どのような個人情報取扱者はコンプライアンス監査を実施すべきか?
2025. 3. 13
どのような個人情報取扱者はコンプライアンス監査を実施すべきか?
Q:どのような個人情報取扱者に対して「個人情報保護コンプライアンス監査管理弁法」に従ってコンプライアンス監査を実施する必要があるのか?
A:「個人情報保護コンプライアンス監査管理弁法」(以下「弁法」という)は、国家インターネット情報弁公室が2025年2月14日に公表し、2025年5月1日から正式に施行される。「弁法」に基づき、以下の2種類の個人情報取扱者にコンプライアンス監査を行う必要がある。
1. 自らコンプライアンス監査を行う個人情報取扱者:すべての個人情報取扱者はコンプライアンス監査の意識を備え、定期的にコンプライアンス監査を行うべきである。内部または外部の専門的な能力を備えた機関を通じて、自らが取り扱う個人情報の合法性、正当性、必要性に対して検査を行い、個人情報の権益を保障する。その中で、1000万人以上の個人情報を取り扱う個人情報取扱者については、弁法は少なくとも2年に1回、個人情報保護コンプライアンス監査を行うことを求めている。このような大規模なデータ取扱者は、大量の個人情報を扱うため、万一セキュリティ問題が発生した場合、影響はきわめて広い範囲に及ぶこととなる。例えば、大規模なソーシャルメディアプラットフォームや超大型の電子商取引プラットフォームなどは、日常運営の中で数億のユーザーの氏名、連絡先、購入履歴などの個人情報を収集し取り扱っている。これらのデータを取り扱う活動は、収集、保存、利用、共有等の各段階において法律、行政法規を厳格に遵守することを確保するため、定期的に内部機関または委託先の専門機関による監査を受けなければならない。
2. 監督管理の要求に基づいてコンプライアンス監査が実施される個人情報取扱者:個人情報保護の職責を果たす部門、例えば、インターネット情報部門、市場監督管理部門などは、日常の監督管理プロセスの中で、個人情報取扱い活動において重大なリスクが存在し、多数の個人権益の侵害、または個人情報セキュリティインシデントが発生する可能性を発見した場合、関係する個人情報取扱者に専門機関に委託して個人情報処理活動に対してコンプライアンス監査を実施するよう求める権限を有する。該当する個人情報取扱者はコンプライアンス監査を受けた後、保護部門に結果を報告するとともに、保護部門の指示に従って、コンプライアンス監査で判明した問題の是正を実施しなければならない。
