
中国において、2021年11月1日から個人情報保護法が施行されます。
個人を顧客とする小売業で顧客の個人情報を収集している場合はもちろん、全ての業種において、従業員の個人情報を管理している場合も含めれば、全ての中国国内企業が配慮すべき法律といえます。
今回はその概要を取り上げます。
1. 個人情報とは (第4条)
個人情報とは、電子的またはその他の手段によって記録された、
識別された、または識別可能な自然人に関する様々な情報。
匿名化処理後の情報は含まれない。
→ 特定できるかどうか、かつ関連する情報
2. 個人情報の収集 (第6条)
処理目的を実現するための最小範囲に限られ、個人情報を過度に
収集してはならない。
→ どこまで収集してよいかの選別が必要。
3. 個人情報の処理 (第13条)
1)個人の同意を得ている場合
2)個人を一方の同意者として契約を締結・履行する場合に必要な場合
法に制定された労働規則制度や法に締結された集団契約に従う
人的資源管理を実施するのに必要な場合
3)法定職責又は法定義務を履行するために必要な場合
4)突発的公共衛生事件に対応するため、緊急時に自然人の生命・健康
財産の安全を守るために必要な場合
5)公共の利益のために新聞報道等の行為を実施し、
合理的な範囲内で処理する場合
6)本法に基づく合理的な範囲内で、個人が公開した個人情報、または
すでに合法的に公開されているその他の個人情報を処理する場合
7)法律、行政法規に規定されているその他の事由
個人情報を処理するには個人の同意を得なければならないが、
上記2)~7)の規定がある場合には、個人の同意を得る必要はない。
→ 上記特定の場合を除き、個人の個別同意が必要。
4. 同意の撤回 (第15条)
個人の同意に基づいて個人情報を処理する場合、個人はその同意を撤回する
権利がある。
→ 告知を行い、同意を得たとしても、撤回を受け付ける対応の準備が必要。
5. 個人情報処理者の通知 (第17条)
個人情報処理者は処理する前に、明瞭かつ分かりやすく、正確かつ完全に
下記の事項を告知しなければならない。
1)名称または名前と連絡先
2)処理目的、方式、処理する個人情報の種類と保存期限
3)個人が本法に規定された権利を行使する方式と手順
4)法律、行政規定により通知すべきその他の事項
規定事項に変更があった場合は、変更部分を個人に通知しなければならない。
→ 個人情報の処理ルールの告知が必要。
6. 個人情報の提供 (第23条)
個人情報処理者が他の個人情報処理者に処理した個人情報を提供する場合、
個人に相手先の名称、または名前・連絡先・目的・方式及び種類を通知し、
個人の個別同意を取得しなければならない。
→ 外部委託する場合も個別の同意が必要。
7. 国外に提供する場合の取り扱い (第39条)
個人情報処理者が中華人民共和国国外に個人情報を提供する場合、個人に対し
「海外の受取人の名称または氏名・連絡先・目的・方式・種類、及び個人が
国外情報提供先に対し本法で規定する権利を行使する方式と手順」等の項目を
告知し、個人の個別の同意を取得しなければならない。
→ 本社との共有についても個別の同意が必要。