« NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド | Main | ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-) »

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

|

« NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド | Main | ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド | Main | ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-) »