強まる監督管理体制下での企業のデータコンプライアンス対応策(二)

来源:安理律师

文章摘要
*本文は『強まる監督管理体制下での企業のデータコンプライアンス対応策』の第二部であり、第一部安理観法丨強まる監督管理体制下での企業のデータコンプライアンス対応策(一)についてはクリックして原文をご確認

*本文は『強まる監督管理体制下での企業のデータコンプライアンス対応策』の第二部であり、第一部安理観法丨強まる監督管理体制下での企業のデータコンプライアンス対応策(一)についてはクリックして原文をご確認いただきたい。
企業は、すべての業務ラインについて系統的精査を行うことにより、存在するかもしれない基本的なコンプライアンス問題を常に識別し続け、かつ、即時改善することによって可及的速やかに基本的なコンプライアンス準拠状態にもっていくようにすべきである。これをベースに、組織構造、業務、制度等の各方面を絶えず最適化・拡充することによって、系統的なデータコンプライアンス体系を最終的に構築する。一般的に言えば、監督管理上の要求に動態的に適応するデータコンプライアンス体系を構築すべきである。これには少なくとも、組織構造、業務の現状とデータの整理、ポリシーの策定と執行、法律文書体系の確立と拡充、技術上の管理措置、意思疎通と研修、監査・評価と監督、振り返りと改善等を含まなければならない。
一、特別プロジェクト実施の足がかり
実情を踏まえ、企業がデータコンプライアンスに関する特別プロジェクトを始動しようとするならば、全体的に「まず基本的なコンプライアンス、それからシステムの最適化・高度化」というモデルを採用できる。つまり、まずはリスクポイントを識別し、これに焦点を絞った改善案を策定して、業務の中でデータコンプライアンスの要求を満さず、監督管理上のレッドラインに触れるおそれがある問題を解決する。こうすることによって、企業が直面するリスクをできるだけ早く取り除くとともに、監督管理上の要求に動態的に適応する体系を構築するための基礎を築くのである。
二、体系構築における主たる内容
1. 組織構造
主に、意思決定層、管理層、執行層、監督層にそれぞれ責任、意思決定、執行及び監督のメカニズムを設ける(又は既存のものを調整する)。主たる任務には、データコンプライアンスに係る意思決定機関の設置と意思決定制度、常設作業チームと意思決定制度、体系の全体的運用と管理制度の制定又は拡充等が含まれる。
2. 業務の現状とデータの整理
主に、データ資産の点検、整理と分類及び目録作成を行う。主たる任務には、データのデューデリジェンス報告、資産目録、等級別分類状況のリスト、コンプライアンスギャップ報告、特別改善案等が含まれる。
3. ポリシーの策定と執行
主に、法律規定及び企業の実情に基づき、相応の管理ポリシーを策定又は拡充する。法律に定められた制度や規範・細則等に合致させ、かつ行政管理を含む複数の部署で共に進めていく。ポリシー策定のレベルでの主な任務には、企業の全業務分野をカバーし、実行可能性を備えたデータ管理制度の制定又は拡充等が含まれる。ポリシー執行のレベルでは、通常、企業内部のデータコンプライアンスに関する常設作業機関が管理部門となり、監督制度が実際に執行されているか監督することに責任を負う。
4. 法律文書体系の確立
主に、すべての対外的(利用者と提携者を含む)及び対内的(従業員)な法律文書体系の系統的設計と拡充を行う。主たる任務には、プライバシー協定、利用者同意書、対外的に公示する法的文書、業務契約、労働契約、各種業務のフォームの作成又は拡充等が含まれる。
5. 技術管理措置
人工知能、ブロックチェーン、IoT、ビッグデータ、クラウドコンピューティング等の発展し続ける新たな技術環境に対して、主な任務は、データの全ライフサイクルの技術措置案、データの安全保護と検査・内部統制制度、データの安全対応と緊急処置制度及び管理統制措置の制定又は拡充等が含まれる。
6. 意思疎通と研修
企業内部で啓発業務を行い、一般従業員、データ処理の中心的部署、情報技術部門、管理経営陣等を対象にカスタマイズされた研修課程を策定して実施し、全体的なデータコンプライアンスの意識を高める。主たる任務には、研修プラン、研修教材、啓発資料の作成又は拡充、研修活動の組織・実施等が含まれる。
7. 監査、評価と監督
主に、データコンプライアンス監査の要求、個人情報影響評価及び受託者に対するデータ処理者の監督等の制度・メカニズムに対して相応の設定を行う。主たる任務には、監査制度と評価制度の制定又は拡充、各種監査報告と評価報告の作成等が含まれる。
8. 振り返りと改善
データコンプライアンス体系に対して法律法規の変化に応じて改善作業を続け、かつ監督管理上の要求に動態的に適応する。主たる任務には、体系に関する検査報告、問題のフィードバックリスト、プランと計画の改良/拡充等が含まれる。
注意すべきは、多くの多国籍企業が中国法に基づきデータコンプライアンス体系を構築するにあたってGDPRの成熟した実践を様々な程度で参考にしているけれども、GDPRに基づく文書を中国でローカリゼーションするプロセスでは、GDPRと『個人情報保護法』との違いに留意し、データコンプライアンス体系のポリシー策定、文書の準備等の重要な内容を盛り込むことが必要であるという点であり、若干の注意点を列挙する。
三、ポリシーの策定
1. 個人情報処理者と受託者
GDPRでは次の2つの役割が定義されている。まず、Data Controllerは、個人情報を処理する目的と方法を自主的に決定する権利を有し、個人情報処理のプロセス全体に最終的な責任を負う。Data Processorは、例えばストレージや分析加工といった特定事項の処理を受託し、受託事項についてのみ責任を負う。この両者間には管理契約があり、前者は後者を管理監督する。中国『個人情報保護法』では、個人情報処理者がData Controller、受託者がData Processorに対応しているが、直訳だけでは混乱が生じるので、法的概念上の区別に注意が必要である。
2. プライバシーと個人情報
英米法では「プライバシー」は慣習的に用いられており、中国でも多くのAPPやウェブサイトが「プライバシーポリシー」という表現を参考にしている。しかしながら、中国法ではプライバシーと個人情報の法的概念は異なっているから、用語規範の観点からすると、「個人情報保護ポリシー」とするほうが中国法の法律言語体系に合致している。
3. 個人情報安全インシデントの緊急時対応策
中国『個人情報保護法』は、個人情報処理者に個人情報安全インシデントの緊急時対応策を構築するよう明らかに要求している。
(1)個人情報主体への通知
個人情報安全インシデントの発生について、GDPRでは、原則として個人情報主体への通知は必要ない。ただし、検証の結果、個人情報漏洩インシデントが認められ、個人情報主体に比較的高い安全リスクの影響が及ぶ場合には通知しなければならない。中国『個人情報保護法』では、原則として通知しなければならない。ただし、検証の結果、有効な措置によって個人情報主体への損害が完全に回避されている場合には通知を要しない。
(2)主管部門への通知
GDPRでは通知不要の例外事由が認められているが、中国『個人情報保護法』ではすべてについて通知を要する。
したがって、緊急時対応の制度と文書をローカリゼーションする過程では、関連条項の調整に注意しなければならない。
四、文書の準備
1. 同意告知書のチェックと修正
同意告知書の内容がGDPR体系に基づいて構築されたものである場合、中国『個人情報保護法』の要求に従って、そのフォームや文書をチェックし、修正する必要がある。
(1)処理する個人情報の種類
GDPRでは、「~を含むがこれらに限らない」、「処理業務に必要なその他のあらゆる情報」といった曖昧で包括的な表現が用いられることが多く、明確な要求はない。一方、中国『個人情報保護法』は、個人情報の種類を完全に明記するよう求めている。
(2)受領者の名称と連絡先
GDPRでは受領者の類型を告知するだけでよい。中国『個人情報保護法』では、名称と連絡先の告知が明らかに要求される受領者について、合併・買収又は破産による受領者、その他の個人情報処理者、国外の受領者等いくつかの類型が掲げられている。
(3)単独の同意
単独の同意は、GDPRにはなく、中国『個人情報保護法』で新たに設けられたものである。他の個人情報処理者への提供、機微な個人情報の処理、個人情報の越境といった場合には、単独で告知し、単独で同意を得ることが求められる。
2. 業務契約のチェックと修正
中国『個人情報保護法』の観点から、企業は業務契約を次の3つに分けることができる。個人情報処理者と処理者の契約(契約相手方が単独の同意を得ているか重点的に審査する)、個人情報処理者と受託者の契約(個人情報処理者の監督義務を契約条項中に明確に取り決める)、個人情報処理者と(データには触れない)サービス受領者の契約(双方の役割と権利義務を契約で明確化する)である。
最後に
中国では現在、国際的に通用する法律言語で国益を守っている。データ要素がより重要な役割を発揮する将来に向け、企業は中国のリスク差別化管理に基づく監督管理のロジックを深く理解し、監督管理上の要求に動態的に適合するデータコンプライアンス体系を構築し、データガバナンス、特に巨大な価値を生むデータ移動とデータセキュリティとにバランスを見出す必要がある。

技术驱动法律,专业成就未来