個人情報に関する義務

中国では、個人情報保護に係る横断的かつ包括的な基本法はいまだ存在しないが、ネッ トワーク運営上の個人情報の保護については、2017年6月1日に施行された｢ネットワーク 安全法｣が規律しており、さらに個人情報保護に関する統一的な規範として、2017 年12月 29 日に｢情報安全技術 個人情報安全規範｣(以下｢個人情報安全規範｣という。)が公布さ れ、2018年5月1日より施行されている²³⁵。さらに個人情報保護関連法令として、2019年 6 月に実施規則の一つとなる｢個人情報越境移転安全評価弁法｣等、多数の法令や業界標準 等が発布されている。しかしながら、これらの多くのものは本稿執筆時点において、未だ 意見募集稿の段階にあり、それらが正式発効されるまで運用は不確定である。

以下においては、上記の個人安全保護関連法令・規定に基づき、中国における個人情報 保護について、多くの日系企業にとって重要と考えられるポイントを紹介する。

235 なお、｢個人情報安全規範｣は強制性国家標準ではなく、国が実務上の参考とするために制定された 推薦性国家標準に属すが、実務上の見地からは、｢個人情報安全規範｣の内容を参考にすることで、

企業を含めてネットワーク運営者にとって法令違反となるリスクを回避し、法令を遵守した業務を 実施するために有益であると考えられる。

また、個人情報安全規範は、2018年5月1日から施行になったが、国家標準化管理委員会が現行版 を改訂して、改めて2019年10月24日に｢情報技術 個人情報安全規範(草案)｣を公布した。短期間 内に改訂案が公布されていることから、今後正式な改定版が公布された場合には、改めて再確認す ることが推奨される。

66 (1) 個人情報の定義及び範囲

 個人情報

ネットワーク安全法(76条(5))及び個人情報安全規範(3.1条)によれば、｢個人情報｣と は、電子的方式又はその他の方式により記録される、単独又はその他の情報と結びつ いて特定の自然人の身分を識別し得る又は特定の自然人の活動状況等を反映し得る各 種情報をいう。なお、個人情報に匿名加工(技術処理により、個人情報の主体が識別さ れず、かつ処理後の情報が復元されないようにする処理)を施した上で得られた情報 は、個人情報に属さない。個人情報安全規範の付録Aにおいては、以下のとおり詳細 に具体例が紹介されている。

＜図表11 個人情報＞

個人の基本データ 氏名、生年月日、性別、民族、国籍、家族関係、住所、個人電話 番号及びメールアドレス等

個人の身分情報 身分証明書、士官証、パスポート、運転免許証、従業者証、出入 国許可証、社会保険カード及び居住証等

個人の生態識別情 報

遺伝子、指紋、声紋、手相、耳介、虹彩及び顔の特徴等

ネットワーク身分 識別情報

システムアカウント、IP アドレス、メールアドレス及びこれらの パスワード、合言葉、合言葉を忘れた時の回答、並びにユーザー 個人のデジタル証明書等

個人の健康及び生 理的情報

個人の発病治療等により生じる関連記録(例として疾病、入院記 録、医師の指示票、検査報告、手術及び麻酔記録、看護記録、投 薬記録、薬品・食品のアレルギー情報、出産情報、既往歴、治療 状況、家族の病歴、現病歴、並びに伝染病歴等)、個人の身体的健 康状況について生じる関連情報、並びに体重、身長、肺活量等 個人教育勤務情報 職業、職位、職場、学歴、学位、教育経験、職歴、研修記録及び

成績表等

個人財産情報 銀行口座、識別情報(パスワード)、預金情報(資金額、送入金記録 等)、不動産情報、貸付記録、信用情報、取引及び消費の記録、

キャッシュフロー記録等、仮想通貨、仮想取引及びゲーム類のリ ディームコード等の仮想財産情報

個人通信情報 通信記録及び内容、SMS、MMS、電子メール、並びに個人の通信 を記述したデータ(メタデータ)等

連絡先情報 アドレス帳、友人リスト、グループリスト及び電子メールアドレ ス帳等

67 個人のネットワー

ク接続記録

ウェブサイトの閲覧履歴、ソフトウェアの利用記録及びクリック 記録等のログに保存されたユーザーの行動記録

個人用機器情報 ハードウェアのシリアルナンバー、デバイスのMACアドレス、ソ フ ト ウ ェ ア リ ス ト 及 び 唯 一 の 装 置 識 別 コ ー ド(例 え ば 、 IMEI/android ID/IDFA/OPENUDID/GUID、SIMカードIMSI情報等) 等を含む個人用機器の基本的な状況に係る情報

個人位置情報 行動の軌跡、正確な位置情報、宿泊情報及び緯度経度等

その他の情報 婚姻歴、宗教的信条、性的指向及び公開されていない違法犯罪歴 等

 個人センシティブ情報

個人情報のうち、漏洩・不法提供・濫用されると個人の人身又は財産の安全を害す るおそれがあり、個人の名誉・健康の侵害又は差別待遇を生じさせ得る個人情報が個 人センシティブ情報として定義されている。個人情報安全規範の付録Bにおいて、以 下のとおり詳細に具体例が紹介されている。

＜図表12 個人センシティブ情報＞

個人財産情報 銀行口座、識別情報(パスワード)、預金情報(資金額、送入金記録 等)、不動産情報、貸付記録、信用情報、取引及び消費の記録、

キャッシュフロー記録等、仮想通貨、仮想取引、並びにゲーム類の リディームコード等の仮想財産情報

個人の健康及び生 理的情報

個人の発病治療等により生じる関連記録(例として疾病、入院記 録、医師の指示票、検査報告、手術及び麻酔記録、看護記録、投薬 記録、薬品・食品のアレルギー情報、出産情報、既往歴、治療状 況、家族の病歴、現病歴、並びに伝染病歴等)、並びに個人の身体 的健康状況について生じる関連情報等

個人の生態識別情 報

遺伝子、指紋、声紋、手相、耳介、虹彩及び顔の特徴等

個人の身分情報 身分証明書、士官証、パスポート、運転免許証、従業者証、出入国 許可証、社会保険カード及び居住証等

ネットワーク身分 識別情報

システムアカウント、メールアドレス及びこれらのパスワード、合 言葉、合言葉を忘れた時の回答、並びにユーザー個人のデジタル証 明書等

その他の情報 電話番号、性的指向、結婚歴、宗教的信条、公開されてない違法犯 罪歴、通信記録及び内容、居場所、ウェブサイトの閲覧履歴、宿泊 情報及び正確な位置情報等

68 (2) 個人情報の収集・使用

ア 個人情報の収集について

個人情報の収集は、｢合法｣²³⁶かつ｢最小限｣²³⁷に止めなければならない²³⁸。

個人情報の収集にあたり、収集する個人情報の類型、個人情報の収集及び使用に関する 定め、収集の目的、収集方法及び頻度、保存地域、保存期間、自身のセキュリティ能力、

対外的な共有、譲渡、並びに開示等に関する状況について、個人情報の主体に告知した上 で、その同意を得る必要がある²³⁹。

さらに慎重な取り扱いの必要な個人センシティブ情報を収集する場合には、その収集前 に、個人情報の主体に①個人情報の主体に提供する製品又はサービスの主たる内容並びに 収集する必要がある個人センシティブ情報について説明し、かつ提供又は同意拒否がもた らす影響を明確に告知した上で、個人情報の主体から明示的な同意²⁴⁰を得なければならな い。また、②同意を拒否された場合には、それを理由として当該製品又はサービスの提供 を停止すべきではなく、相応なサービス品質を保障しなければならないと定めている。²⁴¹

イ 個人情報の保存について

個人情報の保存期間は、目的の実現に要する最小限の期間とし、保存期間を経過する場 合には、個人情報を削除し又は匿名加工しなければならない²⁴²。また、個人を識別できる 情報を別にしたうえで、不特定化した個人情報と標識可能な情報とを分離して保存するこ とが推奨されている²⁴³。

236 ｢合法｣とは、①収集手段が詐欺、強迫等によるものではないこと、②違法なルートを通じて収集し ていないこと、③製品又はサービスが個人情報の収集機能を有する場合にはその機能を隠蔽しない こと、④法令上禁止されている個人情報を収集しないことを意味する。

237 ｢最小限｣とは、①収集される個人情報の種類が製品又はサービスの機能と直接関連があること(当該 情報を有しない場合には製品又はサービスの機能を実現できないこと)、②収集の頻度が製品又は サービスの機能を達成するために必要最小限であること、③収集の数量が製品又はサービスの機能 を達成するために必要最小限であることを意味する。

238 個人情報安全規範5.1～5.2条

239 個人情報安全規範5.3条

240 明示的な同意とは、個人情報の主体が、書面又は積極的な行為(チェックボックスへのチェック、

｢登録｣・｢同意｣・｢発信｣のクリック等)により、個人情報の処理について、明確な承認を行うことを いう。

241 個人情報安全規範5.5条

242 個人情報安全規範6.1条

243 個人情報安全規範6.2条

69

個人センシティブ情報の場合には、暗号化等の安全措置を講じ、特に個人の生態識別情 報に該当する場合には、さらにその概要のみの保存等の技術的措置を講じなければならな い²⁴⁴。

個人情報支配者²⁴⁵がその製品又はサービスを停止するときには、①個人情報を継続的に 収集する活動を速やかに停止し、②運営停止の通知を個人情報の主体ごとに送付するか、

公告の形式で通知し、③保存している個人情報を削除し又は匿名化処理を行わなければな らない²⁴⁶。

ウ 個人情報の使用について

個人情報の使用にあたり、その目的のために必要である場合を除き、明らかな身分・指 向性を除去し、個人の特定を避けなければならない²⁴⁷。

収集する個人情報に加工処理を行って生じる情報に対して、単独若しくはその他の情報 を結合し、自然人の個人身分を識別することができる、又は自然人の活動状況が分かる場 合には、個人情報と認定されるので、当該個人情報を処理するにあたっては、個人情報を 収集するときに取得した同意の範囲に従う必要がある²⁴⁸。

個人情報の収集は、収集時に告知した目的と直接的に又は合理的に関係する範囲を超え て使用してはならず、業務の必要により、その範囲を超えて使用する場合には再度個人情 報の主体から明示的な同意を得なければならない²⁴⁹²⁵⁰。

エ 個人情報の共有、譲渡について

原則として、個人情報を共有し又は譲渡してはならない。例外的に共有、譲渡が必要な 場合には、次の事項を遵守した上で、リスクに充分に注意する必要がある²⁵¹。

244 個人情報安全規範6.3条

245 個人情報安全規範上、個人情報の処理目的、方法等を決定できる組織又は個人が｢個人情報支配者｣

として定義されている(個人情報安全規範3.4条)。

246 個人情報安全規範6.4条

247 個人情報安全規範7.3条a号

248 個人情報安全規範7.3条b号

249 なお、収集する個人情報を学術研究に用い又は自然、科学、社会、経済等の現象の説明として用い る場合には、その収集目的と合理的に関連する範囲内でのみ使用することとする。さらに、対外的 に学術研究又は説明の結果を提供するときには、その内容に含まれる個人情報の識別化を削除する 処理を行うものとされている。

250 個人情報安全規範7.3条c号

251 個人情報安全規範8.2条