【2022年最新】中国の個人情報保護法(PIPL)が成立、知っておくべきポイントは？

中国でもついに個人情報保護法が施行されました。中国で事業を展開する企業は、どのような点に注意すべきなのでしょうか。この記事では、中国で求められる個人情報保護について法令の内容をもとに解説し、どのような対策が必要かもあわせてお伝えします。

中国初の「個人情報保護法」

これまで中国では、日本の個人情報保護法のように個人情報の保護を包括的に定めた法律は存在しませんでした。

しかし2021年8月、中国の国会にあたる全国人民代表大会の常務委員会で審議がおこなわれ、個人情報保護法が正式に可決・成立。数ヵ月ほどの公布期間を経て、同年11月に施行されました。

中国で個人情報保護法が成立した経緯

中国では、以前から個人情報保護法を策定しようとする動きがありました。

例えば2003年から2005年にかけて、日本の内閣に相当する国務院の委託で個人情報保護法が起草され、提出にこぎつけたものの、制定にまではいたりませんでした。実際には個人情報に関する法規制がまったくなかったわけではありませんが、民法やネットワーク安全法などの各種法令に個人情報保護に関する規定が分散して存在するのみでした。

しかし近年、特にデジタル分野における管理が強化されつつあります。2021年9月にデータ安全法が施行、そして11月にはいよいよ個人情報保護法が施行されました。中国に進出する企業に対して、新制度への対応が求められることはいうまでもありません。

中国の個人情報保護法について

それではここから、中国の個人情報保護法の内容を見ていきましょう。個人情報の定義やその扱い、また適用範囲・条件について確認します。

「個人情報」とは何を指す？

中国における個人情報の定義は、個人情報保護法の条文に明記されています。

第四条　個人情報は、電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない。

引用：桃尾・松尾・難波法律事務所「中国個人情報保護法の成立　中華人民共和国個人情報保護法（桃尾・松尾・難波法律事務所仮訳）」

つまり、中国における個人情報とは人に関するもので、すでに特定済みの情報、もしくは個別に特定可能なさまざまな情報を指します。その記録方式はデジタル形式に限定されません。ただし、例外として匿名処理された個人情報は除かれます。

なお、個人情報保護法施行後に公開された「ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン」によれば、Cookieは個人情報に含まれるものと解されています。

「機微な個人情報」とは？

中国の個人情報保護法における「機微な個人情報（センシティブ情報）」とは、漏えいや不法使用により尊厳の侵害、人身・財産の安全が脅かされる個人情報とされます（同法第二十八条）。一般的な個人情報よりもさらに厳格な取り扱いが求められます。

また、同法にはセンシティブな情報の例が挙げられており、以下のような情報が該当します。

• 生体識別
• 宗教信仰
• 特定身分
• 医療健康
• 金融口座
• 行方所在等の情報
• 14歳未満の未成年の個人情報

中国でいうセンシティブ情報は、日本の個人情報保護法に定める「要配慮個人情報」とは一致しません。特に14歳未満の未成年者の情報保護が求められている点に注意が必要です。

「個人情報の取り扱い」の定義は？

中国の個人情報保護法において個人情報の取り扱いに該当する行為は、個人情報の「収集」「保存」「使用」「加工」「伝達」「提供」「公開」「削除」を含むとされます（第四条より要点抜粋）。

個人情報取り扱いの基本である情報の管理と利用に加えて、情報の加工や移転に関しても法の規定が適用されるのが特徴です。

法律が適用される条件・範囲は？

中国の個人情報保護法は、場合によっては中国国内だけでなく外国にも効力が及ぶ恐れがあります。個人情報保護法の第三条では、同法の適用範囲と条件について以下のように定められています。

適用範囲	該当条件
中国域内	自然人の個人情報を取扱う活動全般
中国域外	中国域内の人物に向けた商品・サービスの提供
	中国域内の人物の行為を分析・評価
	その他、法律や行政法規の規定に該当する場合

中国国内においては個人情報保護法が無条件で適用されるほか、国外であっても、中国にいる個人を対象とした販売事業や個人の行動分析をおこなう場合は同法が適用されます。

個人情報を取り扱うにあたって何に注意すべき？

中国に進出する個人情報を扱う企業は、本人から同意取得してはじめて個人情報を取り扱うことができます。また、個人情報の取り扱いは合理性や妥当性、誠実性、国家・公益に沿って情報を取り扱う旨、個人情報保護法に定められています。

なお、本人の同意に関して注意すべき点がいくつかあります。まずセンシティブな個人情報（第二十九条）の提供を受ける場合には本人の同意が必要です。また、本人が14歳未満である場合は、父母もしくは監護者の同意を要します（第三十一条）。

個人情報を中国国外に持ち出す場合の条件は？

中国で取得した個人情報の持ち出しは、必要事項を告知したうえでの同意取得と、中国の国家機関や法制度の規定をクリアすれば可能だとされています（第三十八条）。

中国の個人情報保護法の第三十八条によると、中国の所管部門による制度合格または認証の取得、国家標準の契約締結、その他の規定・条件のうち、いずれか一つをパスしなくてはなりません。

違反した場合の罰則は？

中国の個人情報保護法に違反した場合、以下の処分が下されます（第六十六条）。

• 是正命令、警告、違法所得の没収
• 違法アプリによるサービス中止/停止命令
• 是正しない場合の罰金

罰金は違反企業だけでなく担当者や管理者にも課されます。個人情報取扱者は100万元以下、実務責任者や管理者は1万元以上10万元以下の過料に処されます。

日本企業が受ける影響は？

中国で事業展開する日本企業にとって、中国の個人情報保護法が及ぼす影響は決して小さくありません。中国での事業継続のために、既存の社内規程やプライバシーポリシーの見直し、改訂が必要になることがあります。さらに、域外適用の規定によって、中国の子会社以外だけでなく日本を含め、他国にある自社のグループ企業が法の適用を受ける可能性があります。

また、同法は制定されたばかりなので、今後当局による実際の運用がどうなるかにも注意しなくてはなりません。

以上を踏まえ、自社事業への影響を軽微にとどめるためには、次のような対策をとるのが望ましいでしょう。

• 自社に法が及ぶ範囲の確認
• 既存の規定やポリシーの見直し
• 当局の運用状況の注視
• 中国法の専門家との協力体制構築

8. まとめ

中国で円滑に事業を運営するには、当然ながら法律や各種制度に従うことが求められます。しかし、データ安全法に加え個人情報保護法も施行されるなか、さらに正確な対応を取ることが必要です。場合によっては専門家の手を借りながら、必要な実務がおこなえる体制をしっかり整えていきましょう。