中国 配車サービス業務等をおこなっている滴滴全球が80億元（1,600億円）以上の罰則を課される

こんにちは、丸山満彦です。

昨年の7月にNY証券市場に上場していた滴滴全球 (DiDi Global) が個人情報の取り扱いが不適切としてアプリケーションの利用を停止され、今年の5月23日にはNY証券市場を廃止を決定し（廃止をしないと新規ユーザの登録ができない）、6月２日に上場廃止しました。

そして、今回の当局の決定です。。。

ちなみに、20-Fを読んでいると、上場している持株会社の滴滴全球 (DiDi Global) は中国企業ではなく、ケイマン諸島にある会社のようですね。。。しかし、ビジネスの95％以上は中国のタクシー事業等のビジネスからなっていると言う感じですね。。。（いわゆる変動持分事業体; VIEスキームを利用した上場。。。）実質的には中国の会社なのですが、SECルールに基づく開示をおこなっているのはケイマン諸島の持株会社と言う構造ですね。SECルールに基づいて情報はどんどん開示されてしまう。。。でも中国当局は持株会社に直接権限を行使できない。。。上場を廃止しないとVIEがおこなっている中国での通常のビジネス（90％以上を占める）ができないといえば、株主利益を毀損するので上場廃止と言うことにならざるを得なくなり。。。と言うことなのかもしれませんね。。。で、今は滴滴全球股份有限公司は中国の会社になっているんですかね。。。滴滴全球 (DiDi Global) の株主はどうなったのでしょうかね。。。VIEはこれから難しいと言うことですかね。。。アリババもVIEでしたが。。。

 

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2022.07.21 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定

国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定	国家サイバースペース管理局が滴滴グローバルに対するネットワークセキュリティ審査関連の行政処分を決定
根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。	国家サイバースペース管理局は、ネットワークセキュリティ審査の結論と発見された問題点や手がかりにより、滴滴グローバル社の違法行為の疑いを調査する案件を開設し、その結果、滴滴グローバル社のネットワークセキュリティが違法であることが判明しました。 滴滴グローバル社は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法に違反し、違反の事実は明らかであり、証拠は決定的で、重大かつ、悪質である。
7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。	7月21日、国家サイバースペース管理局は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法、行政処罰法などの法令に基づき、滴滴グローバル社に対して80億2600万人民元の罰金、滴滴グローバル社の鄭偉会長兼CEOと劉慶社長に対して各100万人民元の罰金を課した。

 

・2022.07.22 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出 - 网络安全审查相关行政处罚的决定答记者问

国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出	滴滴グローバル社に対する行政処分の適法性について、国家サイバースペース管理局の関連担当者は次のように述べた。
网络安全审查相关行政处罚的决定答记者问	サイバーセキュリティ審査に関する行政処分の決定に関するQ&A
7月21日，国家互联网信息办公室公布对滴滴全球股份有限公司（以下简称“滴滴公司”）依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。	7月21日、国家サイバースペース管理局は、滴滴グローバル社（以下、滴滴社）に対して、ネットワークセキュリティ審査に関する行政処分を行うことを決定したと発表した。 国家サイバースペース管理局の担当者は、本件に関連する問題について記者の質問に答えた。
一、问：请简要介绍案件的背景和调查经过？	1. Q: 事件の背景と捜査過程を簡単に紹介してください。
答：2021年7月，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。	A：2021年7月、国家データセキュリティのリスクを防ぎ、国家安全を守り、公共の利益を保護するため、国家安全法およびネットワークセキュリティ法に従い、国家サイバースペース管理局は、ネットワークセキュリティ審査対策に基づき、滴滴社のネットワークセキュリティ審査を実施した。
根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。期间，国家互联网信息办公室进行了调查询问、技术取证，责令滴滴公司提交了相关证据材料，对本案证据材料深入核查分析，并充分听取滴滴公司意见，保障滴滴公司合法权利。经查实，滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚。	国家サイバースペース管理局は、ネットワークセキュリティ審査の結論と発見された問題点や手がかりをもとに、法律に基づいて滴滴社の違法行為の疑いを調査するケースを開設した。 この間、国家サイバースペース管理局は、調査照会、技術的な証拠収集、滴滴社に関連証拠資料の提出を命じ、本件証拠資料の詳細な検証・分析を行い、滴滴社の意見を十分に聞き、滴滴社の法的権利を保護することに努めました。 滴滴社は、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」に違反し、違反の事実は明らかであり、証拠は決定的で、重大かつ、悪質で、厳正に処罰されるべきであると判断された。
二、问：滴滴公司存在哪些违法违规行为？	2. Q：滴滴社はどのような違法・不法行為を行ったのですか？
答：经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。	A：滴滴社には全部で16の違法な事実があることがわかり、それを大きく8つの側面に分けてまとめた。 第一に、ユーザーの携帯電話のアルバムから1196万3900枚のスクリーンショット情報を不正に収集し、第二に、ユーザーのクリップボードやアプリケーションリストから83億2300万件の情報を不正に収集し、第三に、乗客の顔認識情報1億700万件、年齢層に関する情報535万9200件、職業情報1635万5600件、家族関係情報137万2900件、タクシーの自宅や会社住所情報1億5300万件を過剰に収集し、第四に、運転手サービスの評価時、アプリがバックグラウンドで動作している時、携帯電話がオレンジビューレコーダー装置に接続されている時に、乗客の正確な位置情報（緯度と経度）を1億6700万件も過度に収集し、第五に、運転者の学歴に関する情報14万2900件を過剰に収集し、運転者のID番号に関する情報5780万2600件を平文でに保存し、第六に、乗客の旅行意図に関する情報539億7600万件、居住都市に関する情報15億3800件、出張/出張先に関する情報3億400万件を明示的に通知せずに分析し、第七に、タクシーサービスを利用する際に関係しない電話特典を頻繁に要求し、第八に ユーザー機器情報など19項目の個人情報の利用目的を正確かつ明確に記載していないことである。
此前，网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法不公开。	以前、サイバーセキュリティレビューでは、滴滴社が国家安全保障に重大な影響を与えるデータ処理活動を行ったほか、規制当局からの明確な要求に従わない、陽動的な行動や悪意ある監督回避などの違法・不適格な問題があることも判明している。 滴滴社の違法かつ非適合な運用は、国家の重要な情報インフラとデータセキュリティの安全性に重大なセキュリティリスクをもたらした。 国家安全保障上の問題から法律に基づき開示されない。
三、问：本案的违法主体是如何认定的？	3. Q：今回の違反対象はどのように特定されたのでしょうか？
答：滴滴公司成立于2013年1月，相关境内业务线主要包括网约车、顺风车、两轮车、造车等，相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。	A: 滴滴社は2013年1月に設立され、国内の関連事業には主にオンラインタクシー、一般のタクシー、二輪車、自動車製造などがあり、関連製品には滴滴トラベルApp、滴滴オーナー、滴滴タクシーApp、滴滴エンタープライズAppなど41のアプリが含まれている。
滴滴公司对境内各业务线重大事项具有最高决策权，制定的企业内部制度规范对境内各业务线全部适用，且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会，参与网约车、顺风车等业务线相关行为的决策指导、监督管理，各业务线违法行为是在该公司统一决策和部署下的具体落实。据此，本案违法行为主体认定为滴滴公司。	滴滴社は、国内各事業の主要事項に関する最高意思決定権を有し、構築した社内制度・規範はすべて国内各事業に適用され、その実施状況を監督・管理する責任を負っている。 同社は、滴滴情報・データセキュリティ委員会および同社の個人情報保護委員会・データセキュリティ委員会を通じて、インターネット配車サービスやタクシーなどの事業ラインの関連行為の意思決定指導・監督・管理に参加し、事業ラインの違法行為は、同社の統一した意思決定・展開の下で実施された。 したがって、本件の違法行為の対象は滴滴社であると認定された。
滴滴公司董事长兼CEO程维、总裁柳青，对违法行为负主管责任。	滴滴社の鄭偉会長兼CEOと劉慶社長は、違法行為に責任があった。
四、问：对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是什么？	4. Q: 滴滴社にネットワークセキュリティの見直しに関する行政処分を科すことにした主な根拠は？
答：此次对滴滴公司的网络安全审查相关行政处罚，与一般的行政处罚不同，具有特殊性。滴滴公司违法违规行为情节严重，结合网络安全审查情况，应当予以从严从重处罚。一是从违法行为的性质看，滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害用户个人信息权益。四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达647.09亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个App，涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。	A：滴滴社のネットワークセキュリティ審査に関わる行政処分は、一般の行政処分とは異なり、特殊な性質を持っている。 滴滴社の違法行為の経緯は深刻であり、ネットワークセキュリティの見直しと合わせて、厳正な処罰を行うべきである。 まず、違反の内容から、滴滴社は、ネットワークセキュリティ、データセキュリティ、個人情報保護に関する義務を関連法令および監督官庁の要求に従って履行せず、国家ネットワークセキュリティおよびデータセキュリティを軽視し、国家ネットワークセキュリティおよびデータセキュリティに重大なリスクと隠れた危険をもたらし、監督官庁が修正を命じた後も、包括的かつ徹底的な是正を行っておらず、極めて悪質である。 次に、違法行為の期間から見ると、滴滴社の当該違法行為は、2015年6月に初めて始まり、7年間継続しており、2017年6月施行のネットワークセキュリティ法、2021年9月施行のデータセキュリティ法、2021年11月施行の個人情報保護法に継続して違反するものである。 第三に、違法行為による被害についてであるが、滴滴社は、ユーザーのクリップボード情報、フォトアルバムのスクリーンショット情報、アフィニティ情報などの個人情報を違法な手段で収集しており、ユーザーのプライバシーを著しく侵害し、個人情報に関する権利を著しく侵害した。 第四に、法律に違反して取り扱った個人情報の量から、滴滴社は、顔認識情報、正確な位置情報、IDカード番号などの機密個人情報を含む647億900万件という膨大な量の個人情報を違法に取り扱った。 第五に、個人情報の違法な取扱いの状況から、滴滴社の違法行為は、複数のアプリが関与し、個人情報の過剰な収集、機微な個人情報の強制収集、アプリによる頻繁な権利主張、個人情報の取扱いの告知義務の不履行、ネットワークセキュリティデータ安全保護義務の不履行など様々な状況を対象としていることである。
综合考虑滴滴公司违法行为的性质、持续时间、危害及情形，对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。	滴滴社の違法行為の性質、期間、被害および状況を考慮し、滴滴社に対するネットワークセキュリティ見直しに関する行政処分の決定の主な根拠は、「ネットワークセキュリティ法」「データセキュリティ法」「個人情報保護法」「行政処罰法」等の関連規定であった。
五、问：下一步网络执法的重点方向和领域有哪些？	5. Q：次のステップでのネットワーク法施行の重要な方向性と領域は何ですか？
答：近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度，通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施，依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为，切实维护国家网络安全、数据安全和社会公共利益，有力保障广大人民群众合法权益。同时，加大典型案例曝光力度，形成强大声势和有力震慑，做到查处一案、警示一片，教育引导互联网企业依法合规运营，促进企业健康规范有序发展。	A: 近年、国はネットワークセキュリティ、データセキュリティ、個人情報の保護を継続的に強化しており、「ネットワークセキュリティ法」「データセキュリティ法」「個人情報保護法」「重要情報インフラのセキュリティ保護に関する規定」「ネットワークセキュリティ審査対策」「データ出口セキュリティ審査対策」などの法令を公布しています。 インターネット情報部門は、ネットワークセキュリティ、データセキュリティ、個人情報保護などの分野において、法執行面談、訂正命令、警告、通知・批判、罰金、関連業務の停止命令、業務改善停止、ウェブサイトの閉鎖、オフライン、責任者の処遇などの処分・処罰措置を強化して、国家ネットワークセキュリティ、データセキュリティ、国民の個人情報侵害などを危惧する不法行為を取り締まり、国家を効果的に保護します。 ネットワークセキュリティ、データセキュリティ、社会的公共性を確保し、一般市民の正当な権利と利益を強力に保護します。 同時に、典型的な事例の露出を増やし、強い勢いと強力な抑止力を形成し、事件を調査・処理し、一片を警告し、インターネット企業が法に則って運営するよう教育・指導し、その健全かつ標準的な発展を促進させるようにする。

 

そして、2021年5月17日以来の会社のプレス発表。。。（投資家向けはSECルールに従い、2022年6月2日の上場廃止まで発表しています。。。）

● 滴滴全球 (DiDi Global)

・2022.07.21 诚恳接受，坚决服从，全面深入自查，积极配合监管，认真完成整改

诚恳接受，坚决服从，全面深入自查，积极配合监管，认真完成整改	私たちは、心から受け入れ、断固として従い、包括的で綿密な自己点検を行い、監督と積極的に協力し、是正と改革を真剣にやり遂げます。
今天，国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定，对此我们诚恳接受，坚决服从，严格按照处罚决定和相关法律法规要求，全面深入自查，积极配合监管，认真完成整改。我们真诚地感谢主管部门的检查和指导，感谢社会公众的批评和监督，我们将引以为戒，坚持安全与发展并重，进一步加强网络安全、数据安全建设，加强个人信息保护，切实履行社会责任，服务好每一位乘客、司机师傅和合作伙伴，实现企业安全健康可持续发展。	本日、国家サイバースペース管理局は、法律に基づいて、滴滴グローバル株式会社にネットワークセキュリティ審査に関する行政処分を科す決定を下し、我々はこれを心から受け入れ、断固として従い、処分決定と関連法令の要求に従い、全面的かつ綿密な自己検査を行い、監督に積極的に協力し、是正を真剣に完成させました。主管庁の検査と指導、国民の批判と監督に心から感謝します。 これを戒めとし、安全と発展の等しい重要性を堅持し、ネットワークセキュリティとデータセキュリティの構築をさらに強化し、個人情報の保護を強化し、社会的責任を効果的に果たし、すべての乗客、運転手のマスター、パートナーに奉仕し、企業の安全、健康、持続可能な発展を達成します。
滴滴全球股份有限公司	滴滴グローバル株式会社

 

上場廃止に関する情報

・SEC FILINGS

上場廃止の通知

・2022.06.22 [PDF] Form-25 Notification filed by a National Securities Exchange to Report the Removal from listing and registration of matured , redeemed or retired securities

上場廃止決定の報告

・2022.05.23 [PDF] Form 6-K Report of Foreign Issuer

上場廃止の意向の報告

・2022.05.11 [PDF] Form 6-K Report of Foreign Issuer

こういう記述がありますね。。。

Based on the currently effective laws and regulations, as well as the most recent drafts of laws and regulations released for public comment and communication with the relevant cybersecurity review regulatory authorities, the Company has concluded that it needs to complete the cybersecurity review and rectification in order to resume normal operations, including applying for the 26 Apps to be made available for download on the app stores again and resuming the registration of new users in China, and that if it does not delist from the NYSE, it will not be able to complete the cybersecurity review and rectification, which would have a material adverse impact on the Company’s ability to conduct normal operations, restore its businesses and serve the best interests of its shareholders. During the rectification process, the Company has had confidential communications with the relevant PRC government authorities regarding the cybersecurity review and rectification. However, whether the Company’s rectification measures will satisfy the requirements of the relevant authorities and when it will be able to resume normal operations, including applying for the 26 Apps to be made available for download on the app stores again and resuming the registration of new users in China, remains uncertain. Based on the aforementioned currently effective laws and regulations, most recent drafts of laws and regulations released for public comment and communication with the relevant regulatory authorities, the Company has concluded that it needs to complete the cybersecurity review and rectification in order to resume normal operations, including applying for the 26 Apps to be uploaded to the app stores again and resuming the registration of new users in China.

当社は、現在有効な法令及びパブリックコメントのために公表された最新の法令案並びに関連するサイバーセキュリティ審査規制当局とのコミュニケーションに基づき、通常の業務を再開するためにはサイバーセキュリティ審査及び是正を完了する必要があると判断しています。26アプリのアプリストアでのダウンロード可能化の申請や中国での新規ユーザー登録の再開を含め、NYSEの上場を廃止しない場合、サイバーセキュリティの審査および是正を完了することができず、当社の通常の業務遂行能力、事業の回復および株主の最善の利益に重大な悪影響を及ぼすと判断したため、当社は、NYSEの上場を廃止することにしました。当社は、是正プロセスにおいて、関連する中国政府当局とサイバーセキュリティのレビュー及び是正に関して機密のやりとりを行ってきました。しかしながら、当社の是正措置が関連当局の要求を満たすかどうか、また、26アプリのアプリストアでのダウンロード再開の申請や中国での新規ユーザー登録の再開を含む通常業務の再開がいつ可能になるかは、依然として不確実なままであります。当社は、前述の現在有効な法令、パブリックコメントのために公表された最新の法令案および関連規制当局とのコミュニケーションに基づき、26アプリのアプリストアへの再アップロード申請および中国での新規ユーザー登録の再開を含む通常の業務を再開するためには、サイバーセキュリティの審査および是正を完了する必要があると判断しています。

 

最後となった 20-F

・2022.05.02 [HTML] Form 20-F Annual and Transition Report (foreign private issuer)

EDGARの情報。。。

● U.S. SEC - EDGAR

・DiDi Global Inc. DIDIY on OTC

・2022.06.02 Form 25 Notification of the removal from listing and registration of matured, redeemed or retired securitiesOpen document

・2022.05.23 Form 6-K Report of Foreign Issuer

・2022.05.11 Form 6-K Report of Foreign Issuer

・2022.05.02 Form 20-F Annual and Transition Report (foreign private issuer)

ちなみに監査法人はPwCですね。。。

 

---

参考...

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.19 中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定（試行）が公表されていますね。。。at 2021.08.16

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される