「個人情報保護法」施行後における 外商投資企業のコンプライアンス対応について
2021-11-162021年11月1日に「中華人民共和國個人情報保護法」(以下、「個人情報保護法」とする。)が正式に施行された。「個人情報保護法」は、企業による個人情報の取扱いに関する違法行為に対し、最高で5,000萬元又はその企業の前年度売上高の5%の罰金を科すことができ、更にその企業の責任者等に対し、最高で10萬元以上100萬元以下の罰金等の処罰を科すことができ、史上最も厳しいデータ保護法と言われている。外商投資企業は、その固有の性質により、個人情報の國外送信が先天的客観的に必要なものとなっている。「個人情報保護法」の施行に際し、外商投資企業は、コンプライアンスについて相応の対応措置を取ることに特に注意しなければならない。本文は、外商投資企業が注意すべき點について実務的な角度から分析を行い、コンプライアンスに関する具體的な対応について提案するものである。
一、外商投資企業による「個人情報保護法」への誤解に関する分析 筆者の実務経験上、外商投資企業は、現在のところ主に次の問題に注目している。 1. 會社外部の者の情報を會社が集めていない場合、コンプライアンス対応が必要か。 2.會社がデータ取扱専門の會社ではなく、通常の生産経営上では基本的に取引相手の個人情報を集めず、社員の個人情報も労働契約や人事管理を目的としている。このような場合、コンプライアンス対応は必要か。 上記二つについて、共にコンプライアンス対応が必要と考えられる。上記1.の問題については、「個人情報保護法」第3條において、個人情報を取扱う活動に対し本法を適用すると定められており、その個人情報が社內の者なのか外部の者なのかを區別していない。つまり、その會社が社外の者の情報を集めておらず、社內の者の個人情報のみを集めていたとしても、「個人情報保護法」の規定に従いコンプライアンス対応を実施しなければならない。上記2.の問題については、「個人情報保護法」第13條第2號により、労働契約の履行や人事管理の目的により個人情報を集める場合には個人の同意は必要ないが、この條文を適用するにはある條件を満たさなければならない。それは、集められた社員の個人情報は企業が労働契約を履行するために必要であり、法により制定された労働規則制度や法により締結された集団契約に基づき企業が実施する人事管理のために必要であることを企業が証明できることである。この証明責任は、「労働契約を履行するために必要」な事項について現在のところ法律上明確な範囲がないため、困難なものとなっており、更にその會社がデータ取扱専門の會社でないとしても、通常の経営活動において個人情報が存在する限りは「個人情報保護法」に従いコンプライアンス対応を求められる。通常の場合、企業が行う社員の個人情報の取扱いには、個人情報の收集、保存、使用、加工、伝達、提供、公開、削除等の行為が含まれる。個人情報を取扱う場合、基本的には個人の同意を得なければならないが、「個人情報保護法」第13條第2號から第7號までの規定で定められる6つの事由においては、個人情報の取扱いに際し個人の同意を得なくとも法定の許可が得られる。外商投資企業においては、通常の経営活動の中で個人情報を取扱う際、例えば社員のセンシティブ個人情報を取扱う場合や社員の個人情報を國外へ送信する場合等、上記の法定の許可事由以外の行為も多くなるが、その場合は「個人情報保護法」の規定に従い社員の個別的同意を得て、更に個人情報保護の影響評価を行うことが必要となる。 二、「個人情報保護法」施行後における外商投資企業の注意點 「個人情報保護法」の施行は、外商投資企業に深刻な影響を及ぼす。外商投資企業は、次の點について注目し、十分に注意を払う必要がある。 1. 會社は、社員との労働契約を履行する上で、社員の身分証情報、銀行口座情報、民族及び宗教に関する情報、婚姻歴情報、出産情報、社員の指紋情報等のセンシティブ個人情報を取得する。「個人情報保護法」では、センシティブ個人情報の取扱いに対し、社員の個別的同意を得ること、及び事前に個人情報保護影響評価を行うことを企業に求めている。 2. 外商投資企業は、事の大小にかかわらず、人事又は財務システムに社員の個人情報を登録する習慣があり、そのシステムは、外國の親會社又は統括會社により管理され、サーバーすらも國外に設置されていることがある。このような場合は、會社が社員の個人情報を入力すると同時に個人情報が國外へ送信されることになる。「個人情報保護法」では、個人情報の國外送信に対しても、社員の個別的同意を得ること、及び事前に個人情報保護影響評価を行うことを企業に求めている。 3. 中國にある外商投資企業にも、會社の生産経営管理上の必要により、社員の個人情報を第三者の會社に大量に提供する狀況が普遍的に存在する。例えば、社員の個人所得稅や社會保険の屆出を外部委託するとき、社員のレクリエーションや社員旅行を旅行代理店に委託するとき、駐在員や海外研修対象者のビザ取得をビザ代行會社に委託するとき、年間又は特別財務會計監査を會計監査機関に委託するとき、商業保険への加入のため商業保険會社に提供するとき、その他名刺を作成する會社やビルの管理會社に提供する場合等が挙げられる。このような個人情報取扱者が取扱う個人情報を他の個人情報取扱者へ提供する場合にも、「個人情報保護法」は、社員の個別的同意を得ることを求めている。 同意と個別的同意の関係については、現在のところ意見が分かれており、「個人情報保護法」第14條でいう個別的同意は「同意」の中に含まれる下位概念だとする説もある。筆者は、「個別的同意」とはひとくくりに同意されるものではないと考えている。「個人情報保護法」の第14條に個別的同意が設置された目的は、第13條の包括的同意と區別するためであり、企業は、個人の同意を得るべき事項に対し個人情報取扱同意書を社員と個別に書面で締結しなければならない。當然ながら、この件については國の立法機関が細則を制定することが待たれる。そして、同意と個別的同意の関係について意見が割れているため、コンプライアンスの角度から考え、やはり改めて社員の個別的同意を得ることがより妥當であると考えられる。 個人情報保護影響評価については、「個人情報保護法」第56條の規定に従い、次の3つの點に注意すべきである。第一に、社員のセンシティブ個人情報の収集や社員の個人情報の國外送信を行う目的及び取扱方法等が合法的で正當性があるかどうかについて評価を行わなければならない。第二に、社員のセンシティブ個人情報の収集や社員の個人情報の國外送信による社員個人の権利及び利益への影響及び生じるセキュリティリスクについて評価を行わなければならない。第三に、行った安全保護措置が合法的で有効かどうか、及びリスクの程度に見合っているかどうかを評価する。 上で述べた通り、外商投資企業は、その固有の性質により、個人情報の國外送信が先天的客観的に必要なものとなっている。個人情報の國外送信については、外商投資企業は、社員個人の同意を得て個人情報保護影響評価を行ってから、「個人情報保護法」第38條第1項の規定に従い、國家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得る、又は國家インターネット情報部門の定める標準契約に基づいて、國外の受信者と契約を締結し、雙方の権利及び義務を約定する、という條件を満たさなければならない。これらの中では、國家インターネット情報部門の定める標準契約に基づいて國外の受信者と契約を締結することが最も簡単でコストもかからない。現在のところ、國家インターネット情報部門の標準契約はまだ発表されていないが、國家インターネット情報部門が作成する標準契約は、EUの標準契約を參考にし、データ保護保障措置、外部委託された取扱者の役割、データ主體の権利、責任、監督管理等の內容が含まれた、EUの標準契約と似たような約定になることが予想される。さらに、外商投資企業は、「個人情報保護法」第38條第3項の規定に従い、國外の受信者による個人情報の取扱いが同法に定める個人情報保護基準を満たすために必要な措置を講じることが求められ、それができない場合は、國外へ個人情報を提供してはならない。ここでいう必要な措置とは、一般的には、內部的及び外部的措置が含まれる。內部的措置とは、情報の受信者と送信者との間に法律上又は経済上の関係がある場合、例えば多國籍企業グループ內の會社であれば、拘束力のある會社規則を制定することで適切な保護レベルに到達することができるし、適切な専門家を呼んで指導に當たらせてもよい。外部的措置とは、當事者雙方により締結されるより詳細でより拘束力のある契約條項により実施される。 ここまでは、主に國內の自然人の個人情報の取扱いに際し外商投資企業はどのような點に注意すべきかについて分析してきた。事実上は、「個人情報保護法」第3條の規定に従い、中華人民共和國國內の自然人の個人情報を國外で取扱う場合において、國內の自然人に向けて商品又はサービスを提供することを目的としており、國內の自然人の行為の分析、評価を目的としているとき、及び法律、行政法規の定めるその他の事由に該當するとき、その取扱い行為は、「個人情報保護法」の制限を受ける。 実務上、親會社が中國國外でグローバルコンプライアンス告発窓口を設置している外商投資企業も非常に多く、その窓口は外部委託され、中國を含む関連會社の全てのコンプライアンスに関する告発が取り扱われている。このような場合、「個人情報保護法」第3條第2項の規定により、このコンプライアンス告発窓口は、國外の個人情報取扱者に該當する。さらに、同法第53條の規定により、このコンプライアンス告発窓口を擔う企業は、中國國內で専門の組織を設置するか代表者を指定し、個人情報保護に関する事務を擔當させ、その組織の名稱又は代表者の氏名や連絡先等を個人情報保護の管轄部門(例:サイバーセキュリティ部門)に屆出なければならない。 三、「個人情報保護法」施行後における外商投資企業のコンプライアンス対応に関する提案 「個人情報保護法」の施行により外商投資企業に生ずるリスクを避けるため、外商投資企業は、個人情報の保護に関するコンプライアンス対応を行わなければならない。しかし、外商投資企業にとって個人情報の保護に関するコンプライアンス対応は、一つのシステム構築であり、言うほど簡単ではない。ここでは、次の2つのルートからコンプライアンス対応を進めることを提案させて頂く。 1. 社內のコンプライアンス制度を制定する コンプライアンス制度は、會社の実情に合わせて制定しなければならない。それぞれの會社の実情に合わせるため、書面のコンプライアンス制度を作成する前に、まずは「個人情報保護法」に定める各要求に照らして會社の現在の個人情報取扱いの各プロセスを精査し、會社の現在の個人情報取扱いの具體的な狀況を確認することが必要である。それからこれらの狀況を踏まえて、個人情報の國外送信制度、個人情報の安全事件緊急対応制度、個人情報保護影響評価制度等が含まれた社內のコンプライアンス制度を作成する。 2. 社內の関係する者に対しコンプライアンス研修を定期的に行う 外商投資企業による個人情報の取扱いが「個人情報保護法」の規定を満たすかどうかで重要なことは、社內のコンプライアンス制度が正しく実施されていることである。社內の関連する者に対し、會社より定期的にコンプライアンス研修を行わなければならない。コンプライアンス研修を定期的に行うことにより、社員に安全意識を植え付け、各自の権限及びその限界を明確にし、個人情報の取扱いを法律規定に合致させるのである。
