前置き

デジタル化時代において、データ（個人情報を含む）は大手企業の中核資産となりつつあり、EUの『一般データ保護条例』（GDPR）を先頭に、各国ではデータ保護に関する立法を強化し始めた。4月29日、『個人情報保護法（草案二次審議草案）』（以下、『個保法草案』という）の意見募集が開始され、今年中に可決される確率が最も高いと思われる。

『個保法草案』で言う個人情報とは、匿名化処理後の情報を含まず、電子またはその他方法で記録され、識別された或いは識別可能な自然人と関する各種情報である。個人情報の処理は、収集、保存、使用、加工、転送、提供、公開などを含む。

個人情報の処理に対して、『個保法草案』では、明確で且つ合理的な目的を持ち、公開、透明、誠実と信用の原則を遵守し、合法、正当な方法を採用し、個人情報の品質を保証し、且つ収集の範囲は処理目的を実現するために必要な最小範囲に限られる。

雇用会社は雇用過程において、従業員の個人情報を大量に収集しているが、これらの個人情報はどのようなコンプライアンスに関わりがあるのかについて、本文で討論してみましょう。

一、従業員の個人情報の収集

雇用会社は、従業員の採用、背景の調査、社会保険の納付、休暇管理、従業員の解雇などの各段階において、従業員の個人情報を収集している。当該収集の行為において、雇用会社は通常、下記2点に注目しているでしょう。

先ず、どのような個人情報を収集できるのでしょうか？『労働契約法』第8条の規定により、雇用会社は労働者及び労働契約と直接関連する基本状況を知る権利があり、労働者は真実に説明しなければならない。また、第17条の規定により、労働契約書には労働者の氏名、住所、身分証番号又はその他有効な身分証番号等を記載しなければならない。但し、氏名、身分証番号及び住所以外、どのような情報が労働契約と直接関連する個人情報であるかについては、法律で具体的に規定されていないのである。

雇用の実務上から見た場合、従業員が履歴書で披露した内容は通常、氏名、性別、生年月日、民族、住所、電話番号、メールアドレス、学歴、職歴等を含む。以上の情報は何れも「情報安全技術個人情報安全規範」（GB/T 3573-2020）（以下、「個人情報安全規範」という）添付ファイルでいう個人情報の範疇に含まれている。従業員が自ら上記情報を提供しない場合、雇用会社は自主的に収集することができるのでしょうか？筆者の考えとしては、異なる雇用段階において、雇用会社が収集できる従業員の個人情報も異なると思われる。例えば、従業員の面接、背景の調査においては、従業員の金融口座、個人の行動を収集するのは合理性に欠けていると思われる。採用後に給料の支払いや営業担当従業員の勤務評価管理等の目的により必要な情報を収集する場合、必要最小限の原則に適合していると思われる。従って、収集しようとする従業員の個人情報が労働契約と直接関するかどうかについては、雇用の全過程を審査して判断しなければならない。もちろん、業種や職場によっては、雇用会社が収集できる従業員の個人情報の種類も異なっているでしょう。

特に説明する必要があるのは、従業員の婚姻・出産情報については、司法実践[i]により、「契約に必要な個人情報」に属さないと認定されていた。『更に雇用行為を規範化し、女性の就業促進に関する通知』及び『更に入学と就業の健康診断項目を規範化し、B型肝炎の表面抗原保持者の入学と就業の権利を維持にすることに関する通知』においても、女性の妊娠検査やB型肝炎ウイルス血清学的指標（特殊業種を除く）を健康診断項目とすることが禁止されている。

次に、雇用会社はどのように従業員の情報を収集するのでしょうか？この点については、『労働契約法』から回答を見つけ出すことはできないでしょう。実務においては、雇用会社が従業員の情報を収集する方法は3種類がある。一つ目は、従業員が求人応募、休暇申請などの段階において自主的に情報を提供する。二つ目は、雇用会社が給料の支払いや社会保険の納付等の雇用管理の必要により従業員の情報を収集する。三つ目は、雇用会社がその他第三者に情報の収集を委託する。『個保法草案』の要求により、雇用会社が従業員の情報を収集する場合、基本原則として従業員の同意を得る必要がある。但し、『個保法草案』13条では、情報主体の同意を得る必要がない6つの例外が列挙されている。労働過程において争議が発生し易いのは、「個人当事者との契約締結或いは契約履行に必要なもの」という点である。「契約締結と契約履行に必要なもの」とは、どうように定義されているのかについて、現在では不明であり、今後の個別案件から審査する必要があるでしょう。

従業員の個人情報を収集する場合、特に個人情報のコンプライアンスに注意すべきであると思われる。

『個保法草案』第29条でいう敏感的な個人情報とは、一旦漏洩または不正使用された場合、個人が差別或いは人身、財産の安全に深刻な危害を受ける可能性がある個人情報を指し、人種、民族、宗教信仰、個人の生物特徴、医療健康、金融口座、個人の行動等の情報を含む。

雇用会社が敏感的な個人情報を収集する際、下記3点に注意する必要があるでしょう。①特定の目的と十分な必要性を持っていること；②従業員の単独同意を得ること；③その敏感的な情報を取り扱う必要性及び個人への影響を告知すること。

二、従業員個人情報の提供と委託処理

会社再編やM&Aを行う過程において、雇用会社は今後、個人情報のコンプライアンスへの審査を強化すべきである。『個保法草案』第23条の規定により、会社の合併、分立などの原因により合併または分立後の主体に個人情報を提供する必要がある場合、個人に受取側の身分、連絡先を通知しなければならないが、個人の同意を新たに得る必要はない。

但し、その他第三者に個人情報を提供する場合、受取側の身分、連絡先、処理目的、処理方法及び個人情報の種類を告知すべきであり、同時に従業員の単独同意を得る必要がある。

個人情報の委託処理については、第三者に委託して従業員の背景調査、人事サービスのアウトソーシング等を行う場合、草案での要求により、雇用会社と受託側は委託処理の目的、期限、処理方法、個人情報の種類、保護措置及び双方のその他権利義務を約定し、且つ受託側の行為に対して監督しなければならない。

受託側が委託を受けない場合、個人情報を返却或いは削除しなければならない。また、雇用会社の同意を得ずに、受託側は他人に委託して個人情報を処理してはならない。

三、従業員個人情報の公開

個人情報の公開は、『個保法草案』で要求される単独同意を得る四つの事項の内の一つである。草案第26条では、「個人情報の処理者は、その処理する個人情報を公開してはならない。但し、個人の単独同意を得た場合を除く。」と規定されている。

公開してはならない処理者が取得した個人情報には、既に公開された個人情報も含まれ、個人情報の処理者は、その個人情報が公開された用途に適合して処理しなければならない。さもなければ、新たに本人の同意を得なければならない。　

人力資源と社会保障部門が2015年に公布した『就業サービスと就業管理規定」にも同じような規定があり、「雇用会社は労働者の個人情報に対して秘密を保持しなければならない。労働者の個人情報を公開する場合及び労働者の技術的・知的成果を使用する場合、労働者本人の書面同意を得なければならない」と規定されている。2018年、孫氏と学集会社との間のプライバシーに関する争議案件[ii]は、まさに雇用会社が従業員の個人情報を不当に公開したため、従業員から訴訟を提起された案件である。

四、従業員個人情報の海外提供

外資企業は海外の親会社や関連会社と財務連結決算を行い、人事手配などの状況を検討する際、中国国内から従業員の個人情報の提供を必要し、ホテルなどの特殊業界の顧客共有システムでその他顧客情報が海外に提供される可能性がある。『個保法草案』第38条では、個人情報の海外提供について特別な規範が制定されている。

『個保法草案』で規定されている個人情報の海外提供は、主に下記3つの状況にまとめることができる。

1)      重要な情報インフラ運営者と個人情報の処理が国家ネット情報部門で規定される数量に達した雇用会社に対しては、その個人情報は原則として国内保管とし、確かに海外に提供する必要がある場合、国家ネット情報部門の安全評価を通過しなければならない。個人情報の処理が国家ネット情報部門で規定される数量に達した場合とは、国家インターネット情報弁公室による『個人情報と重要データ出国安全評価弁法（意見募集案）』で規定されている50万人以上を含む個人情報或いはデータ量が1000 GBを超える場合を指す。

2)      その他一般雇用会社にとっては、海外に個人情報を提供する際、専門機関の個人情報保護認証を取得する必要があり、若しくはネット情報部門が制定した雛形の契約書を用いて海外の受取側と契約を締結し、且つ海外主体の処理活動を監督する必要がある。

3)      国外の司法又は法律執行機関に個人情報を提供する場合、中国の主管機関の承認を得るべきであり、若しくは国際条約、協定により処理すべきであり、雇用会社は勝手に国外に提供してはならない。

普通の雇用会社にとっては、ネット情報部門が制定した雛形契約書により海外に個人情報を提供するのが最も実行可能な方法である。但し、個人情報を海外に提出する前に『個人保法草案』第39条と55条の規定に従って、雇用会社は下記の事項に注意する必要がある。

先ず、従業員の単独同意を得ること。同時に国外の受取側の身分、連絡先、処理目的、個人情報の種類及び国外の受取側に対して法律で規定された権利を行使する方法を従業員に告知すること。

次に、個人情報の処理活動に対してリスク評価を行うこと。評価内容として、個人情報の処理目的、方法が適法、正当、必要性であるか否か、従業員に対する影響及びリスクの程度、保護措置が適切であるか否かを含む。

個人情報を取得する海外親会社またはその他の海外主体として、『個保法草案』で規定される域外管轄権に基づき、その処理活動が『個保法草案』の規制範囲に入っている場合、第53条の規定に従って中国国内に専門機関或いは指定代表を設けて個人情報保護事務を処理する必要がある。

五、従業員個人情報の保存

『個保法草案』第20条では、「個人情報の保存期限は、処理目的を実現するために必要な最短時間とする」と規定されている。個人情報の具体的な保存期限について、『個保法草案』第55条では、個人情報を記載したリスク評価報告書と処理記録は少なくとも3年間保存することが要求されている。

雇用過程において、従業員個人情報の保存期限に関する明確な法律規定はそれ程多くないが、下記2点に注目してよいでしょう。

1)      「労働契約法」第50条により、雇用会社はすでに解除または終止した労働契約書に対しては少なくとも2年間は保存する必要がある。その他個人情報の保存期限については、筆者の考えとして、労働紛争仲裁の時効は労働関係終了後の一年であるため、労働紛争に関連する個人情報は、少なくとも従業員退職後より一年以上保存しなければならないと思われる。

2)      会計書類の原始証憑、銀行の取引明細書等に記載されている個人情報については、「会計書類管理弁法」[iii]の規定により保存期限を確定しなければならない。

国家基準『個人情報安全規範』6.1条での要求により、個人情報の保存期限が満了した場合、個人情報を削除或いは匿名化して処理しなければならない。

六、従業員個人情報コンプライアンスに関する提案

『個保法草案』により、個人情報の違法処理や個人情報の処理に必要なセキュリティ保護措置を講じていない行為に対しては、高額な処罰[iv]が設けられている 。合理的に従業員個人情報を処理するのは必須であり、雇用会社はこれに対して早めに計画を立てる必要がある。

1、雇用会社は、「事情を知って同意する」という意味を深く理解する必要がある。

従業員の同意を得ることは、雇用会社がその個人情報を処理する基本原則であるが、『個保法草案』第14条により、個人情報を処理する同意は、その個人が十分に事情を知っているという前提で自発的で且つ明確でなければならない。処理する目的及び方法、処理する個人情報の種類に変更がある場合、新たにその個人の同意を得なければならない。

「十分に事情を知っている」とは、草案第18条を参考にし、即ち、雇用会社が明確な方法、はっきりと分かり易い表現で従業員に下記の事項を告知しなければならない。

1）個人情報処理者の身分と連絡先。

2）個人情報の処理目的、処理方法、処理する個人情報の種類、保存期限。

3）個人が本法に規定されている権利を行使する方法及び手順。

4）法律、行政法規で定められているその他告知すべき事項。

労働雇用の過程は複雑であるため、其々の事項について個別に告知するのは管理上、明らかに不便である。従って、雇用会社は個人情報処理規則（例えば、従業員個人情報コンプライアンスマニュアル等）を制定することにより、上記の事項を告知することができる。但し、当該処理規則は公開しなければならず、且つ閲覧と保存を行わなければならない。例えば、敏感的な個人情報の処理、第三者に提供する個人情報、個人情報の海外提供や公開等といった従業員の単独同意を得る必要がある事項については、依然としてその他方法により単独に同意を得るべきであると思われる。 

2、具体的なコンプライアンス対策

『個保法草案』における個人情報処理者に設けられた基本義務を履行するために、雇用会社は下記「コンプライアンス」の取り組みに着手する必要がある。

1)      内部管理制度を制定する。例えば、専門家の力を借り、従業員個人情報コンプライアンスマニュアル等の制度書類を作成する。

2)      会社が収集する従業員個人情報に対して、分類管理を行い、保存においては暗号化、標識除去などの安全措置を講じることに注意する。

3)      個人情報を処理する権限を持つ者に対しては、各自の職責に応じて異なる操作権限を設定し、且つ関係者に対して実習訓練を行う。

4)      発生する可能性がある個人情報安全事故に対して、緊急対応策を予め作成する。

以上は一般雇用会社として備える必要があるコンプライアンス措置である。『個保法草案』での要求により、雇用会社は個人情報処理活動の法律コンプライアンスに対して監査を行わなければならないため、雇用会社は弁護士事務所などの専門機構と連携して当該作業を展開するよう提案する。

特殊業界或いは特定個人情報、特定処理方法に対しては、『個保法草案』でコンプライアンス活動に対してより高い要求を出されている。

1)      処理する個人情報がネット情報部門で規定される数量（具体的な基準は不明確）に達した雇用会社は、個人情報保護責任者を指定しなければならない。

2)      海外の会社が中国国内の個人情報を処理する場合、中国に専門機関または指定代表を設けなければならない。

3)      特別な個人情報処理活動に対してリスク評価を行う。これらの活動とは、敏感的な個人情報の処理、個人情報を利用する自動化決定、他人への委託処理、他人への個人情報の提供或いは公開、海外に提供する個人情報等を指す。

[i] https://law.wkinfo.com.cn/judgment-documents/detail/MjAwODQzMTk4ODA%3Dアクセス日:2021年7月6日.

[ii] https://law.wkinfo.com.cn/judgment-documents/detail/MjAyMzQxNzg2MzU%3Dアクセス日:2021年7月９日．

[iii] 『会計資料管理弁法』第14条の規定により、会計資料の保管期間は永久と定期の二種類に分けられる。定期保管期間は、通常10年と30年に分けられる.

[iv] 『個人情報保護法（草案二次審議版）』第65条により、本法令規定に違反して個人情報を処理した場合、或いは個人情報を処理する際、規定により必要な安全保護措置を講じていない場合、個人情報保護職責を履行する部門から是正を命じられ、警告され、違法による所得が没収される。是正することを拒否した場合、百万元以下の罰金が科せられる。直接責任者である主管者及びその他直接責任者に対しては、一万元以上十万元以下の罰金が科せられる.

前項規定の違法行為があり、状況が厳重な場合、個人情報保護職責を履行する部門より是正が命じられ、違法による所得が没収され、且つ五千万元以下或いは前年度売上の5％以下の罰金が科せられる。また、関連業務の停止、整理整頓、関連主管部門に通報し、関連業務許可の取り消し或いは関連営業許可証の取り消し処分が科せられる。直接責任者である主管者及びその他直接責任者に対しては、十万元以上百万元以下の罰金が科せられる.