多国籍企業における個人情報の取扱い
2021. 8. 18
多国籍企業における個人情報の取扱い
Q:多国籍企業グループ内で個人情報を取扱う際、どのような注意事項がありますか?
A:多国籍企業では、海外拠点と本社の間でグローバルレベルでの情報共有がよく行われます。以前、中国には正式な個人情報保護に関する法律がありませんでしたが、近年、中国国内において個人情報保護に関する法整備が急速に進展しており、個人情報データの越境移転に対するコンプライアンス問題も、ますます注目されて来ています。
現在公表されている「個人情報保護法」草案第二次審議稿(未だ正式に適用されておらず、下記条項はこの草案の条文を引用する)により、個人情報の越境移転は原則として可能ですが、実務上の留意点としては、下記の通りです。
- (第38条)域外の移転先と契約を締結、双方の権利及び義務を約定し、かつその個人情報取扱活動が本法の規定する個人情報保護基準に達していることを監督するか、或いは国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得ることが必要です。また、国家インターネット情報部門が規定する数量に達した場合、及び個人情報取扱者が重要情報インフラ運営者である場合は、国家インターネット情報部門によるセキュリティ評価に合格する必要があります。
- (第39条)域外に個人情報を提供する場合には、個人に対し域外提供先の身元、連絡方法、取扱目的、取扱方法、個人情報の種類、及び個人が域外提供先に対して本法の規定する権利を行使する方法等の事項を告知し、かつ個人の単独同意を取得しなければなりません。
- (第55条)域外に個人情報を提供する場合には、事前にリスク評価を行い、 かつ取扱状況を記録し、そのリスク評価報告書及び取扱状況記録は少なくとも3年間保存しなければなりません。リスク評価の内容には、下記する3点を含む必要があります。①個人情報の取扱目的、取扱方法等が合法で適切かつ必要であるか否か。 ②個人への影響及びリスクの程度。③講じる安全保護措置が合法で、有效かつリスクの程度に相応しているか否か。
上記の要件を厳格に実施することは多少の難易度があると考えられますが、我々としても最終法案が可決された後の運用指針やガイドライン等を引き続き注視しつつ、今後講じるべき対策を提案してまいります。
