中国個人情報保護法のコンプライアンス監査に関する細則案の公表

1. 中国個情法との関連性

　まず本弁法案は、（条文内に根拠となる中国個情法の条文を明記していないため、若干分かりづらいものの）中国個情法全体に係る施行細則ではなく、そのうちの54条と64条という2つの条文のみに関する施行細則である。

　中国個情法54条は、「個人情報取扱者は、定期的にその個人情報に対する取扱いの法律及び行政法規への遵守状況に関するコンプライアンス監査を行わなければならない」と定めている。

　同法64条は、「（政府の）個人情報保護総括担当部門はその職責を履行する中で、個人情報取扱活動に比較的重大なリスクが存在すること又は個人情報のセキュリティ事故が発生したことを発見した場合、規定に基づく権限及び手続に従い当該個人情報取扱者の法定代表者又は主要責任者に対し、面談を行うことができ、又はその個人情報取扱活動に対するコンプライアンス監査を外部専門機関に委託することを個人情報取扱者に要求することができる。個人情報取扱者は、要求に基づき措置を講じ、改善を行い、内在する問題を除去しなければならない」と定めている（下線部筆者）。

　上記の規定の内容から分かるように、中国個情法54条及び64条で求められるコンプライアンス監査は、用語は同じでも性質はかなり異なる。同法54条で求められる監査は、全ての個人情報取扱者が自主的にかつ定期的に行うものであり、同法64条で求められる監査は、何らかの重大な個人情報保護関連のリスク又は事故が発生した個人情報取扱者が、当局からの要求に従い、外部専門機関に委託して行うものである。今回立案された本弁法案は、同法54条及び同法64条のそれぞれのコンプライアンス監査に関する具体的な実施方法を定めたものである。

2. 本弁法案に基づくコンプライアンス監査義務の具体化

(1) 法54条に基づく、自主的・定期的監査について

　中国個情法54条に定める、個人情報取扱者の自主的なコンプライアンス監査については、以下のとおり監査義務の内容が具体化された。

• – 監査の頻度：100万人超の個人情報を取り扱う事業者は少なくとも年に1回、それ以外の個人情報を取り扱う事業者も2年に1回はコンプライアンス監査を実施すること（本弁法案4条）
• – 監査の実施主体：事業者は内部監査又は外部専門機関への委託を選択可能（同案5条）
• – 監査の内容：義務的ではないが、30項目の「参考要点」が提示された（後述する、本弁法案の別紙である「個人情報保護コンプライアンス監査参考要点」）

(2) 法64条に基づく、政府からの要求に従って行われる監査について

　中国個情法64条に定める、政府からの要求に基づくコンプライアンス監査については、以下のとおり監査義務の内容が具体化された。

• – 外部専門機関の選定：事業者は、政府からの要求通知を受領後、速やかに要求に従い外部専門機関を選定し、コンプライアンス監査を行わせること（本弁法案7条）
• – 監査への協力：事業者は、コンプライアンス監査の際に、外部専門機関に関連文書の閲覧、関連当事者へのインタビュー等情報のアクセス権限を与え、監査に協力すること（同案8条）
• – 監査報告書の作成・提出：事業者は、原則90営業日のうちにコンプライアンス監査を完了させ（案件が複雑である場合は延長可能）、外部専門機関が作成したコンプライアンス監査報告書を政府の個人情報管理部門に提出すること（同案9条、10条）
• – 監査報告に基づく是正：事業者は、外部専門機関の助言に基づきコンプライアンスの是正を行い、是正状況に関する報告を、外部専門機関のレビューを経た上で政府の情報管理部門に提出すること（同案12条）
• – 監査の内容：自主的・定期的監査を実施する場合と同様、本弁法案の別紙で30項目の「参考要点」が提示された。

　上記のとおり、本弁法案が主に監査義務を具体化したのは、中国個情法64条で定められる政府からの要求に基づくコンプライアンス監査である。同監査については、もともと事業者において個人情報保護に関する重大なリスク又は事故が発生したことを契機として、政府主導による違反調査の色彩が強いため、必ず外部専門機関を起用した監査が求められる等、強制的な規定が多い（そもそも中国個情法の条文上も、事業者による内部監査は想定されていない）。

　他方で、（多くの日系現地法人を含む）個人情報取扱者が一般的に課されるのは中国個情法54条に定める自主的・定期的監査義務であり、当該監査義務の頻度は本弁法案で明確化されたが、監査の実施主体としては内部監査も選択可能となっている。また、政府の要求に従って行われる監査報告と異なり、監査報告の期限は定められておらず、政府への提出及び監査報告に従った是正・改善措置の履行も求められていない。もっとも、実務上、地方政府のデータプロテクション管理部門が、現地企業の中国個情法等に基づく法的義務の履行状況を検査する場合があり、その際に自主的・定期的監査の実施の有無についても確認を受ける可能性がある。

3. 外部専門機関

　コンプライアンス監査を外部委託する際に起用する外部専門機関については、中国個情法に資格要件は明記されていないが、一般的には、データプロテクションを専門とする法律事務所やコンサルティング会社等が想定されている。本弁法案も資格要件を定めていないが、外部専門機関は「独立性及び客観性」を保つ必要があるとしており、また、「同一事業者のために3回連続してコンプライアンス監査を行ってはならない」と定めている（同案12条）。したがって、事業者としては、自主的・定期的監査を外部委託する場合も、常に同じ機関に委託することはできず、複数の外部委託先を用意しておく必要がある。

　また、政府機関は外部専門機関の推薦リストを作成し、毎年外部専門機関の評価を行いリストの調整を行うことと、個人情報取扱者に対して当該リスト内の外部専門機関を起用することを奨励するとされているが（同案13条）、義務化はされていないため、自主的・定期的監査であれば当該リストに掲載されていない外部専門機関を起用することも差し支えない（但し、上記の同一外部専門機関に対して、3回以上連続して委託できないルールは適用される。）。他方、政府の要求に基づく監査については、「政府の要求に従い外部専門機関を選定する」ことが義務づけられるため（同案7条）、選択の自由は狭められると思われる。

4. コンプライアンス監査の内容

　本弁法案は、コンプライアンス監査の内容について、30項目の「参考要点」を別紙として添付しており、強制的なものではないが、事業者がコンプライアンス監査の調査項目を決める際の参考となることが期待されている。

　参考要点は、個人情報取扱者の監査報告に一般的に適用される内容と、個人情報取扱者が大型のデジタル・プラットフォーマーである場合に追加で求められる内容に大きく分かれており、項目の概要は以下のとおりである（「参考要点」内では、各項目の内容をさらに細分化している。）。

• – 個人情報取扱者の監査報告に一般的に求められる内容：個人情報の取得、取得した情報の処理、第三者委託、自動化処理、外部公開、センシティブ情報の取得、越境移転、情報主体である個人からのクレーム等があった場合のそれぞれの処理の適法性、個人情報取扱者としての制度構築義務等
• – 大型のデジタル・プラットフォーマーの監査報告に追加的に求められる内容：独立機関による監督、プラットフォーム規則の適法性・公正性、プラットフォーム内で提供される商品役務の提供者に関する個人情報処理の適法性・合理性、年度毎の個人情報保護CSR報告の実施状況

　上記監査報告の内容は、中国個情法の他、サイバーセキュリティ法、サイバー・データセキュリティ管理条例（未施行）、個人情報安全規範など、中国のデータプロテクション関連法令及び指針・ガイドライン内で規定されている内容と重なる項目が多い。

　中国では近年データプロテクション関連の立法作業が目まぐるしく行われており、各法令の適用範囲が重なっていることから、個人情報取扱者として負う義務を網羅的に把握することが困難であることがよく指摘される。上記「参考要点」は、個人情報取扱者が個人情報保護に関して負うコンプライアンス義務を一覧できるよう整理した点でも有意義であると思われる。

　もっとも、あくまで「参考」とされているため、監査報告としてどの項目まで満たすことが必須かどうかは明らかではなく、また自主的・定期的に行われる監査と、政府からの要求に従って行われる監査の区別が設けられていない等、引き続き明確化が待たれる点も少なくない。