中国の個人情報保護認証

2023年12月15日に個人情報保護認証付与が開始されたというニュースが出ました。この認証は、個人情報の取得、保管、利用、処理、送信、提供、開示、削除、および国境を越えた取扱いについて中国国家標準であるGB/T35273-2020《信息安全技术个人信息安全规范》に準拠していることを確認するものです。

中国国家規格GB/T 35273-2020

中国にはGB規格と言われる国家規格があります。GB/T 35273-2020は、国家規格のうち、個人情報の安全性を担保するためのルールを定めたものです。オンラインで閲覧することも可能なので、興味のある方はぜひご覧になってください。

GB/T 35273-2020で規定されているルールの項目は欧州や日本のプライバシーマネジメントとよく似ています。具体的には次のような詳細な項目が並んでおり、参考になります。以下、項目だけですが紹介します。個人情報マネジメントをする際のチェックリストとして役に立つのではないかと思います。

取得時のルール(第5項)

合法的な取得、最小限の取得、個人情報の自律的な提供、同意、プライバシーポリシー

保管時のルール(第6項)

保管期限の最小化、非識別化、センシティブな個人情報の扱い、サービス停止時のルール

利用時のルール(第7項)

アクセス管理、表示の制限、ユーザープロファイルの利用制限、パーソナライズ表示の利用、異なる事業目的のために収集された個人情報の融合と統合、情報システムにおける自動化された意思決定システムの利用

個人の権利に関するルール(第8項)

個人情報の照会、個人情報の訂正等、個人情報の削除、個人情報主体による同意の撤回、個人情報主体によるアカウント解約、個人情報主体による個人情報の写しの取得、個人情報主体からの求めへの対応、苦情の処理

委託、共同利用、譲渡、公開についてのルール(第9項)

取扱いの委託、個人情報の共同利用・譲渡、買収、合併、会社更生、倒産等による個人情報の移転、個人情報の公開、個人情報の共同利用、譲渡、公開に関する事前の同意に関する例外事項、共同利用される個人情報の管理者、第三者アクセスの管理、個人情報の国境を越えた送信

インシデント対応についてのルール(第10項)

個人情報セキュリティインシデントの緊急対応と報告、セキュリティインシデントの通知

安全管理策(第11項)

責任部署・担当者の明確化、個人情報セキュリティエンジニアリング、個人情報取扱活動の記録、個人情報セキュリティ影響評価の実施、データセキュリティ能力、人員管理と教育、セキュリティ監査

個人情報の国境を越えた処理活動におけるセキュリティ認証に関する仕様書

中国では2022年6月24日に《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(個人情報の国境を越えた処理活動におけるセキュリティ認証に関する規範)が出ています。ここでは「個人情報保護認証を申請する個人情報取扱者は、GB/T 35273《信息安全技术个人信息安全规范》の要求を満たさなければならず、国境を越えた処理活動を行う個人情報取扱者は、本実施細則の要求も満たさなければならない。」とされ、個人情報保護認証の基準が GB/T 35273であり、これに加えて越境移転を行うときの要件が別途定められていることが示されています。

GB/T 35273はこのことからも、中国における個人情報マネジメントの基礎をなしていると言えそうです。

せっかく紹介したので《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》で定められていることを紹介しておきます。

まず、この規範は個人情報を中国国外に越境して移転する者に適用されます。また、域外適用の対象となる、中国国外から中国国内の個人情報を処理する者に対しても適用されます。

個人情報を中国国外に移転する者は、中国国外の受領者との間に法的拘束力がある合意を行わなければなりません。この契約には両当事者の連絡先情報、処理の目的、個人情報の種類や移転される個人情報の範囲、受領者が認証機関の監査を受けることや個人情報保護について統一ルールを送付元、受領者双方で遵守することを定めておかなければなりません。

総括

中国の個人情報保護は、グローバルスタンダードを意識して作られているようです。法律やガイダンス、規格を読むと、他の主要なデータ保護法と比較してもよく整合した内容となっています。ドラフトガイダンスという形で様々な指針案やルール案も出ていますので、参考にしながらしっかりとプライバシーマネジメント体制を整備することが重要かと思います。

アリババクラウドについて

2009年に設立されたアリババクラウドは (www.alibabacloud.com)、アリババグループのデジタルテクノロジーとインテリジェンスの中枢です。アリババクラウドは、エラスティックコンピューティング、データベース、ストレージ、ネットワーク仮想化サービス、大規模コンピューティング、セキュリティ、管理およびアプリケーションサービス、ビッグデータ分析、機械学習プラットフォーム、IoTサービスなど、あらゆるクラウドサービスを世界中のお客様に提供しています。IDCの調査でアリババクラウドは2018年以降、Infrastructure as a Service（IaaS）分野で世界3位のサービスプロバイダーに認定されています。また、ガートナーには、アリババクラウドは2018年以降、売上高で世界３位、アジア太平洋地域で１位のIaaSプロバイダーとして認定されています。

アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認証を取得しています。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問いただければ幸いです。