国家インターネット情報弁公室は2025年2月14日、「個人情報保護コンプライアンス監査管理弁法」(中国語:「个人信息保护合规审计管理办法」。以下「本弁法」という。)を公布しました。本弁法は2025年5月1日から施行されます。本稿におきましては本弁法における個人情報保護コンプライアンス監査(以下「コンプライアンス監査」という。)についてのご紹介とご説明を行わせていただきます。
一、コンプライアンス監査の法的根拠
コンプライアンス監査という法制度は2021年11月に施行された「個人情報保護法」において初めて規定されました。同法の第54条によりますと「個人情報処理者は自らの個人情報取扱活動の法律・行政法規遵守状況に対するコンプライアンス監査を定期的に行わなければならない」とされています。また、今年の1月1日に施行された「ネットワークデータ安全管理条例」(国務院令第790号)の第27条によりますと「ネットワークデータ処理者は個人情報処理の過程における法律・行政法規遵守状況に対する定期的なコンプライアンス監査を自ら実施するか、またはこれを専門機関に委託して実施しなければならない」とされています。上記の法的規定からも分かるとおり、個人情報処理者にとりましては、コンプライアンス監査の定期的な実施は法的な義務であり、法に基づいてこれに対応しなければなりません。
二、自発的なコンプライアンス監査
本弁法において規定されている監査はその実施の原因によって自発的コンプライアンス監査と強制的コンプライアンス監査の二種類に分かれています。自発的コンプライアンス監査とは、外部からの指摘や行政命令がなく、法により自らコンプライアンス監査を実施することをいいます。自発的コンプライアンス監査の条件につきましては、2023年8月に公開された意見募集稿と比較して見てますと、処理される個人情報件数の基準と実施頻度の面において以下のとおりの変更が行われています。
| 意見募集稿 | 本弁法 |
大量の個人情報を処理する個人情報処理者 | 100万人分を超える個人情報を処理する個人情報処理者は、少なくとも年に一度は個人情報保護コンプライアンス監査を実施しなければならない | 1000万人分を超える個人情報を処理する個人情報処理者は、少なくとも2年に一度は個人情報保護コンプライアンス監査を実施しなければならない |
その他の個人情報処理者 | その他の個人情報処理者は、少なくとも2年に一度は個人情報保護コンプライアンス監査を実施しなければならない | 規定なし |
上記の変更内容からも分かるとおり、コンプライアンス監査に対する規制もデータの越境移転と同じように緩和の傾向にあります。これ以降は頻繁な監査作業による個人情報処理者への負担を抑えることが期待されます。その一方で、個人情報処理件数が1000万人分に達していない個人情報処理者(以下「基準未充足個人情報処理者」という。)につきましては、意見募集稿における「少なくとも2年に一度はコンプライアンス監査を実施する」という内容が削除されてはいますが、コンプライアンス監査の実施そのものが不要となったわけではありません。「個人情報保護法」と「ネットワークデータ安全管理条例」上の法的な義務がありますので、基準未充足個人情報処理者もコンプライアンス監査の法的義務を依然として履行する必要があるものと考えられています。ただし、2年に一度のような頻度は不要であり、自社の状況を踏まえた上で、より緩めの頻度を設定することができます。
また、強制的なコンプライアンス監査とは異なり、自発的なコンプライアンス監査の実施後におきましては、そのコンプライアンス監査の報告書と是正の状況を期限内に国家インターネット情報管理部門(以下「主管部門」という。)に届け出る必要はありません。
三、強制的なコンプライアンス監査
自発的なコンプライアンス監査とは別に、本弁法においては強制的なコンプライアンス監査も規定されています。強制的コンプライアンス監査とは、個人情報処理者が以下の状況の一に該当している場合において個人情報処理活動に対するコンプライアンス監査の実施を専門的な機構に委託するよう主管部門が個人情報処理者に要求する監査の方法をいいます。
①個人の権益への著しい影響、セキュリティ措置の著しい欠如などの比較的に高いリスクの個人情報処理活動中における存在が発覚したとき。
②個人情報処理活動が多くの個人の権益を侵害するおそれのあるとき。
③個人情報セキュリティインシデントが発生して100万人分以上の個人情報または10万人分以上の機微情報の漏えい・改ざん・遺失・破損がもたらされたとき。
強制的コンプライアンス監査が執行される場合においては、個人情報処理者は限定的な期間内に個人情報の保護に対するコンプライアンス監査を完成しなければなりません。強制的コンプライアンス監査の完成後においては、個人情報保護コンプライアンス監査報告書を主管部門に届け出る必要があります。コンプライアンスの面における是正の完成後、是正完成日から15営業日以内においては是正状況報告書を主管部門に届け出る必要もあります(本弁法第9条~第11条)。
四、コンプライアンス監査の実施方法
コンプライアンス監査の実施方法について、本弁法におきましては、これに関連する要求も定められています。まず、自発的なコンプライアンス監査にせよ、あるいは強制的なコンプライアンス監査にせよ、いずれの場合においても本弁法の附属文書である「個人情報保護コンプライアンス監査ガイドライン」を参考にしなければなりません(本弁法第6条)。次に、自発的コンプライアンス監査は、個人情報処理者が自ら実施し、またはこれを専門機関に委託して実施することができる一方で、強制的コンプライアンス監査は、主管部門の要求に従って専門機関に委託して実施しなければなりません(本弁法第6条)。さらに、100万人分以上の個人情報を処理する個人情報処理者は、個人情報保護責任者を指定し、個人情報保護コンプライアンス監査業務をこの者に担当させなければなりません(本弁法第12条1項)。
(終)