個人情報保護の取り扱いの適法性監査にかかる弁法のパブコメ開始

中国の国家インターネット情報弁公室は8月3日、16条からなる個人情報保護の取り扱いの適法性監査規定である「個人情報保護コンプライアンス監査管理弁法（意見募集稿）」（以下、意見募集稿）を発表し、9月2日までの期間で意見募集を開始した。主な内容は次のとおり。

〇100万人以上の個人情報を扱う事業者は少なくとも1年に1度、100万人未満の個人情報を扱う事業者は少なくとも2年に1度は個人情報保護コンプライアンスに関する監査を実施する必要がある（4条）。

〇個人情報保護が適法かどうかの監査は、個人情報処理者が自ら実施するが、状況によっては本弁法に従い専門機関に委託して実施することができる（5条）。

〇個人情報職責部門からの要求に基づき監査を行う場合、個人情報保護監査を行う委託先専門機関を速やかに選定しなくてはならない（7条）。

〇個人情報職責部門からの要求に基づき委託監査を行う場合、委託先専門機関が該当個人情報に関する関連書類などの閲覧、個人情報処理活動に関連する施設への立ち入り、関連の活動、関連業務や情報システムの調査、関連設備施設の検査、関連データなどの閲覧、関係者への聴取、証拠収集など、監査に必要な権限を正常に行使できることを保証しなければならない（8条）。

〇個人情報職責部門からの要求に基づき委託監査を行う場合、原則90日以内に個人情報保護監査を完了させなければならない。当局の許可があれば延長可能（9条）。

〇個人情報職責部門からの要求に基づき委託監査を行う場合、専門機関が提起した改善提案に従って改善を行い、改善状況を個人情報職責部門に報告しなければならない（11条）。

〇独立性と客観性を維持するため、同一の専門機関への委託は3回を超えてはならない（12条）。

〇国家インターネット部門は公安機関などの国務院関係部門と共同で、統一的な計画、合理的な配置などに基づき個人情報保護コンプライアンス監査専門機関の推薦リストを作成し、毎年同機関を評価し、評価状況に基づいてリストを調整する（13条）。

個人情報保護監査の際のポイントも記載

意見募集稿には、31条から成る個人情報保護監査の際のポイントも紹介されている（添付資料表参照）。

「個人情報域外移転標準契約弁法」が6月1日から施行（2023年6月6日記事参照）されるなど、中国では個人情報保護関連法規への具体的対応の明確化が進んでおり、今後も関連規定や通知を注視しておくとよいだろう。

（楢橋広基）