「個人情報保護(hù)コンプライアンス監(jiān)査管理弁法」
2025年2月12日に、國家インターネット情報弁公室は「個人情報保護(hù)コンプライアンス監(jiān)査管理弁法」(2024年國家インターネット情報弁公室令第18號、以下「弁法」という)を公表した。「弁法」は2025年5月1日から施行する。
「弁法」の目的は、個人情報の取り扱い行為を規(guī)範(fàn)化し、コンプライアンス監(jiān)査の要件を明確化することである。具體的な內(nèi)容は以下の通りである。
1. 強(qiáng)制監(jiān)査の範(fàn)囲の明確化
1000萬人以上の個人情報を処理する機(jī)関は、2年に1回以上のコンプライアンス監(jiān)査を?qū)g施しなければならない。100萬件以上の個人情報もしくは10萬件以上の機(jī)微な情報の漏洩、改ざんなどセキュリティを脅かす重大な事故が発生した場合、または多數(shù)の個人の権益が侵害されるリスクのある場合、インターネット情報部門は企業(yè)に対し専門機(jī)関による監(jiān)査を委託することを強(qiáng)制することができる。
2. 専門機(jī)関の資格と責(zé)任
監(jiān)査機(jī)関は、必要な人員、技術(shù)、資金力を備える必要があり、再委託または同一対象に対し3回連続で監(jiān)査を?qū)g施することも禁止される。監(jiān)査機(jī)関の擔(dān)當(dāng)者が監(jiān)査報告書に署名し、公印を捺印しなければならない。違法行為が発見された場合、個人情報取扱事業(yè)者は一定期限內(nèi)で是正し、その結(jié)果を報告しなければならない。
3. 重要なプラットフォームに対する特別監(jiān)査
業(yè)務(wù)が複雑で、非常に多いユーザーを有するプラットフォーム企業(yè)は、外部メンバーを主體とする獨(dú)立の監(jiān)査機(jī)関を設(shè)立し、個人情報保護(hù)に関する社會責(zé)任報告書を定期的に公開し、セキュリティ対策、事件対応及びユーザー権利保障の狀況を開示しなければならない。
なお、100萬件以上の個人情報を取り扱う機(jī)関は、監(jiān)査業(yè)務(wù)を統(tǒng)括する専任の擔(dān)當(dāng)者を指定しなければならない。
4. 監(jiān)査內(nèi)容の詳細(xì)化
合法性に関する審査において、ユーザーによる許可の真実性、取扱目的が変更される時の再許可の有無や、機(jī)微な情報に対する個別的な許可の取得などが監(jiān)査の重點(diǎn)である。
技術(shù)的措置の評価について、企業(yè)は、データの安全性を保障するために、暗號化や非識別化などの技術(shù)措置を講じ、これらの措置の有効性を検証することが求められる。
データの越境移転への規(guī)制について、海外へ提供するデータに関する審査、承認(rèn)、屆出及び安全性評価の要件を明確にし、制限リスト內(nèi)の主體への情報提供は禁止される。
5. ユーザー権利の強(qiáng)化
企業(yè)は、個人情報に関する照會、削除、同意撤回などの権利行使に係る便利なアクセスを設(shè)置し、請求を拒否する場合はその理由を説明しなければならない。意思決定自動化の場合で拒否の選択肢を提供し、「ビッグデータ殺熟(常連客だけ値上げして搾り取る)」を禁止し、アルゴリズムの透明性と公正性を確保しなければならない。
6. 違反に対する責(zé)任追及の仕組み
法に違反した機(jī)関や個人に対しては、法に基づき処理し、刑事犯罪に該當(dāng)する場合はその刑事責(zé)任を追及する。監(jiān)査中に発見された違法行為について、一般公衆(zhòng)は監(jiān)督機(jī)関に対し苦情を申し立てることができる。
