中国の個人情報保護法が施行

　中国で現地時間11月1日、個人情報の収集、使用、保管に関する基本原則を定めた個人情報保護法（PIPL）が施行された。また、中国国外に拠点を置く企業がデータ処理を行う際の要件も規定している。国家機関が実施するセキュリティ評価に合格する必要があるなどの要件だ。

　PIPLによると、個人情報を国外に持ち出す多国籍企業（MNC）は、専門機関からデータ保護に関する証明書を取得しなければならない場合がある。

　同法は2020年10月に提案され、何度かの修正を経て、2021年8月に可決された。中国政府は当時、オンラインプラットフォームが個人情報を過剰に収集することで生み出されたデータの「混乱」に対処する必要があることから、この新法が必要になると述べていた。

　同法では「個人情報」を、識別された、または識別可能な個人に関する、電子的もしくはその他の形式で記録された、あらゆる種類のデータと定義している。匿名化されたデータは対象外となる。

　PIPLは、特に中国の消費者に製品やサービスを提供したり、その行動を分析したりする目的で、個人データを国外で処理する外国の組織にも適用される場合がある。これらの組織は、個人情報の保護に関する責任を負う指定機関の設立か、中国に拠点を置く代表者の任命が求められている。

　香港の個人データ保護監督機関であるPrivacy Commissioner for Personal Data（PCPD）によると、新法には、国境を越えるデータの移動に関する条項が含まれており、中国国外に個人情報を移す必要がある企業は、まず「個人情報保護の影響評価」を実施しなければならない。

　さらに、個人情報の移転に関わる個人から個別に同意を得て、いくつかある要件の1つを満たさなければならない。そうしたものには、サイバー空間を監督する関係当局が発行する標準契約書への同意や、関係当局が定めたその他の法規制の要件を満たすことなどが含まれる。

　またMNCは、データ処理に関与するほかの外国企業がPIPLの定めるデータセキュリティ基準に準拠するように、必要な対策を講じなければならない。

　新法は、個人情報の取り扱いが明確かつ妥当であり、情報処理の目的を達成するために「必要最小限」に留めるべきだとしている。

　PCPDによると、この新法は「自動化された意思決定」のためのデータ処理も対象となる。つまり、ITシステムを使用して、消費者の行動、習慣、興味、金融、健康などを自動的に分析する場合も適用される。

　その場合、企業はそうした意思決定プロセスの透明性と公平性を確保しなければならない。自動化された意思決定がプッシュ通知やマーケティングに利用される際には、パーソナライズされたコンテンツの受信をオプトアウトする選択肢を消費者に提供することが求められる。自動化された意思決定の導入に先立ち、セキュリティ影響評価を行い、その報告書を少なくとも3年間保存する必要がある。

　PIPLに違反した企業には、是正命令や警告が発行される可能性がある。また、PCPDによると、中国の関係当局が「不法な収入」を没収することもある。

　是正命令に従わない違反者には最大100万元（約1800万円）の罰金が科される場合がある。またコンプライアンス確保の責任者も1万〜10万元（約18万〜180万円）の罰金が科せられる。

　「深刻な」事例では、最大5000万元（約9億円）もしくは前年の売上高の5％が罰金として科される可能性がある。さらに営業停止を命じられたり、事業の許可、認可が取り消しになったりする場合がある。