2020/06/23

プライバシー・法規制

中国の新しい民法において個人情報に関する規定が制定される

GDPRをはじめとして世界各国でプライバシー法制度を強化する流れが強まっている中、中国においても、2020年5月28日の全国人民代表大会において採択された新しい民法において「プライバシーと個人情報の保護」が設けられました。

ここでは、今回制定された個人情報に関する項目をご紹介します。
(参考: 半月谈: 中华人民共和国民法典(全文)

●個人情報の定義(1034条)
個人情報とは、「電子的またはその他の方法で記録された、特定の自然人を識別できる情報であり、自然人の氏名、生年月日、身分証明書番号、生体情報、住所、電話番号、電子メールアドレス、健康情報、居場所情報など、単独でまたは他の情報と組み合わせて記録されているもの」と定義されました。

●個人情報の処理に当たってのルール(1035条)
個人情報の処理に際しては、適法性・正当性・必要性の原則に従って取り扱い、過度な処理を行わず、以下の条件を満たすものとされています。
(1) 法令または行政規則に別段の定めがある場合を除き、自然人またはその保護者の同意がある場合。
(2) 情報処理のルールを開示する
(3) 処理の目的、方法、範囲を明示する。
(4) 法令、行政規則及び相互の合意の規定に違反しない。

個人情報の取り扱いには、個人情報の収集、保管、利用、処理、送信、提供、開示などが含まれるとされました。

●個人の権利(1037条)
法律に基づき、情報処理業者から自己の個人情報を閲覧・複写することができ(開示請求権)、誤りを発見した場合には、異議を申し立てることができ、適時訂正等の必要な措置を取ることを求めることができる(訂正を求める権利)とされています。
また、情報処理業者が自分の個人情報を法令、行政規則または当事者間の合意に違反して取り扱っていたことを知った場合、情報処理業者に対し、適時に情報の削除を求める権利を有する(削除を求める権利)とされています。

●情報処理業者の義務(1038条)
情報処理業者は、収集・保管する個人情報を開示・改ざんしたり、特定の個人を識別することができない状態に加工され、かつ、復元することができない状態に加工されている場合を除き、自然人の同意を得ずに個人情報を他人に提供してはならないとされました。
また、情報処理業者は、収集・保管する個人情報の安全性を確保し、情報の漏えい、改ざん、滅失を防止するための技術的措置その他必要な措置を講じ、個人情報の漏えい、改ざん、滅失が発生した場合、または発生するおそれがある場合には、規程に基づき、速やかに是正措置を講じ、本人に通知するとともに、所轄官庁に報告しなければならないとされています。

今回制定された民法においては、中国における個人情報の収集・処理・保管に際して、目的や方法などを開示したうえで、本人(または後見人)の同意を得ることを求めることと明記されています。また、事業者に対して自身の個人情報の開示を求める「開示請求権」や、誤りがある場合には訂正を求める権利、違反がある場合には自身の情報の削除を求める権利もうたわれています。
このように、多くの点において、世界各国のプライバシー法制度と同様の枠組みが民法という国家レベルの法体系において設けられたという点において画期的といえるでしょう。

中国におけるプライバシー法規制の強化については、先に本コラムでも取り上げた日本経済新聞社の「第15回企業法務・弁護士調査」において、「2020年に最も対策強化が必要な地域」として弁護士が挙げたのが中国という調査結果が出ています。
「日本経済新聞「企業法務・弁護士調査」にみるプライバシー保護法制度への注目の高まり」

一方で、インターネット安全法により、中国で収集した個人データを中国国内で保存するものと規定されるなど、中国独自の規制も存在しています。中国国民の個人データを取り扱う可能性のあるビジネスについては、このような「データ・ローカライゼーション」規制にも対応できるインフラストラクチャーを構築することが求められます。

SAP Customer Data Cloud from GIGYAは、中国や(同様のデータ・ローカライゼーション規制を定めている)ロシアを含むロケーションにデータセンターを設けており、GDPRをはじめとする各国のプライバシー保護法制度への対応を求められるグローバル企業において豊富な導入実績を有しています。

  • 複数のタッチポイントで収集する個人情報を顧客一人ひとりに正しく紐付けて管理する「シングル・カスタマー・ビュー」の構築
  • 利用規約やプライバシーポリシー、マーケティング・コミュニケーションへの「同意」を正しく取得し、そのバージョンも含めて「シングル・カスタマー・ビュー」にひも付ける同意管理機能
  • 自身の個人情報や「同意」の状況をいつでも確認・修正・撤回・削除できるなど、GDPRで認められたデータ主体の権利にセルフサービスで対応するためのプリファレンス・センター機能
  • 「シングル・カスタマー・ビュー」内で管理する、「同意」を含む個人情報をCRMやMAなど個人情報を利用するシステムに正しく反映し、データ処理の凍結や利用停止などの要望を確実に実現するためのシステム間データ連携機能

GDPR対応で多くの実績を有するこれらの機能は、日本における今後の個人情報管理においても、2020年の個人情報保護法改正だけでなく、CCPA、ひいては中国などグローバルのプライバシー保護法制度強化のトレンドにプロアクティブに対応できるソリューションとなるでしょう。

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。