2022年9月9日:中国でPIPL違反に対して50万ユーロの罰金が科されたケースがある。このケースでは顧客に取得の目的や範囲を知らせずに個人情報を収集したことが問題となった。事例を通じ、実際の要件として遵守必要な項目を再確認する。
[yuryowaku]
有料会員になって頂くと、以下のコンテンツをご覧いただけます。
- 【Background Facts】 ・・・発生した事象の概要
- 【ビジネスとの関係】・・・本事例に関連してビジネス上留意すべき点
- 【情報ソース】・・・本情報のソース
【Background Facts】
- ある企業が個人情報の安全管理措置違反のケースについて、個人情報保護法(PIPL)の観点から法律事務所が検証を行った
【ビジネスとの関係】
- 越境移転と安全管理策についての検討事項:
- 背景:
- あるレストランチェーンが、顧客がQRコードをスキャンして料理の注文と支払いを行うためのミニアプリを利用した
- ミニアプリでは料理の注文に、顧客に携帯電話番号の認証を求めたが取得する携帯電話番号の目的および範囲が明示されていなかった
- 企業は以下の点で違反していた
- 取得したデータを扱う担当者と機密保持契約を締結していなかった
- 社員やサードパーティへの機密漏えいに関する責任の所在を明らかにしてなかった
- データ侵害の処理など緊急時の対応策を策定していなかった
- データ輸出時のセキュリティ検証を行っていなかった
- 輸出したデータは以下である
- 会員ID、カード番号
- カード番号
- カードの種類
- 有効期間
- カードステータス
- カード販売時間
- カード端末番号
- カード販売店
- 名前
- 性別
- 携帯電話番号
- カード残高
- その他消費者の個人情報を含むデータ
- 輸出した情報を暗号化していなかった
- 個人情報の安全性を確保するための技術的な措置、その他必要な措置を講じていなかった
- 輸出したデータは以下である
- あるレストランチェーンが、顧客がQRコードをスキャンして料理の注文と支払いを行うためのミニアプリを利用した
- 法的枠組み:
- PIPL第51条:
- 処理の目的、方法、PIカテゴリー及び関係するデータ主体の権利と利益に基づいて、PI処理を行う者は以下を行わなければならないと定めている
- 内部管理体制および規則を作成すること
- 個人情報のカテゴリー別管理を実施すること
- 技術的なセキュリティ対策(暗号化、非識別化など)を採用すること
- 処理に関するオペレーション上の制限を決定すること
- 従業員に対する定期的なセキュリティ教育及びトレーニングを実施すること
- セキュリティインシデントに対する対応計画を策定すること
- 法律または規制によって提供されるその他の措置
- 処理の目的、方法、PIカテゴリー及び関係するデータ主体の権利と利益に基づいて、PI処理を行う者は以下を行わなければならないと定めている
- PIPL第51条:
- 分析:
- この企業は、取得した個人情報が適法に取り扱われていることを保証するための管理体制を整備していなかった
- PIPL第51条では、個人情報の処理に関する内部管理体制と運用手順を概説している
- 企業は、以下の要素に基づき、コンプライアンス体制を実施するよう義務付けられている
- 個人情報を処理する目的および方法
- 処理される個人情報の種類
- 個人の権利と利益への影響
- 個人情報のコンプライアンス対策とは以下を意味する:
- 内部管理システムとプロシージャー
- 個人情報の分類
- 暗号化、非識別化などの適切な技術的セキュリティ対策
- 個人情報の処理オペレーションを行う従業員への権限付与
- 従業員に対する定期的なセキュリティ教育及び訓練
- 個人情報セキュリティインシデントのための緊急時対応計画
- “网络交易监督管理办法”
- オンライン取引事業者を通じた消費者の個人情報の取得と使用に関する具体的な規定を制定し、消費者の個人情報を利用する事業者に対して、以下を遵守するよう要求している
- 適法性、正当性、必要性の原則に基づき、個人情報を取得すること
- 個人情報の取得と利用について、その目的、方法、範囲を明示すること
- 消費者の同意を得ること
- オンライン取引事業者を通じた消費者の個人情報の取得と使用に関する具体的な規定を制定し、消費者の個人情報を利用する事業者に対して、以下を遵守するよう要求している
- 企業は、以下の要素に基づき、コンプライアンス体制を実施するよう義務付けられている
- 検証の過程で、携帯電話番号の取得は、料理の注文手続きに不可欠な機能ではないことが指摘された
- 企業は携帯電話番号の取得・利用の目的、方法、範囲を明示していなかった
- PIPL第51条では、個人情報の処理に関する内部管理体制と運用手順を概説している
- この企業は、取得した個人情報が適法に取り扱われていることを保証するための管理体制を整備していなかった
- 背景:
- 外部委託及びプライバシー影響評価についての検討事項:
- 背景:
- この企業は取得したデータを取り扱う担当者及びサードパーティに対して管理策を実施していなかった
- 収集したデータを取り扱う担当者との間で秘密保持契約を締結し、担当者およびサードパーティへの秘密漏えいに関する責任を決定していなかった
- この企業は取得したデータを取り扱う担当者及びサードパーティに対して管理策を実施していなかった
- 法的枠組み:
- PIPL第55条:
- 以下の条件のいずれかに該当する場合、プライバシー影響評価(「PIA」)を実施し、記録しなければならない
- センシティブな個人情報が処理される場合
- 個人情報が自動化された意思決定のために利用される場合
- 個人情報を委託する、他の処理者に提供する、または開示する場合
- 国境を越えた移転を行う場合
- その他、個人に対して大きな影響を与える個人情報の処理を行う場合
- 以下の条件のいずれかに該当する場合、プライバシー影響評価(「PIA」)を実施し、記録しなければならない
- PIPL第55条:
- サードパーティの検証:
- ホスピタリティ、ロジスティック、消費者金融等、大量のデータを扱う企業はデータ処理をサードパーティに委託することがある
- この企業は、PIPL第55条の規定に従って個人情報保護影響評価(DPIA)を実施することにより、サードパーティが正しくデータを処理することを保証していなかった
- DPIAでは、以下の観点から情報が適切に処理されていることを確認する必要がある
- 情報保護能力の評価
- サイバーセキュリティ対策
- 内部ガバナンス
- サードパーティが中国国外にある場合、企業はデータを移転する前にセキュリティ評価を実施する必要がある場合がある
- 背景:
- 越境移転についての検討事項:
- 分析:
- “数据出境安全评估办法”
- 以下が該当する場合、移転時のセキュリティ評価を義務付けている
- 前年の1月1日からの累計で10万人を超える個人情報を移転する場合
- 前年1月1日からの累計で10万人を超えるセンシティブな個人情報を移転する場合
- 以下が該当する場合、移転時のセキュリティ評価を義務付けている
- “数据出境安全评估办法”
- 分析:
【処分について】
- 執行措置についての検討事項:
- ペナルティー:
- 行政執行部門は、是正を命じ50万人民元の行政罰を課した
- 個人情報の取扱いに違反した者は、個人情報保護法およびサイバーセキュリティ法に規定された行政処罰の対象となり、是正命令、警告、違法な利益の没収、関連サービスの停止または終了、罰金、ウェブサイトの閉鎖、関連する営業許可の取り消し、または、各事例に応じた営業許可証の取り消しの処分を受ける
- 違反は記録され、信用情報が公開される
- 公安行政に違反した場合
- 公安行政規則により処罰される
- 犯罪となる違反は、刑事責任を問われる
- 組織が犯罪を犯した場合、刑法に基づき、組織の直接責任を負う役員またはその他の直接責任を負う個人は、該当する判決に従って有罪判決を受け、処罰されるものとします。
- ペナルティー:
【情報ソース】
China – Collecting Personal Information In China – What You Should Know – Horizons Corporate Advisory Co Ltd
