「個人情報保護法」施行後における 外商投資企業のコンプライアンス対応について
2021-11-162021年11月1日に「中華人民共和国個人情報保護法」(以下、「個人情報保護法」とする。)が正式に施行された。「個人情報保護法」は、企業による個人情報の取扱いに関する違法行為に対し、最高で5,000万元又はその企業の前年度売上高の5%の罰金を科すことができ、更にその企業の責任者等に対し、最高で10万元以上100万元以下の罰金等の処罰を科すことができ、史上最も厳しいデータ保護法と言われている。外商投資企業は、その固有の性質により、個人情報の国外送信が先天的客観的に必要なものとなっている。「個人情報保護法」の施行に際し、外商投資企業は、コンプライアンスについて相応の対応措置を取ることに特に注意しなければならない。本文は、外商投資企業が注意すべき点について実務的な角度から分析を行い、コンプライアンスに関する具体的な対応について提案するものである。
一、外商投資企業による「個人情報保護法」への誤解に関する分析 筆者の実務経験上、外商投資企業は、現在のところ主に次の問題に注目している。 1. 会社外部の者の情報を会社が集めていない場合、コンプライアンス対応が必要か。 2.会社がデータ取扱専門の会社ではなく、通常の生産経営上では基本的に取引相手の個人情報を集めず、社員の個人情報も労働契約や人事管理を目的としている。このような場合、コンプライアンス対応は必要か。 上記二つについて、共にコンプライアンス対応が必要と考えられる。上記1.の問題については、「個人情報保護法」第3条において、個人情報を取扱う活動に対し本法を適用すると定められており、その個人情報が社内の者なのか外部の者なのかを区別していない。つまり、その会社が社外の者の情報を集めておらず、社内の者の個人情報のみを集めていたとしても、「個人情報保護法」の規定に従いコンプライアンス対応を実施しなければならない。上記2.の問題については、「個人情報保護法」第13条第2号により、労働契約の履行や人事管理の目的により個人情報を集める場合には個人の同意は必要ないが、この条文を適用するにはある条件を満たさなければならない。それは、集められた社員の個人情報は企業が労働契約を履行するために必要であり、法により制定された労働規則制度や法により締結された集団契約に基づき企業が実施する人事管理のために必要であることを企業が証明できることである。この証明責任は、「労働契約を履行するために必要」な事項について現在のところ法律上明確な範囲がないため、困難なものとなっており、更にその会社がデータ取扱専門の会社でないとしても、通常の経営活動において個人情報が存在する限りは「個人情報保護法」に従いコンプライアンス対応を求められる。通常の場合、企業が行う社員の個人情報の取扱いには、個人情報の收集、保存、使用、加工、伝達、提供、公開、削除等の行為が含まれる。個人情報を取扱う場合、基本的には個人の同意を得なければならないが、「個人情報保護法」第13条第2号から第7号までの規定で定められる6つの事由においては、個人情報の取扱いに際し個人の同意を得なくとも法定の許可が得られる。外商投資企業においては、通常の経営活動の中で個人情報を取扱う際、例えば社員のセンシティブ個人情報を取扱う場合や社員の個人情報を国外へ送信する場合等、上記の法定の許可事由以外の行為も多くなるが、その場合は「個人情報保護法」の規定に従い社員の個別的同意を得て、更に個人情報保護の影響評価を行うことが必要となる。 二、「個人情報保護法」施行後における外商投資企業の注意点 「個人情報保護法」の施行は、外商投資企業に深刻な影響を及ぼす。外商投資企業は、次の点について注目し、十分に注意を払う必要がある。 1. 会社は、社員との労働契約を履行する上で、社員の身分証情報、銀行口座情報、民族及び宗教に関する情報、婚姻歴情報、出産情報、社員の指紋情報等のセンシティブ個人情報を取得する。「個人情報保護法」では、センシティブ個人情報の取扱いに対し、社員の個別的同意を得ること、及び事前に個人情報保護影響評価を行うことを企業に求めている。 2. 外商投資企業は、事の大小にかかわらず、人事又は財務システムに社員の個人情報を登録する習慣があり、そのシステムは、外国の親会社又は統括会社により管理され、サーバーすらも国外に設置されていることがある。このような場合は、会社が社員の個人情報を入力すると同時に個人情報が国外へ送信されることになる。「個人情報保護法」では、個人情報の国外送信に対しても、社員の個別的同意を得ること、及び事前に個人情報保護影響評価を行うことを企業に求めている。 3. 中国にある外商投資企業にも、会社の生産経営管理上の必要により、社員の個人情報を第三者の会社に大量に提供する状況が普遍的に存在する。例えば、社員の個人所得税や社会保険の届出を外部委託するとき、社員のレクリエーションや社員旅行を旅行代理店に委託するとき、駐在員や海外研修対象者のビザ取得をビザ代行会社に委託するとき、年間又は特別財務会計監査を会計監査機関に委託するとき、商業保険への加入のため商業保険会社に提供するとき、その他名刺を作成する会社やビルの管理会社に提供する場合等が挙げられる。このような個人情報取扱者が取扱う個人情報を他の個人情報取扱者へ提供する場合にも、「個人情報保護法」は、社員の個別的同意を得ることを求めている。 同意と個別的同意の関係については、現在のところ意見が分かれており、「個人情報保護法」第14条でいう個別的同意は「同意」の中に含まれる下位概念だとする説もある。筆者は、「個別的同意」とはひとくくりに同意されるものではないと考えている。「個人情報保護法」の第14条に個別的同意が設置された目的は、第13条の包括的同意と区別するためであり、企業は、個人の同意を得るべき事項に対し個人情報取扱同意書を社員と個別に書面で締結しなければならない。当然ながら、この件については国の立法機関が細則を制定することが待たれる。そして、同意と個別的同意の関係について意見が割れているため、コンプライアンスの角度から考え、やはり改めて社員の個別的同意を得ることがより妥当であると考えられる。 個人情報保護影響評価については、「個人情報保護法」第56条の規定に従い、次の3つの点に注意すべきである。第一に、社員のセンシティブ個人情報の収集や社員の個人情報の国外送信を行う目的及び取扱方法等が合法的で正当性があるかどうかについて評価を行わなければならない。第二に、社員のセンシティブ個人情報の収集や社員の個人情報の国外送信による社員個人の権利及び利益への影響及び生じるセキュリティリスクについて評価を行わなければならない。第三に、行った安全保護措置が合法的で有効かどうか、及びリスクの程度に見合っているかどうかを評価する。 上で述べた通り、外商投資企業は、その固有の性質により、個人情報の国外送信が先天的客観的に必要なものとなっている。個人情報の国外送信については、外商投資企業は、社員個人の同意を得て個人情報保護影響評価を行ってから、「個人情報保護法」第38条第1項の規定に従い、国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得る、又は国家インターネット情報部門の定める標準契約に基づいて、国外の受信者と契約を締結し、双方の権利及び義務を約定する、という条件を満たさなければならない。これらの中では、国家インターネット情報部門の定める標準契約に基づいて国外の受信者と契約を締結することが最も簡単でコストもかからない。現在のところ、国家インターネット情報部門の標準契約はまだ発表されていないが、国家インターネット情報部門が作成する標準契約は、EUの標準契約を参考にし、データ保護保障措置、外部委託された取扱者の役割、データ主体の権利、責任、監督管理等の内容が含まれた、EUの標準契約と似たような約定になることが予想される。さらに、外商投資企業は、「個人情報保護法」第38条第3項の規定に従い、国外の受信者による個人情報の取扱いが同法に定める個人情報保護基準を満たすために必要な措置を講じることが求められ、それができない場合は、国外へ個人情報を提供してはならない。ここでいう必要な措置とは、一般的には、内部的及び外部的措置が含まれる。内部的措置とは、情報の受信者と送信者との間に法律上又は経済上の関係がある場合、例えば多国籍企業グループ内の会社であれば、拘束力のある会社規則を制定することで適切な保護レベルに到達することができるし、適切な専門家を呼んで指導に当たらせてもよい。外部的措置とは、当事者双方により締結されるより詳細でより拘束力のある契約条項により実施される。 ここまでは、主に国内の自然人の個人情報の取扱いに際し外商投資企業はどのような点に注意すべきかについて分析してきた。事実上は、「個人情報保護法」第3条の規定に従い、中華人民共和国国内の自然人の個人情報を国外で取扱う場合において、国内の自然人に向けて商品又はサービスを提供することを目的としており、国内の自然人の行為の分析、評価を目的としているとき、及び法律、行政法規の定めるその他の事由に該当するとき、その取扱い行為は、「個人情報保護法」の制限を受ける。 実務上、親会社が中国国外でグローバルコンプライアンス告発窓口を設置している外商投資企業も非常に多く、その窓口は外部委託され、中国を含む関連会社の全てのコンプライアンスに関する告発が取り扱われている。このような場合、「個人情報保護法」第3条第2項の規定により、このコンプライアンス告発窓口は、国外の個人情報取扱者に該当する。さらに、同法第53条の規定により、このコンプライアンス告発窓口を担う企業は、中国国内で専門の組織を設置するか代表者を指定し、個人情報保護に関する事務を担当させ、その組織の名称又は代表者の氏名や連絡先等を個人情報保護の管轄部門(例:サイバーセキュリティ部門)に届出なければならない。 三、「個人情報保護法」施行後における外商投資企業のコンプライアンス対応に関する提案 「個人情報保護法」の施行により外商投資企業に生ずるリスクを避けるため、外商投資企業は、個人情報の保護に関するコンプライアンス対応を行わなければならない。しかし、外商投資企業にとって個人情報の保護に関するコンプライアンス対応は、一つのシステム構築であり、言うほど簡単ではない。ここでは、次の2つのルートからコンプライアンス対応を進めることを提案させて頂く。 1. 社内のコンプライアンス制度を制定する コンプライアンス制度は、会社の実情に合わせて制定しなければならない。それぞれの会社の実情に合わせるため、書面のコンプライアンス制度を作成する前に、まずは「個人情報保護法」に定める各要求に照らして会社の現在の個人情報取扱いの各プロセスを精査し、会社の現在の個人情報取扱いの具体的な状況を確認することが必要である。それからこれらの状況を踏まえて、個人情報の国外送信制度、個人情報の安全事件緊急対応制度、個人情報保護影響評価制度等が含まれた社内のコンプライアンス制度を作成する。 2. 社内の関係する者に対しコンプライアンス研修を定期的に行う 外商投資企業による個人情報の取扱いが「個人情報保護法」の規定を満たすかどうかで重要なことは、社内のコンプライアンス制度が正しく実施されていることである。社内の関連する者に対し、会社より定期的にコンプライアンス研修を行わなければならない。コンプライアンス研修を定期的に行うことにより、社員に安全意識を植え付け、各自の権限及びその限界を明確にし、個人情報の取扱いを法律規定に合致させるのである。