川合正倫 Masanori Kawai
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.39(2024年1月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~日本編~」
No.40(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~」
No.41(2024年2月)「個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~欧州編~」
中国大陸では2023年までに、個人情報保護法38条に定められた個人情報の越境移転の三ルート、即ち①主管当局による安全評価、②専門機構による認証又は③主管当局所定の標準契約の締結について、それぞれの実施規則が制定され、中国大陸からの個人情報の越境移転を行うための規制が明確化されました。具体的には、①に関しては「データ越境移転安全評価弁法」及び「データ越境移転安全評価申告ガイドライン(第一版)」が施行され※1、②に関しては「個人情報保護認証実施規則」、「個人情報の越境処理活動に関する安全認証規範Ver.2.0」及び「情報安全技術 個人情報越境移転認証要求」(パブコメ版)が公表されました。その後、実務的に最も関心の高かった③について、主管当局の定める標準契約の書式を含む「個人情報越境標準契約弁法」※2が2023年2月に公表、同6月に施行され、また当局における標準契約の届出手続及び個人情報影響評価報告書の書式を明らかにした「個人情報越境移転標準契約届出ガイドライン」※3が5月に公表されました。これにより、安全評価、保護認証及び標準契約という三ルートから構成される、中国大陸から個人情報の越境移転を行う場合の規制枠組みが明確になり、各企業は、状況に応じていずれかのルートを選択することが求められるようになりました。
もっとも、少量の個人情報又はデータのみ越境移転させるニーズがある企業を中心に、上記三ルートによる対応の負担が過度に重いという実務界の意見、並びに当局の標準契約の届出の受理及び審査に時間がかかる状況を受け、「データの越境移転の促進及び規範化規定」のパブコメ版が2023年9月に公表され、個人情報を含むデータの越境移転を行うための①~③の手続を一部免除する内容が定められました。本稿執筆時点(2024年2月8日時点)で正式施行されておらず、本規定の動向が注目されています。
また、個人情報保護法に基づく下位規則の法案も相次いで制定されました。主要なものとしては、個人情報保護法54条及び64条で要請される個人情報保護コンプライアンス監査の実施細則として、「個人情報保護コンプライアンス監査管理弁法(パブコメ版)」※4が2023年8月に公表されました。
また、国家標準である「情報安全技術 センシティブ個人情報処理安全要求」(パブコメ版)※5、「情報安全技術 個人情報に基づく自動意思決定の安全要求」(パブコメ版)※6及び「情報安全技術 重要データ処理安全要求」(パブコメ版)※7が2023年8月に相次いで公表されました。それらには、センシティブ個人情報の典型例や、異なる場面における個人情報・重要データの処理上の留意点等が定められており、実務上の参考となっています。
データセキュリティ分野では「サイバーセキュリティ法」及び「データセキュリティ法」に基づき「インターネット情報部門行政法執行手続規定」※8が2023年3月に公表され、同6月に施行されました。同規定は、個人情報保護・データセキュリティの関連規則を主管するインターネット情報弁公室(以下「CAC」といいます。)の管轄やCACによる立案、取調べから行政処罰の決定までの手続が定められています。
また、2023年10月には「未成年者ネットワーク保護条例」※9が公表され、2024年1月から施行されています。同条例では、未成年者が就学する学校、未成年者の保護者、未成年者向けの製品及びサービスの製造者、提供者、販売者並びに未成年者の個人情報を取り扱う個人情報処理者等までを幅広く義務の主体としており、各義務主体に応じて、未成年者のネットワークにおける安全保護に係る義務が定められています。
さらに、法案としては、「ネットワークセキュリティインシデント報告管理弁法」(パブコメ版)※10が2023年12月に公表され、ネットワーク運営者に対して、インシデントの重大性に応じた主管当局への適時報告義務の履行を要請しています。
生成AIの急速な発展に対応して「生成系人工知能サービス管理弁暫行弁法」※11が2023年8月に施行されました。同弁法は生成AIサービスの提供者が遵守すべき義務を定めるとともに、生成AI産業の発展を奨励する中国当局の姿勢を示しています。同弁法は、2022年3月に施行された「インターネット情報サービスにおけるアルゴリズム推奨管理規定」※12と、2023年1月に施行された「インターネット情報サービスにおけるディープシンセシス管理規定」※13と併せて、現在の中国大陸のAIに対する規制の枠組みを構成しています。
中国大陸及び香港の間で、2023年6月に「粤港澳グレーターベイエリアにおけるデータ越境移転の協力に関する覚書」(以下「グレーターベイエリア覚書」といいます。)※14が締結されました。同覚書は、広東省・香港・マカオ※15で構成されるグレーターベイエリアにおけるデータ越境移転に係る安全規則を策定し、同地域におけるデータの越境移転を促進する方針を示したものとされています※16。
上記グレーターベイエリア覚書を踏まえ、広東省の一部都市※17と香港との間の個人情報越境移転の簡便化を図る「グレーターベイエリア(大陸、香港)における個人情報越境移転標準契約の実施ガイドライン」が2023年12月に公表・施行され※18、広東省の一部都市と香港との間の個人情報越境移転に使用される標準契約のフォーマット(以下「GBA・SCC」といいます。)も併せて公表されました※19。
GBA・SCCでは、中国大陸全土に適用された標準契約(以下「大陸版SCC」といいます。)と比較して、個人情報・センシティブ個人情報の取扱数量にかかわらず、標準契約の方法で越境移転できるとしていることが特徴です。すなわち、大陸版SCCでは、①100万人以上の個人情報を取り扱う場合、②前年1月1日から起算して、国外への個人情報の提供が累計10万人以上である場合、又は③前年1月1日から起算して、国外へのセンシティブ個人情報の提供が累計1万人以上である場合は、標準契約の方法のみにより越境移転させることはできず、主管当局による安全評価が必要的とされているのに対して、GBA・SCCに定められる地域内では、GBA・SCCを締結することで、個人情報の数量にかかわらず越境移転を行うことができます。その他にも、個人情報影響評価の項目の軽減や主管当局へのSCCの届出書類の簡易化等、大陸版SCCと比較して緩和された内容が定められています。
台湾では2023年5月に個人情報保護法※20が改正され、個人情報保護法の主管当局として個人情報保護委員会※21を創設することが規定され、また、企業による個人情報の漏洩に対処するために、非行政機関(すなわち民間事業者)による安全管理措置義務違反の処罰が加重され、漏洩等の重大な安全管理措置義務違反については、是正命令を前置せずに制裁金を課すことができるとされ、制裁金の金額も大幅に引き上げられました。
また、台湾の個人情報保護法27条は、各事業業種の主管当局が、各当局が所管する民間事業者に対して、個人情報データベース等※22の安全管理維持計画及び事業終了後の個人情報の処理方法を制定させることができ(2項)、同計画及び処理方法に関する規則を各当局が制定すると定めているところ(3項)、2023年にはEコマースといったデジタル関連業※23、デパートのような総合商品小売業※24、運送業※25、製造業及び技術サービス業※26、電気・ガス・ガソリンスタンド業※27を営む民間事業者が遵守すべき安全管理措置に関する規則が相次いで公表され、各業種の事業を営む企業は急ぎの対応を求められています。
2023年4月17日、ベトナム初の個人情報保護に関する包括的な法令である個人データ保護政令(以下「政令13号」といいます。)※28が成立し、同年7月1日に施行されました※29。政令13号は、EUの一般データ保護規則(GDPR)に影響を受けたと思われる条項が複数ある一方で、個人データ処理影響評価・越境移転影響評価の実施や評価書類の当局提出義務などに関して独自のルールが盛り込まれており、適用対象となる日系企業は、施行までの猶予期間が短く、また実務指針も乏しい中で模索しながら対応を検討しました※30。
また、政令13号には違反時の罰則の定めがなかったところ、2023年5月、政令13号及びサイバーセキュリティ法に係る政令53号に違反した場合の罰則を定める政令の草案が公表され、法人による一定の重大な違反に対して最大で前会計年度のベトナムにおける総売上高の5%に相当する金額の罰金が課されることが提案されました。
政令13号施行後の動向としては、2023年12月、当局(ベトナム公安省の担当部局)から個人データ保護国家ポータルサイトが公開され、同ポータルサイトから個人データ処理影響評価書式や越境移転影響評価書式を含む各種書式をダウンロードすることが可能となりました。今後、同ポータルサイトを通じて当局に関係書類を提出することが可能となる見込みです※31。
既に政令13号対応に取り組んでいる日系企業も一定数あると思われますが、未対応の事業者は、政令13号違反の罰則を定める政令導入に係る動向を把握した上で、政令13号対応には相応の時間を要すること等も考慮し、早々に検討に着手することが重要と考えられます。
なお、従前の草案には個人データのベトナム国内保存義務(いわゆるデータローカライゼーション)が定められており、事業者からは懸念の声が上がっていましたが、成立した政令13号では削除されています(もっとも、サイバーセキュリティ法に係る政令53号においてオンラインサービスを提供する企業等を対象として一定の場合に国内保存義務が課されているため、留意が必要です。)。
2023年8月11日、インド初の包括的な個人情報保護法であるデジタル個人データ保護法(Digital Personal Data Protection Act, 2023)が成立しました。同法の主な特徴として、以下のような点が挙げられます。
インドデジタル個人データ保護法の施行時期は未だ公表されておらず、不明なままですが、同法の適用を受ける日系企業においては、個人データ処理のために必要な準備等を進めておくことが有益と考えられます。
タイの個人情報保護法は2022年6月1日に全面施行されたものの、施行当時は下位規則が未整備の状況でした。その後、タイの個人データ保護委員会(以下「PDPC」といいます。)が順次下位規則を公表し、2023年には、個人データの越境移転に関するものを含む複数の下位規則が公表されました。
2023年以降にタイで公表された主な下位規則の状況は以下のとおりです※32。
越境移転に関する2つの告示においては、GDPRと同様の枠組みとして、①PDPCが個人データの移転を許可する国・地域(ホワイト国)への移転が大原則とされ、ホワイト国以外への移転は、②拘束的企業準則(Binding Corporate Rules)や標準契約条項(Standard Contractual Clauses)を含む保護措置を備えた場合、又は③データ主体の同意があるなど特定の場合(GDPRではDerogationsと呼ばれます。)に適法とされています。越境移転に関する2つの告示は2024年3月に施行予定ですが、現状、PDPCが個人データの移転を許可する国・地域のリスト(ホワイトリスト)は公表されていない状況です。かかる状況下において、タイの個人情報保護法の適用を受ける日系企業は、個人データを国外に移転している状況を確認し、越境移転の適法化根拠(現実的な選択肢は、標準契約条項やデータ主体の同意※34である場合が多いと思われます。)やその遵守状況を確認するとともに、今後のPDPCによる十分性認定の動向を注視する必要があります。
インドネシアでは、2022年10月17日に制定された個人情報保護法の施行規則の整備が進められており、インドネシアの通信情報省は、2023年8月30日、同法の施行規則案を公表しました※35。同規則案は、245条から成る詳細な規則案であり、内容は多岐にわたりますが、なかでも、これまで不明確であった個人データの越境移転の適法化根拠が具体的に示されている点が注目されます。すなわち、標準契約条項(Standard Contractual Clauses)や拘束的企業準則(Binding Corporate Rules)といったGDPRに類似する越境移転の枠組みが明記されたことにより、個人データ越境移転時の予見可能性が高まったと言えます。他方、個人情報保護法には規定されていなかった越境移転時の影響評価を義務づけているなど、法令の基準に比べて厳しい義務を課す内容も含まれるため、留意が必要です。
全国人民代表大会常務委員会の立法計画によれば、「サイバーデータセキュリティ法」の施行後の初の改正が予定されており、個人情報保護法等の他のデータプロテクションの関連法令と平仄を合わせ、違反に係る罰則が厳罰化される見込みです。
また、所定要件を満たす場合に標準契約の締結を不要とする「データの越境移転の促進及び規範化規定」(パブコメ版)の正式な施行も期待されています。
中国大陸と香港との間の個人情報越境移転の促進を図るGBA・SCCが施行されたことを受け、GBA・SCCの実務上の運用及び主管当局の法執行動向が注目されます。
台湾個人情報保護法の2023年改正で創設されることとなった(同法の主管当局となる)個人情報保護委員会は、設立に向けた準備が進められており、2024年中の正式設立が見込まれます。同委員会による個人情報保護の管理監督の動向を注視する必要があります。
また、台湾内閣(行政院)が公表した2024年度の政策計画では、各業種の主管当局による民間事業者の個人情報保護への監督管理の強化が強調されており、前述の各業種の主管当局による、業種別の民間事業者の安全管理措置義務に関する規則の立法は引き続き進むことが見込まれます。
2022年10月17日に発効したインドネシア個人情報保護法は、2年の猶予期間を経て2024年10月に完全施行されます。上記で紹介した施行規則案の動向等も踏まえつつ、本年10月の同法完全施行までに、データ主体からの同意取得やプライバシーポリシーその他の情報保護体制の整備を進めておく必要があります。
マレーシアでは、2010年に制定された個人情報保護法の改正作業が進められています。改正に向け、情報使用者に対するデータ保護責任者(DPO)の選任義務の導入や違反事故発生時の個人情報保護委員会への通知義務の導入といった情報保護に係る国際水準を満たすための規定の導入等が検討されています。2024年1月には、デジタル大臣が、法案作成は司法長官室による起草の最終段階にあり、2024年に議会に上程予定であると発言しています。また、デジタル大臣は、同法に基づいて情報保護責任者や違反事故発生時の通知に関するガイドラインを含む7つのガイドラインを策定する方針についても発信しています。未だ改正法案の上程や法制化は実現していませんが、仮にこれまでの政府公表どおりに法制化が実現する場合には、情報使用者は新たにデータ保護責任者を選任する等、法改正対応が必要となることから、同法の適用を受ける日系企業としては、こうした法改正の動向及び当局ガイドラインの公表の状況を注視する必要があります。
上述した2024年10月のインドネシアにおける個人情報保護法の完全施行により、東南アジア主要6ヶ国、すなわち、シンガポール、マレーシア、タイ、インドネシア、ベトナム、フィリピンにおいて、包括的な個人情報保護法令が遂に全面施行に至ることになります。
本来、各事業者は、各国法令に照らして適時適切に法令対応を行うべきであり、かかる対応をしている企業も相当数ありますが、他方で、各国子会社等の規模、遵法意識及びリスク感度等によっては、新法令の導入や改正が急速に進む中で十分な対応ができておらず、部分的に法令対応の漏れや遅れが生じている企業も散見されます。かかる対応が未了の場合には、早期に発見して是正することがリスク管理の観点から特に重要となります。
また、企業によっては、日本本社や地域統括会社が主導して、グループ人事の観点で各国子会社等からその従業員の個人データを越境移転により取得等をしたり、グループの通報窓口を通じて各国子会社等に関係する個人データの取得等を予定した制度を導入している場合も見られます。かかるグループ横断的な制度について、日本本社や地域統括会社が主導して導入し又は運用している場合には、個人情報保護法令のアップデート対応部分についても日本本社や地域統括会社が主導して対応することが事実上期待されている場合もあると思われます。
そこで、特に各国子会社等に関する定期的な法令遵守チェックを行っていない企業にとっては、東南アジア主要6ヶ国において同法令が全面施行に至る2024年は、同法令遵守状況について日本本社や地域統括会社の観点から一度、横断的なチェックを行うのに適した一つのタイミングとも考えられます。
※1
「データ越境移転安全評価弁法」に関する解説については、NO&T Asia Legal Update第137号「中国からの情報・データの越境移転に必要な安全評価申告の動向」をご参照ください。
※2
「個人情報越境標準契約弁法」に関する解説については、NO&T Asia Legal Update第145号「中国:個人情報越境移転標準契約の留意点~中国版SCCの正式公表~」をご参照ください。
※3
「個人情報越境移転標準契約届出ガイドライン」に関する解説については、NO&T Asia Legal Update第152号「【速報】中国:個人情報越境移転標準契約届出ガイドラインの公表」をご参照ください。
※4
中文表記は「个人信息保护合规审计管理办法」、同パブコメ版に関する解説については、NO&T Asia Legal Update第161号「中国個人情報保護法のコンプライアンス監査に関する細則案の公表」をご参照ください。
※5
中文表記は「信息安全技术 敏感个人信息处理安全要求(征求意见稿)」。
※6
中文表記は「信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)」。
※7
中文表記は「信息安全技术 重要数据处理安全要求(征求意见稿)」。
※8
中文表記は「网信部门行政执法程序规定」。
※9
中文表記は「未成年人网络保护条例」。
※10
中文表記は「网络安全事件报告管理办法(征求意见稿)」。
※11
中文表記は「生成式人工智能服务管理暂行办法」、同弁法のパブコメ版に関する解説については、NO&T Asia Legal Update第151号「生成系AIに関する規制(生成系人工知能サービス管理弁法(パブコメ版)の公表)(中国)」をご参照ください。
※12
中文表記は「互联网信息服务算法推荐管理规定」。
※13
中文表記は「互联网信息服务深度合成管理规定」。
※14
中文表記は「关于促进粤港澳大湾区数据跨境流动的合作备忘录」。
※15
なお、2024年1月時点で大陸とマカオとの間には当該グレーターベイエリア覚書は締結されていません。
※16
同覚書の原文は公開されていません。
※17
広東省の広州市、深セン市、珠海市、仏山市、恵州市、東莞市、中山市、江門市、肇慶市を指します(同ガイドライン2条2項)。
※18
中文表記は「粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引」(原文)。
※19
中文表記は「粤港澳大湾区(内地、香港)个人信息跨境流动标准合同」(原文)。
※20
中文表記は「個人資料保護法」。
※21
中文表記は「個人資料保護委員会」。
※22
中文表記は「個人資料檔案」。
※23
デジタル関連業の主管当局規定。
※24
総合商品小売業の主管当局規定。
※25
運送業の主管当局規定。
※26
製造業及び技術サービス業の主管当局規定。
※27
電気・ガス・ガソリンスタンド業の主管当局規定。
※28
正式名称は、個人データ保護に関する政令第13/2023/ND-CP号。
※29
政令13号の概要については、NO&T Asia Legal Update第150号「個人データ保護に関する政令(ベトナム)」をご参照ください。
※30
政令13号に基づく影響評価書類の作成方法については、NO&T Asia Legal Update第153号「個人データ保護政令に基づく影響評価書類の作成方法(ベトナム)」をご参照ください。
※31
本稿執筆時点においては、この書類提出ツールは未だ機能していません。
※32
2023年7月時点の下位規則の概要については、NO&T Asia Legal Update第159号「個人情報保護法~完全施行から1年を振り返る~(タイ)」をご参照ください。
※33
同規則の概要については、NO&T Thailand Legal Update (October, 2023) No.27「Update on Thai Personal Data Protection Law: Clarification on Requirement of Data Controller and Data Processor that is Required to Designate the Data Protection Officer (Thailand)」(英語)をご参照ください。また、2023年12月、DPO選任に関するチェックリスト及び報告書の書式も公表されました。
※34
もっとも、GDPRでは同意の要件が非常に厳格であり、例えば雇用者と被用者との間では原則として自由な同意があるとはみなされない場合が多いとされていますが、タイでも同様の解釈がとられるかどうかにつき、今後のガイダンスや実務運用の集積が待たれるところです。
※35
同規則案の概要については、NO&T Asia Legal Review (November, 2023) No.72「A closer look at Indonesia’s government regulation draft on the implementation of personal data protection law (Indonesia)」(英語)をご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
箕輪俊介、中翔平(共著)
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
水越政輝、小松諒、渡辺翼(共著)
(2024年7月)
山本匡、椎名紗彩(共著)
箕輪俊介、中翔平(共著)
逵本麻佑子、木原慧人アンドリュー(共著)
塚本宏達、緒方絵里子、伊藤伸明、中村勇貴(共著)
山本匡
箕輪俊介、中翔平(共著)
山本匡
福井信雄、小宮千枝(共著)
(2024年8月)
川合正倫、万鈞剣(共著)