2022.06.02

PIPL (個人情報保護法)– 中国の個人情報保護法｜Cookie First ブログ

1 PIPL（個人情報保護法）とは何か？
2 PIPLとは?
3 PIPLにおけるデータ対象者の権利
4 PIPLの執行

PIPL（個人情報保護法）とは何か？

中国は、ハイテク企業の監視を強化し、国民のプライバシーを向上させることを目的とした新しい規制を可決した。個人情報保護法（PIPL）は２０２１年１１月１日に施行されました。

テクノロジー分野を規制するこの新しい取り組みは、個人データの処理を明確かつ合理的な目的に限定するなど、企業にさらに厳しいルールを課すものです。北京は、アリババやテンセントのような大規模な組織に対しても取り締まりを強化しています。

中国の新しいプライバシー法がユーザーデータの取り扱いにどのような影響を与えるか、お読みください。

PIPLとは?

2021年4月、中国の規制当局は「個人情報保護法」略して「PIPL」の草案を発表しました。この更新版は、2020年10月の最初の草案に代わるものであり、中国版GDPRと考えられています。

この法律は、企業がいつ個人データを収集できるか、そしてそのデータを使って何ができるかについての規則を定めています。企業はデータ主体の同意を得ること、情報を海外に転送する場合は情報を保護するガイドラインに準拠することが義務付けられています。

つまり、個人情報を合法的に処理するための法的根拠は、通知と同意のみです。ただし、契約の履行や雇用のためにデータ処理が必要な場合は、例外が認められています。

また、PIPLでは、個人データの保護を管理する担当者を任命することが義務付けられています。担当者は、データを保護し、規則への準拠を検証するための定期的なチェックを行う責任があります。この法的根拠は、他の同意に関する規定よりもはるかに限定されたものです。

PIPLがデジタルビジネスやその他の産業の発展に大きな役割を果たすことは間違いないでしょう。

PIPLにおけるデータ対象者の権利

PIPLは、ユーザーのための広範な権利を導入しています。これらの権利は、EUのGDPRやカリフォルニア州の消費者プライバシー法で認められているものと同じものです。また、サイバーセキュリティ法の第43条に記載されている権利も反映されています。

簡単に言えば、PIPLは、企業やその他の組織が収集した情報にアクセスし、修正し、削除する権利を個人に与えるものです。同様に、どのようなデータが収集されているかを知る権利や、自動的な決定がどのように影響を及ぼすかについての透明性も付与されています。

ただし、個人情報保護法（PIPL）では、GDPRの重要な要素であるデータポータビリティの権利は規定されていないことに注意が必要です。

これらの権利は中国国民に適用されるだけでなく、故人にも及びます。故人の近親者は、親愛なる人のプライバシーを保護するために個人情報保護法を利用することができます。誰かが自分の権利を行使したい場合、データ管理者が定めたプロセスに従わなければなりません。

要求が拒否された場合は、いつでもその理由を提示しなければなりません。

これらの権利について、より詳しく見ていきましょう。

知識・判断・制限・異議申し立ての権利

個人情報保護法（PIPL）では、個人は自分の個人情報の取り扱いを知る権利、およびそれに関する意思決定を行う権利を有しています。同様に、個人はその情報の収集や処理に対して制限や異議を唱えることができます。

企業は、これらの措置を遵守するために、データ処理に関する取り組みを明確に個人に伝えなければなりません。その文言は、容易に理解できるものでなければならず、以下の内容を含むものでなければなりません。

データ収集の目的および方法、保存期間を含む。
PIPL個人がPIPLに基づく権利を行使する方法
個人情報管理責任者の連絡先
その他個人情報保護法および同意に関連する事項

例えば、アプリはポップアップウィンドウを使用してデータ対象者に通知し、オプトアウトする機会を与えることができます。ここでは、透明性が重要です。

アクセスおよびコピーの権利

PIPLは、中国国民に、組織が保有するデータにアクセスし、コピーする権利を与えています。アクセス要求があった場合、事業体は速やかに対応しなければならなりません。このアクセス権により、データ対象者は、どのような個人データが収集され、処理されたかを認識することができます。

ただし、アクセスを提供することが関連法規に違反する場合は例外です。

情報の修正に関する権利

個人情報保護法が定めるもう一つの権利は、情報を修正する能力です。データ対象者が、ある事業者が保有する情報が不正確または不完全であると感じた場合、その情報の訂正を要求することができます。

この場合も、企業はPIPLに準拠するために、関連する検証や修正を適時に行う必要があります。

データ削除の権利

データ対象者が情報にアクセスし、コピーし、修正する権利を有するのと同様に、データ対象者はそれらの詳細を削除することを選択することもできます。ただし、この権利が課されるためには、下記のいくつかの条件を満たす必要があります。

そのデータを提供する目的がもはや適切でない、またはすでに達成された場合。
同意が撤回された場合。
データ処理者が契約または適用される規則に違反した場合。
保存期間が終了した場合、または情報処理者がサービスを提供しなくなった場合
その他、行政法規で定められた場合

これらの状況のいずれかに該当する場合、情報を管理する主体はデータを削除しなければなりません。ただし、個人情報管理者が率先して削除を行わない場合は、データ主体が削除を要求することができます。

法的な保有期間が満了していない場合、あるいはデータの削除が不合理に困難な場合、企業はデータの処理を停止し、その時期が来るまで単にデータを保管することを選択することができます。

自動化された意思決定に関する透明性を確保する権利

個人情報保護法第25条は、事業者に対して、どのようなデータを使って自動的な意思決定を行うかについて透明性を確保するよう求めています。その目的は、処理の合理性と公正さを確保し、個人が説明を受ける機会を与えることです。

PIPLの執行

中国の新しいプライバシー法は、中国国内で行われるすべてのデータ処理活動に適用されます。同様に、PIPLは国外の事業体にも適用されます – これは中国に住む個人に関する情報を収集する場合です。この場合には、商品・サービスの販売や個人の行動調査という文脈も含まれます。

中国人民政治協商会議、国務院、および地方政府機関は、PIPLの規定の実施と執行に責任を負うことになります。それらの機関は新規則の下で監督、計画、管理の義務を負うことになります。

もし企業が個人情報保護法を違反した場合、多額の罰金を科されることになります。罰金は5,000万元から企業の前年度売上高の5％までと幅が広いので、コンプライアンスは不可欠です！

一覧へ戻る