて分類管理を行う」ものとすると規定されていたが、第2次審議稿においてその「級に分けて」という文言が削除され、「分類管理」のみが残された。この点から分かるとおり、個人情報管理上の分類は、ネットワーク安全とデータ安全における級分けと異なり、情報の個人に対する影響の程度のみをもって、機微情報と非機微情報のように単純に等級を分けることではなく、個人情報の取扱状況などに応じて分類管理を行う必要があると考えられる。
また、企業ごとにその業務上の必要性により個人情報の利用目的や方法などもそれぞれ異なることに伴い、各種個人情報[3]の取扱方法もそれぞれ異なり、個人の権利・利益に生じる影響及び安全リスクにも違いがある。このため、実務においては個人情報の級分けだけでは往々にして足りず、個人情報の具体的な取扱状況などに応じて分類のうえそれぞれに保護措置を講じる必要がある。
(4)暗号化、非特定化などの安全技術措置
いつ、どのような情報について暗号化処理を講じるのか、「個人情報保護法」は具体的に定めていない。「安全規範」は個人の機微情報を伝送・保存する際に暗号化などの安全措置を講じるものと定めている一方、「安全保護ガイドライン」は個人情報を收集した後の伝送・保存について、いずれも暗号化処理を行うことを定めているが、個人の機微情報には限定していない。関連するリスクを極力軽減するという観点から、各種個人情報の伝送及び保存についてはいずれも暗号化措置を講じ、個人の機微情報についてはさらに暗号化技術[4]を採用して、アクセス権限などを制限してより厳格な安全措置を講じることが望まれる。その際には、会社の作業負担とコンプライアンス遵守の両方を考慮しながら、バランスの取れた対応方針を検討することもポイントとなる。
非特定化とは、個人情報の処理により、追加情報がない状況下で特定の自然人と識別できないようにする作業をいう。非特定化の目的はデータと個人情報の主体との間の関連性を弱めることであり、個人情報の識別子を削除するか、又は仮名、暗号化、ハッシュ関数などの技術をもってそれを変換させることである。その具体的な方法は推奨国家基準「情報安全技術 個人情報非特定化ガイドライン」(GB/T 37964-2019)を参考にできる。
どのような状況において非特定化が必要となるかについても、「個人情報保護法」は具体的に定めていない。「安全規範」において、個人情報を收集した後、直ちに非特定化処理をしなければならない旨の規定があるが、同規範は強制的国家基準ではなく、あくまで参考にすぎないため、実務においては、会社の作業負担とコンプライアンス遵守の両方を考慮しながら、バランスの取れた対応方針を検討することが求められる。
(5)取扱権限及び安全教育研修
個人情報の取扱において、各部署、人員の権限が明確でない場合には、従業員が職務上の便宜を利用して個人情報の窃盗、改ざん、開示又は削除を行うなど、個人情報取扱上の安全面での抜け穴が生じうる。このため、社内での個人情報に関する操作権限を設定する必要があり、その権限設定にあたっては、権限の分類や承認手続の完備にも注意する必要がある。安全の抜け穴が生じやすい情報の取扱(大量な情報のダウンロードなど)については、社内承認の手続などを設ける必要もある。
このほか、企業は、関連する担当者の専門知識のレベルを向上させるため、社内の安全教育研修を定期的に実施する必要がある。「安全保護ガイドライン」によれば、関連する社内研修について、計画書を制定のうえ、研修方法、研修対象、研修内容、研修時期及び場所などを明確にすること、研修内容には情報安全の基礎知識、個人情報に関する操作権限の規定などを含むものとし、研修記録も作成することと定めている。他方、「個人情報保護法」を含む現行法令においては、研修の回数、参加者などについて明確な要求が定められていない。このため、会社は具体的な状況に応じて検討・決定できるものと解される。
(6)安全事件の緊急対応案
安全事件の緊急対応案は、今後個人情報安全事件が発生した際の対応方案を指し、その内容には通常、緊急対応の手順や事件の報告手順などが含まれる。「安全規範」により、緊急対応には、事件内容の記録、事件が惹起しうる影響の評価などを含むものとされている。また、安全事件の緊急対応案の制定のほか、「安全保護ガイドライン」及び「安全規範」のいずれも、企業においては社内の関連人員に対して緊急対応研修及び緊急訓練を定期的に実施することを要求している(「安全保護ガイドライン」では半年に1回、「安全規範」では少なくとも毎年1回とそれぞれ規定している)。
3.おわりに
「個人情報保護法」は施行から間もないため、同法の定める企業の安全管理義務については原則的な規定にとどまる。関連する具体的な規定は各ガイドラインや国家基準に散見されているが、これらの規定間には矛盾する部分があり不完全な部分も見受けられる。かかる状況下、どのように個人情報保護の社内制度を構築するか、関連する内部規程をどのように制定又は修正すべきかなどについて、困惑している企業が多いようである。当チームは日系企業をはじめとする多くの依頼者に向けて、個人情報保護の社内制度の構築・完備に関する意見、アドバイスを提供し、関連する内部規程の制定、修正の支援もしている中、これらの実務経験を踏まえた本稿が各社での検討にあたり一定の参考となれば幸いである。ただし、各社におかれては、その収集する個人情報の数量、種類、会社の規模、業界、技術レベルなどの実状に基づき、自社又はグループ会社における個人情報取扱状況の調査及びリスク評価を行ったうえで、現実的に実行可能な社内制度及び管理措置を制定し、個人情報の社内管理体制を構築していく必要がある。また、今後の立法、実務動向を注視しながら、必要に応じて社内制度及び規定を適宜調整することも求められる。
公安部、北京市ネットワーク業界協会。2019年4月10日公布。
GB/T 35273-2020。国家市場監督管理総局、国家基準化管理委員会。2020年10月1日施行。
個人基本情報、生物識別情報、ネットワーク情報、健康情報、信用調査情報など。
暗号化技術を採用する際には暗号管理に関連する国家基準の遵守にも注意する必要がある。
