2025年5月1日施行：中国「個人情報保護コンプライアンス監査管理弁法」のポイント

1.　はじめに
中国の個人情報保護法54条では、従業員、取引先、サプライヤーなどの個人情報を取り扱う組織（＝個人情報取扱者）に対し、定期的なコンプライアンス監査の実施を義務付けています。しかし、これまで具体的にどう対応すればよいかを示す法律はありませんでした。そうした中、2025年2月12日に「個人情報保護コンプライアンス監査管理弁法」が公布され、2025年5月1日から施行されます。本稿では、特に重要なポイントと実務上の留意点を解説します。

2.　本弁法のポイント

2.1　定期監査
個人情報保護法54条により、中国国内で個人情報を扱う企業だけでなく、中国国外に所在しながらも中国の個人情報を取り扱う企業も監査の対象となります。

監査の頻度はどう決まるのか？

草案時点では以下の基準が示されていました。

• 100万人以上の個人情報を保有する場合：年1回の監査
• それ以外の企業：2年に1回の監査

しかし、最終的に施行される本弁法では基準が緩和され、次のように変更されました。

• 1000万人以上の個人情報を扱う企業：2年に1回以上の監査が必要

では、1000万人未満の情報を扱う企業はどうすればいいのでしょうか？

2.2　当局による監査の要求
上記のようなリスク事象が発生した場合、中国当局は企業に対して監査の実施を正式に命じることができます。この場合、企業は以下に従う必要があります。監査の結果、問題点が見つかった場合には、改善対応や報告の提出も求められます。

• 当局の指定した期限内に
• 第三者の専門機関に委託して
• 監査を完了させること

2.3　監査のチェック項目
監査では、以下の観点から企業の状況がチェックされます。

①　同意の取得
－ 情報の取得や利用前に本人から明確な同意を得ているか
－ 処理目的が変わった場合に再度の同意を得ているか

②　利用目的の告知
－ わかりやすい言葉で、正確かつ十分な情報を表示しているか

③　処理方法の適正性
－ 個人の権利に与える影響を最小限にする方法を採用しているか

④　その他の管理体制
－ 委託・共同処理、越境移転など、第三者との関係に関する管理
－ 社内ルール、技術的対策、緊急対応策の整備状況
－ 従業員向けの教育訓練

2.4　監査違反のリスク
監査義務に違反した場合は、個人情報保護法66条やネットワークデータ安全管理条例58条などに基づいて処罰されます。

3.　コンプライアンス監査を実施する上でのポイント

3.1　自主的な監査の重要性
実際には、多くの企業で法令への対応が不十分なケースが見られます。下記のリスクを避けるためには、自主的な監査の実施が重要です。

• 対応を怠ると、法的なペナルティを受ける可能性がある
• 情報漏洩などのインシデントが発生すれば、企業の信用にも大きく影響

3.2　当局による急な要求への備え
当局から監査を要求された場合、対応が非常に困難になることもあります。例えば、過去にアプリの不適切な個人情報の取扱いに対して、15営業日以内に是正完了を求められた事例がありました。システム改修、外部ベンダー調整などを含め、短期間で対応するのは非常に難しく、事前の監査・準備が有効です。

3.3　監査体制の構築
監査を効果的に行うためには、社内の関係部門から情報を正確に集める体制が必要です。しかし、各部門の独立性や理解不足により、誤った情報が提出されることがあるため、専門知識を持つリーダーが監査を主導すること、必要に応じて、外部専門家の支援を活用することが推奨されます。

4.　弊所のサポート
個人情報保護コンプライアンス監査は、法令遵守だけでなく、企業の信頼維持やリスク管理にも直結する重要な取り組みです。ただし、特に1000万人未満の個人情報を扱う企業にとっては、「どの程度の監査が必要か」「何を確認すればよいか」がわかりづらいのが実情です。弊所では、簡単な質問票にご回答いただくだけで、現状のリスクや改善点についてコメントをお返しする「無料簡易診断サービス」をご用意しました。ご興味のある方は、下記にお問い合わせください。

本記事の詳細については下記よりお気軽にお問い合せください。
inquiry@o-tenth.com