中国 国家サイバースペース管理局「個人情報保護遵守監査管理弁法（意見募集案) 」

こんにちは、丸山満彦です。

中国の個人情報保護は、さらに規制が強化されるんですかね。。。監査ですよ。。。

• 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回
• その他の個人情報処理事業者は、少なくとも2年に1回

監査をすることになるようですね。。。

 

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2023.08.03 国家互联网信息办公室关于《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见的通知

个人信息保护合规审计管理办法	個人情報保護遵守監査管理弁法
（征求意见稿）	(意見募集案)
第一条 为指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益，根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定，制定本办法。	第1条 本弁法は、中華人民共和国個人情報保護法及びその他の法律、行政法規、関連国家法規に基づき制定され、個人情報保護遵守監査活動を指導、規制し、個人情報処理活動の遵守レベルを向上させ、個人情報の権益を保護することを目的とする。
第二条 个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计，以及对个人信息保护合规审计活动的监督管理适用本办法。	第2条 本措置は、個人情報保護実施主管部門の要求に基づき、個人情報保護遵守監査を定期的に実施し、または専門機関に委託して個人情報処理活動の遵守監査を実施する個人情報取扱事業者、および個人情報保護遵守監査活動の監督・管理に適用する。
第三条 本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。	第3条 本施策にいう個人情報保護遵守監査とは、個人情報取扱事業者の個人情報取扱活動が法令及び行政法規に適合しているかどうかを調査・評価する監督活動である。
第四条 处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。	第4条 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回、その他の個人情報処理事業者は、少なくとも2年に1回、個人情報保護遵守監査を実施しなければならない。
第五条 个人信息处理者自行开展个人信息保护合规审计，可根据实际情况，由本组织内部机构或者委托专业机构按照本办法要求开展。	第5条 個人情報取扱事業者は、自ら個人情報保護遵守監査を実施しなければならないが、実情に応じて、本措置の要求に従い、組織の内部組織で実施し、又は専門機関に委託して実施することができる。
第六条 履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。	第6条 個人情報保護責任部門は、その職務を遂行する過程において、個人情報処理活動においてより高いリスクがあると認めた場合、または個人情報セキュリティインシデントが発生したと認めた場合、個人情報処理事業者に対し、その個人情報処理活動に関する遵守監査の実施を専門機関に委託するよう要求することができる。
第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。	第7条 個人情報処理事業者は、個人情報保護業務を行う部門からの求めに応じて個人情報保護遵守監査を実施する必要がある場合には、その通知を受けた後、速やかに、その求めに応じて個人情報保護遵守監査を実施する専門機関を選定しなければならない。
第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的，应当保证专业机构能够正常行使下列权限：	第8条 個人情報取扱事業者は、個人情報保護主管部署の求めに応じて専門機関に個人情報保護遵守監査を委託する場合、当該専門機関が次に掲げる権限を適切に行使できるようにしなければならない：
（一）要求提供或者协助查阅相关文件或资料；	(1) 関連文書または情報へのアクセスを要求し、またはその提供を支援すること；
（二）进入个人信息处理活动相关场所；	(2) 個人情報処理活動に関連する施設に立ち入ること；
（三）观察场所内发生的个人信息处理活动；	(3) 構内で行われている個人情報処理活動を観察すること；
（四）调查相关业务活动及所依赖的信息系统；	(4) 関連する事業活動およびそれらが依拠する情報システムを調査すること；
（五）检查、测试个人信息处理活动相关设备设施；	(5) 個人情報処理活動に関連する機器及び設備を検査し、試験すること；
（六）调取、查阅个人信息处理活动相关数据或信息；	(6) 個人情報処理活動に関連するデータ又は情報にアクセスし、これを閲覧すること；
（七）访谈与个人信息处理活动有关的人员；	(7) 個人情報処理活動に関係する者から事情を聴くこと；
（八）就相关问题进行调查、质询和取证；	(8) 関連事項について調査し、質問し、及び証拠調べをすること；
（九）其他开展合规审计工作所必需的权限。	(9) その他適合性監査に必要な権限を有すること。
第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的，应当在90个工作日内完成个人信息保护合规审计；情况复杂的，报经履行个人信息保护职责的部门批准后可适当延长。	第9条 個人情報処理者は、個人情報保護責任部門の要求に従い、専門機関に個人情報保護遵守監査を委託する場合、90営業日以内に個人情報保護遵守監査を完了しなければならない。
第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的，应当按照本办法要求组织实施个人信息保护合规审计，在实施必要合规审计程序后，及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。	第10条 個人情報処理機関は、個人情報保護実施責任部門の要求に従い、専門機関に個人情報保護遵守監査の実施を委託し、本弁法の要求に従い、個人情報保護遵守監査を組織し、実施し、必要な遵守監査手続きを実施した後、専門機関が発行した個人情報保護遵守監査報告書を速やかに個人情報保護実施責任部門に提出しなければならない。 個人情報保護遵守監査報告書には、遵守監査責任者、専門機関の責任者が署名し、専門機関の公印を押さなければならない。
第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的，应当按照专业机构给出的整改建议进行整改，经专业机构复核后将整改情况报送履行个人信息保护职责的部门。	第11条 個人情報取扱事業者は、個人情報保護責任部門の要請により、専門機関に個人情報保護遵守監査を委託した場合、専門機関が提示した是正案に従って是正を行い、専門機関の審査を経て、個人情報保護責任部門に是正状況を報告しなければならない。
第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。	第12条 個人情報保護遵守監査を実施する専門機関は、独立性と客観性を維持しなければならず、同一の被監査者に対して、連続して3回以上個人情報保護遵守監査を実施してはならない。
第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录，每年组织开展个人信息保护合规审计专业机构评估评价，并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。	第13条 国家インターネット情報部門は、国務院の公安機関及びその他の関連部門と協力し、総合的な計画、合理的な配置、最良の推薦の原則に基づき、個人情報保護遵守監査専門機関の推薦名簿を制定し、毎年個人情報保護遵守監査専門機関の評価・査定を組織し、評価・査定の状況に応じて、個人情報保護遵守監査専門機関の推薦名簿を動的に調整する。
鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。	個人情報取扱事業者に対し、推奨名簿の専門機関を優先的に選定し、個人情報保護遵守監査活動を行うよう奨励する。
第十四条 专业机构在从事个人信息保护合规审计活动时，应当诚信正直，公正客观地作出合规审计职业判断。	第14条 専門機関は、個人情報保護遵守監査活動に従事する際、誠実かつ高潔でなければならず、公正かつ客観的に遵守監査の専門的判断を行わなければならない。
专业机构不得转包委托第三方开展个人信息保护合规审计。	専門機関は、個人情報保護遵守監査の実施を第三者に再委託してはならない。
专业机构在履行个人信息保护合规审计职责中获得的信息，只能用于个人信息保护合规审计的需要，不得用于其他用途；专业机构应当对获得的信息承担保密责任；专业机构应当采取相应技术措施和其他必要措施，保障数据安全。	専門機関は、個人情報保護遵守監査の業務遂行上知り得た情報は、個人情報保護遵守監査の必要性のみに使用し、他の目的に使用してはならない。専門機関は、知り得た情報の秘密保持責任を負い、専門機関は、データの安全保護のために適切な技術的措置及びその他の必要な措置を講じなければならない。
专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。	専門機関は、個人情報保護遵守監査の職務を遂行する際、個人情報取扱事業者の正常な事業活動を悪意を持って妨害してはならない。
专业机构有出具虚假、失实报告等违规行为的，个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉，经履行个人信息保护职责的部门核实的，永久禁止列入个人信息保护合规审计专业机构推荐目录。	専門機関が虚偽または不正確な報告、その他の不正行為を行った場合、個人情報処理機関と関係者は個人情報保護実施責任部門に告発することができ、個人情報保護実施責任部門が確認した場合、個人情報保護遵守監査専門機関の推薦目録に永久に掲載することを禁止する。
第十五条 违反本办法规定的，依据《中华人民共和国个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。	第15条 本弁法の規定に違反した場合、中華人民共和国個人情報保護法及びその他の法律法規に基づいて処理し、犯罪に該当する場合は、法律に基づいて刑事責任を追及する。
第十六条 本办法由国家互联网信息办公室负责解释，自 年 月 日起施行。	第16条 本弁法は国家インターネット情報弁公室が解釈し、X年X月X日から施行する。
附件：个人信息保护合规审计参考要点	附属書：個人情報保護遵守監査の参考事項
个人信息保护合规审计参考要点	個人情報保護遵守監査の参考事項
第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定，为开展个人信息保护合规审计提供参考。	第1条 本要点は、「中華人民共和国個人情報保護法」及びその他の法律、行政法規、国家標準の強制要求に基づいて制定され、個人情報保護遵守監査実施の参考となる。
第二条 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件，重点审查下列事项：	第2条 個人情報保護遵守監査は、まず個人情報処理活動の合法性基礎条件を審査し、次の事項を重点的に審査する：
（一）处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；	(1) 個人情報の取扱いについて本人の同意が得られているかどうか、及びその同意が、個人情報の主体に関する十分な情報の提供を前提として、自主的かつ明確に行われているかどうか；
（二）基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；	(2) 個人情報の取扱いに関する本人の同意に基づき、個人情報の取扱いの目的、取扱い方法又は取扱う個人情報の種類が変更された場合において、改めて本人の同意が得られているか；
（三）基于个人同意处理个人信息，是否为个人提供便捷的撤回同意的方式；	(3) 本人の同意に基づく個人情報の取扱いに関する同意を撤回することができる便宜が図られているか；
（四）基于个人同意处理个人信息，是否对个人同意的操作进行记录；	(4) 本人の同意に基づく個人情報の取扱いに関する記録の有無
（五）基于个人同意处理个人信息，是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况；处理个人信息属于提供产品或者服务所必需的除外；	(5) 本人の同意に基づく個人情報の取扱いについては、商品又は役務の提供に必要な場合を除き、本人が同意しないこと又は同意を撤回したことを理由として、商品又は役務の提供を拒むことがないか；
（六）处理个人信息未取得个人同意，是否属于法律、行政法规规定不需取得个人同意的情形。	(6) 本人の同意を得ないで個人情報を取り扱うことは、法令又は行政規則で本人の同意を要しないこととされている場合であるか。
第三条 对个人信息处理规则进行审计时，应当重点审查下列事项：	第3条 個人情報取扱規程の監査にあたっては、次に掲げる事項を重点的に監査するものとする：
（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；	(1) 個人情報取扱事業者の氏名又は名称及び連絡先が、真実、正確かつ完全に伝達されているか；
（二）是否以清单形式列明所收集的个人信息及其处理目的、方式、范围；	(2) 収集した個人情報並びにその処理の目的、方法及び範囲が一覧表形式により定められているか；
（三）是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式，以及确保存储期限为实现处理目的所必要的最短时间；	(3) 個人情報の保存期間又は保存期間の決定方法、保存期間満了時の処理方法及び保存期間が処理目的の達成に必要な最小限度の期間であることを定めているか；
（四）是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法；	(4) 個人情報へのアクセス、複写、加工、転送、訂正、補足、削除、開示、取扱いの制限、利用停止、同意の撤回等の手段及び方法が特定されているか；
（五）向第三方提供个人信息的，是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，是否取得个人的单独同意；	(5) 個人情報を第三者に提供する場合には、提供先の氏名又は名称、連絡先、利用目的、処理方法、個人情報の種類を明確に通知し、本人の同意を得ること；
（六）法律、行政法规规定的其他事项。	(6) その他法令で定める事項
第四条 个人信息处理者处理个人信息应当履行告知义务，审计时应当重点审查下列事项：	第4条 個人情報取扱事業者は、個人情報の取扱いに際して通知義務を履行するものとし、監査においては、次に掲げる事項を重点的に審査するものとする：
（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；	(1) 個人情報取扱事業者が、個人情報を取り扱う前に、個人情報の取扱いに関する規程等を、見やすい方法で、理解しやすい言語により、真実、正確かつ完全な形で、本人に通知しているかどうか；
（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；	(2) 届出の文字の大きさ、字体及び色彩が、本人が当該届出を完全に読むことを容易にするものであるかどうか；
（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务；	(3) オフラインの通知が、表示や説明など様々な方法で個人への通知義務を果たしているか；
（四）在线告知是否提供文本信息或者通过适当方式向个人履行告知义务；	(4) オンライン通知が、文字情報を提供するか、または適切な手段によって個人に対する通知義務を果たしているかどうか；
（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人。	(5) 個人情報処理のルールに変更があった場合、その変更が適時に本人に通知されているかどうか。
第五条 个人信息处理者存在与他人共同处理个人信息情形的，应当重点审查下列事项：	第5条 個人情報取扱事業者は、個人情報を共同して取扱う場合には、次に掲げる事項について重点的に検討しなければならない：
（一）是否约定各自的权利义务；	(1) 各当事者の権利義務関係が合意されているか；
（二）各方采取的个人信息保护措施；	(2) 各当事者の個人情報保護措置の内容
（三）个人信息权益保护机制；	(3) 個人情報の権利利益保護の仕組み
（四）个人信息安全事件报告机制；	(4) 個人情報セキュリティインシデントの報告の仕組み
（五）侵害个人信息权益造成损害的，各方应当承担的责任；	(5) 個人情報の権利利益の侵害により損害が生じた場合の各当事者の責任
（六）其他法律、行政法规规定需要约定的权利和义务。	(6) その他法令及び行政規則で定める権利義務であって、合意を必要とするもの
第六条 个人信息处理者存在委托处理个人信息情形的，应当重点审查下列事项：	第6条 個人情報処理事業者は、個人情報の取扱いを委託した場合には、次に掲げる事項について重点的に審査しなければならない：
（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；	(1) 個人情報処理事業者が、個人情報の取扱いを委託する前に、個人情報保護影響評価を実施しているかどうか；
（二）个人信息处理者与受托人签订的合同，是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等；	(2) 個人情報処理事業者と委託先との間で締結された契約において、処理の委託を受ける個人情報の利用目的、期間、方法及び種類、委託先が講ずべき技術的及び管理的な措置並びに双方の権利及び義務について定められているか；
（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督，以确保委托处理个人信息的活动符合法律规定；	(3) 委託を受けた個人情報の処理が法令の定めるところに従って行われていることを確保するため、個人情報処理事業者が委託者の個人情報の処理について定期的な検査その他の方法により監督を行っているか；
（四）受托人是否严格按照委托合同的约定处理个人信息，是否存在超出约定的处理目的、处理方式处理个人信息的情况；	(4) 委託者が委託契約の合意事項に従って個人情報を厳正に取り扱っているか、また、合意された利用目的及び取扱方法を超えて個人情報を取り扱っている場合がないか；
（五）当委托合同不生效、无效、被撤销或者终止时，受托人是否将个人信息返还个人信息处理者或者予以删除；	(5) 委託契約が不成立、無効、取消し、解除された場合に、委託先が個人情報を個人情報処理事業者に返還し、又は消去しているか；
（六）受托人是否存在转委托他人处理个人信息的情况，是否得到个人信息处理者的同意。	(6) 個人情報の取扱いの委託の有無及び個人情報処理事業者の同意の有無
第七条 个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查下列事项：	第7条 個人情報処理事業者は、合併、再編、分割、解散、破産等により個人情報を移転する必要が生じた場合には、次に掲げる事項について重点的に検討を行うものとする：
（一）个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式；	(1) 個人情報取扱事業者が、提供を受ける者の氏名又は名称及び連絡先を本人に通知しているか；
（二）接收方是否继续履行个人信息处理者的义务；	(2) 個人情報取扱事業者の義務を引き続き履行しているか；
（三）接收方变更原先处理目的、处理方式的，是否依照法律、行政法规有关规定重新取得个人同意。	(3) 提供を受ける者が当初の処理目的及び処理方法を変更する場合には、法令等の定めに従い、改めて本人の同意を得るか。
第八条 个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的，应当重点审查下列事项：	第8条 個人情報処理事業者は、その処理した個人情報を他の個人情報処理事業者に提供する場合には、次に掲げる事項について重点的に検討しなければならない：
（一）是否取得个人的单独同意；	(1) 別途本人の同意を得ること；
（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类；	(2) 提供を受ける者の氏名又は名称、連絡先、利用目的、処理の方法及び個人情報の種類を本人に通知しているか；
（三）接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息；	(3) 提供先が、双方が同意した利用目的、処理の方法、個人情報の種類の範囲内で個人情報を取り扱っているか；
（四）变更处理目的、处理方式的，是否依照法律、行政法规规定重新取得个人同意；	(4) 処理の目的及び態様を変更する場合には、法令等の定めに従い、改めて本人の同意を得ることとしているか；
（五）是否事前进行个人信息保护影响评估。	(5) 個人情報保護に与える影響をあらかじめ評価しているか。
第九条 个人信息处理者利用自动化决策处理个人信息的，审计时应当重点评价自动化决策的透明度和结果的公平性、公正性：	第9条 個人情報の処理者が自動意思決定を用いて個人情報を処理する場合、監査は、自動意思決定の透明性、結果の公正性及び公平性の評価に重点を置かなければならない：
（一）是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响；	(1) 自動的意思決定によって処理される個人情報の種類およびその影響の可能性について、個人が事前に主体的に知らされているかどうか；
（二）是否事前对算法模型进行安全评估，并按国家相关规定进行备案，以尽可能减少自动化决策算法模型存在的缺陷，当应用场景和主要功能发生变化时，是否对算法模型重新进行评估；	(2) 自動意思決定のためのアルゴリズムモデルの欠陥を最小化するために、アルゴリズムモデルの安全性が事前に評価され、関連する国の規制に従って提出されているか、また、適用シナリオや主な機能が変更された場合にアルゴリズムモデルが再評価されているか；
（三）是否事前对算法模型进行科技伦理审查；	(3) アルゴリズムモデルの科学技術倫理審査が事前に行われているかどうか；
（四）是否事前进行个人信息保护影响评估；	(4) 個人情報保護影響評価を事前に実施しているか；
（五）是否向用户提供保障机制，以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明；	(5) 自動意思決定により個人の権利利益に重大な影響を与える意思決定を行うことを、利用者が簡便な方法で拒否できるようなセーフガードメカニズムが提供されているかどうか、または、個人の権利利益に重大な影響を与える意思決定を行うための自動意思決定の適用について、個人情報の処理者が説明を提供することが義務付けられているかどうか；
（六）是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能；	(6) 利用者の個人的特徴に特化した自動意思決定サービスで使用される利用者ラベルを削除または修正する機能を利用者に提供するかどうか；
（七）是否采取必要措施对算法和参数模型进行保护；	(7) アルゴリズムおよびパラメータモデルを保護するために必要な措置が講じられているかどうか；
（八）是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录，防范人为恶意操纵自动化决策信息和结果；	(8) 自動意思決定の過程における個人情報の処理、ラベルの管理、モデルの訓練などの手作業について、人による自動意思決定の情報や結果の悪意ある操作を防止するための記録が残されているかどうか；
（九）向个人进行信息推送、商业营销时，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；	(9) 情報や商業マーケティングを個人にプッシュする際、個人的特徴をターゲットにしないという選択肢が同時に提供されているか、または自動意思決定サービスを拒否する便利な方法が提供されているかどうか；
（十）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；	(10) 自動意思決定が、消費者の嗜好や取引習慣等に基づく取引条件について、個人に対して不合理な差別的取扱いを適用することを防止するための効果的な措置が講じられているかどうか；
（十一）其他可能影响自动化决策的透明度和结果公平、公正的事项。	(11) その他、自動意思決定の透明性及び結果の公正性・公平性に影響を及ぼすおそれのある事項
第十条 个人信息处理者存在公开其处理的个人信息情形的，应当重点审查下列事项：	第10条 個人情報処理事業者は、その取り扱う個人情報を公表する場合には、次に掲げる事項について重点的に審査しなければならない：
（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；	(1) 個人情報処理事業者が取り扱う個人情報を開示する前に、当該個人情報処理事業者が別途本人の同意を得ているかどうか、その同意が真実かつ有効なものであるかどうか、本人の意思に反して個人情報が開示される事態が発生していないかどうか；
（二）个人信息处理者公开个人信息前，是否进行了个人信息保护影响评估。	(2) 個人情報処理事業者が、個人情報を開示する前に、個人情報保護影響評価を行ったかどうか。
第十一条 个人信息处理者在公共场所安装图像采集、个人身份识别设备的，应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：	第11条 個人情報処理事業者は、公共の場所に撮像装置及び個人認証装置を設置する場合、撮像装置及び個人認証装置の設置の適法性及び収集した個人情報の利用について重点的に検討しなければならない。 審査には以下が含まれるが、これに限定されるものではない：
（一）是否为维护公共安全所必需，是否存在为商业目的处理所采集信息的情况；	(1) 公共の安全の維持のために必要かどうか、収集された情報の処理に商業的目的があるかどうか；
（二）是否设置了显著的提示标志；	(2) 目立つ注意書きが設置されているかどうか；
（三）若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。	(3) 個人情報処理事業者が収集した個人画像及び個人識別情報を公共の安全の維持以外の目的のために利用する場合には、本人の同意が得られているかどうか。
第十二条 个人信息处理者处理已公开个人信息的，审计时应当重点审查个人信息处理者是否存在下列违规行为：	第12条 個人情報取扱事業者が、公開個人情報を取り扱う場合、監査は、当該個人情報取扱事業者が次の各号のいずれかに該当するか否かに重点を置いて行わなければならない：
（一）向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息；	(1) 開示対象個人情報に含まれる電子メールアドレス、携帯電話番号等に、開示の目的とは関係のない情報を送信すること；
（二）利用已公开的个人信息从事网络暴力活动；	(2) 開示対象個人情報を利用してサイバー暴力を行うこと；
（三）处理个人明确拒绝处理的已公开个人信息；	(3) 本人が明示的に拒否した開示個人情報を処理すること；
（四）未取得个人同意处理已公开的个人信息对个人权益造成重大影响。	(4) 本人の同意を得ないで、本人の権利利益に重大な影響を及ぼす開示個人情報を処理すること。
第十三条 个人信息处理者处理敏感个人信息的，审计时应当重点审查下列事项：	第13条 個人情報処理事業者が機微な個人情報を取り扱う場合、監査は、次に掲げる事項を重点的に審査するものとする：
（一）处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，是否事前取得个人的单独同意；	(1) バイオメトリクス、信教、特定個人情報、医療・保健、金融口座、所在・軌跡等の機微な個人情報の取扱いについて、あらかじめ本人の個別の同意を得ているか；
（二）处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意；	(2) 14歳未満の未成年者の個人情報を取り扱うことについて、あらかじめ、その保護者の同意を得ているか；
（三）处理敏感个人信息的目的、方式是否合法、正当、必要；	(3) 機微な個人情報を取り扱う目的及び方法が適法、適法かつ必要なものであるか；
（四）敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关，是否以非必要不处理为原则；	(4) 機微な個人情報の取扱いが、商品又はサービスの提供、法的義務又は法的義務の履行その他特定の目的に密接に関連し、かつ、必要な場合を除き取り扱わないという原則に基づいているかどうか；
（五）是否在事前进行个人信息保护影响评估，并向个人告知处理敏感个人信息的必要性以及对个人权益的影响；	(5) 事前に個人情報保護に与える影響の評価を行い、機微な個人情報の取扱いの必要性及び本人の権利利益に与える影響を本人に周知しているか；
（六）法律、行政法规规定应当取得书面同意的，是否取得书面同意；	(6) 法令及び行政規則で書面による同意を得ることが定められている場合には、書面による同意を得ているか；
（七）是否对处理敏感个人信息的过程进行了记录，以保障处理敏感个人信息流程合法合规。	(7) 機微な個人情報の取扱いが適法かつ適正なものであることを確保するため、機微な個人情報の取扱いの過程を記録しているか。
第十四条 个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的，审计时应当重点审查下列事项：	第14条 個人情報処理事業者の業務において、14歳未満の未成年者の個人情報を取り扱う場合には、次に掲げる事項を重点的に監査するものとする：
（一）是否制定专门的未成年人个人信息处理规则；	(1) 未成年者の個人情報の取扱いに関する特別の規程が定められているか；
（二）是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等；	(2) 未成年者及びその保護者に対し、未成年者個人情報の取扱いの目的、取扱い方法、取扱いの必要性、取扱う個人情報の種類及び保護措置について周知しているか；
（三）是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。	(3) 未成年者又はその保護者に対し、必要性のない個人情報の取扱いに同意させる行為の有無
第十五条 个人信息处理者存在向境外提供个人信息情形的，应当重点审查下列事项：	第15条 個人情報処理事業者は、個人情報を国外に提供する場合には、次に掲げる事項について重点的に審査しなければならない：
（一）关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；	(1) 国外に個人情報を提供する100万人以上の個人情報を取り扱う重要情報インフラ事業者及び個人情報取扱事業者は、国家ネット情報部門が主催するセキュリティ評価を受けているかどうか；
（二）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；	(2) 前年1月1日以降、累計で10万人分の個人情報または1万人分の機微な個人情報を提供した個人情報処理業者が、外国に個人情報を提供する場合、国家ネット情報部門が組織したセキュリティ評価を受けたかどうか；
（三）是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形，若有，是否经过中华人民共和国主管机关批准；	(3) 中華人民共和国に保存されている個人情報を外国の司法機関または法執行機関に提供する事例があるかどうか、提供する事例がある場合、中華人民共和国の主管機関の許可を得ているかどうか；
（四）中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，是否按照其规定执行；	(4) 中華人民共和国が締結または参加した国際条約および協定に、中華人民共和国の領域外における個人情報の提供条件が規定されている場合、その規定に従って履行されているかどうか；
（五）是否按照国家网信部门的规定，经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同，或者符合法律、行政法规、国家网信部门规定的其他条件；	(5) 国家インターネット情報サービスの規定に基づき、個人情報保護の専門機関の認証を受けたか、または国家インターネット情報サービスが制定した標準契約に基づき、海外の受取人と契約を締結したか、または法律、行政法規または国家インターネット情報サービスが規定したその他の条件を遵守したかどうか；
（六）是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响；	(6) 海外受信者が所在する国または地域の個人情報保護政策およびネットワークセキュリティ環境が送信個人情報に与える影響を理解しているかどうか；
（七）是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。	(7) 個人情報提供制限または禁止リストに含まれる組織および個人に対して、個人情報を提供することに違反がないか。
第十六条 个人信息处理者向境外提供个人信息，应当采取必要措施，保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性，包括但不限于：	第16条 自国の領域外で個人情報を提供する個人情報処理者は、自国の領域外における受領者の個人情報の取扱い活動が、中華人民共和国の「個人情報の保護に関する法律」に規定された個人情報保護基準に合致していることを確認するために、必要な措置を講じなければならない。 監査は、個人情報取扱事業者が国外の受領者に関して講じた監督措置の有効性を審査することに重点を置くものとし、以下を含むがこれに限定されない：
（一）是否了解和掌握境外接收方的情况，特别是接收方是否具备必要的个人信息保护能力；	(1) 当該海外提供先の状況、特に当該海外提供先が必要な個人情報保護能力を有しているか否かを把握・理解しているか；
（二）是否向境外接收方告知我国法律、行政法规对个人信息保护的要求，并要求境外接收方采取相应的保护措施；	(2) 個人情報保護に関する中国の法律および行政法規の要求をオフショア受領者に通知し、オフショア受領者に対応する保護措置を講じるよう要求しているかどうか；
（三）是否采取签订协议、定期核查等方式，督促境外接收方切实履行个人信息保护义务。	(3) 協定を締結し、定期的に確認するなどの方式を採用し、海外の受益者が個人情報保護義務を効果的に履行するよう促しているかどうか。
第十七条 对个人信息删除权保障情况进行审计时，应当重点审查下列情形个人信息删除的情况：	第17条 個人情報の削除権の保護を監査する場合、監査は、次に掲げる場合における個人情報の削除について重点的に検討するものとする：
（一）个人信息处理目的已实现、无法实现或者为实现处理目的不再必要；	(1) 個人情報の処理目的が達成されたこと、達成することができなくなったこと又は処理目的の達成に必要でなくなったこと；
（二）停止提供产品或者服务，或者个人注销账号；	(2) 商品またはサービスの提供の停止、または個人による口座の解約；
（三）达到与个人约定的存储期限；	(3) 個人と合意した保管期間に達した場合；
（四）个人撤回同意；	(4) 本人が同意を撤回する；
（五）因使用自动化采集技术等，无法避免采集到非必要个人信息或者未经同意的个人信息；	(5) 自動収集技術の利用等により、必要性のない個人情報や同意のない個人情報の収集が避けられない場合；
（六）个人信息处理者违反法律、行政法规或者违反约定处理个人信息。	(6) 個人情報取扱事業者が、法令又は行政法規に違反し、又は契約に違反して個人情報を取り扱うとき。
法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。	個人情報の処理者は、法令に定める保存期間を経過していない場合、または個人情報の削除が技術的に困難な場合には、保存および必要な安全措置を講じる以外の処理を中止するものとする。
第十八条 个人信息处理者应当保障个人行使个人信息权益的权利，审计时应当重点审查下列事项：	第18条 個人情報取扱事業者は、個人情報に関する個人の権利利益を保護し、監査の際には、次に掲げる事項について重点的に検討しなければならない：
（一）是否建立个人行使权利的申请受理机制；	(1) 個人の権利行使の申込みを受け付ける仕組みの整備の有無
（二）是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法；	(2) 個人情報の照会、複写、移転、訂正、追加又は削除について、個人の便宜を図っているか；
（三）是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果。	(3) 個人の権利行使の申請に対して適時に対応し、処理意見又は実施結果を適時、完全かつ正確に通知しているかどうか。
第十九条 个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，审计时应当重点对下列内容进行评价：	第19条 個人情報処理事業者は、本人からの申請に応じ、個人情報処理規程を説明するものとし、監査は、次に掲げる事項を重点的に評価するものとする：
（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；	(1) 個人情報処理事業者が、本人からの個人情報処理規程の説明及び明示の求めに応じ、これを処理するための便宜を図る方法及び手段を提供しているか；
（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。	(2) 個人情報処理事業者は、本人からの求めに応じ、個人情報処理規程について、合理的な期間内に、分かりやすい言葉で説明しているか。
第二十条 个人信息处理者对个人信息保护承担主体责任，审计时应当重点对个人信息处理者履行主体责任情况进行评价，包括但不限于下列事项：	第20条 個人情報処理事業者は、個人情報の保護について主たる責任を負うものであり、監査は、個人情報処理事業者がその主たる責任を果たしているかどうかについて、次に掲げる事項を中心に行うものとする：
（一）个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性；	(1) 個人情報保護体制の策定、組織体制、管理手順及び個人情報の取扱いの性質、規模、複雑性及びリスクの程度への適合性；
（二）个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰；	(2) 個人情報保護に関する責任分担が合理的であるか、職務分掌が明確であるか、報告関係が明確であるか；
（三）个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。	(3) 個人情報処理者が個人情報保護のために提供する個人的、財政的、物質的保護措置が、企業の事業規模、運営計画、個人情報遵守に関するリスク管理に適合しているかどうか。
第二十一条 个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于：	第21条 個人情報処理者は、法令及び行政法規に基づき、内部管理体制及び業務手順を策定し、組織体制及び職責を明確にし、業務フローを確立し、内部管理体制を整備し、個人情報処理の遵守及び安全性を保護しなければならない。 監査に際しては、個人情報処理事業者の個人情報保護に関する内部管理体制及び業務手順について、次の事項を含むがこれに限定されない：
（一）个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定；	(1) 個人情報保護に関する指針、目的及び原則が法令及び行政法規に適合しているか；
（二）个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应；	(2) 個人情報保護に関する組織体制、人員、行動規範及び管理責任が、果たすべき個人情報保護の責務に適合しているか；
（三）是否根据个人信息的种类、来源、敏感程度、用途等，对个人信息进行分类，并采取有针对性的管理或者安全技术措施；	(3) 個人情報の種類、出所、機微性及び利用目的に応じて個人情報が分類され、重点的な管理又は安全技術措置が講じられているか；
（四）是否建立个人信息安全事件应急响应机制；	(4) 個人情報セキュリティインシデント発生時の緊急対応体制の整備の有無
（五）是否建立个人信息保护影响评估、合规审计制度；	(5) 個人情報保護影響評価及び適合性監査体制の整備の有無
（六）是否建立畅通的个人信息保护投诉举报受理流程；	(6) 個人情報保護に関する苦情及び相談を円滑に受け付ける体制を整備するかどうか；
（七）是否制定实施个人信息保护安全教育和培训计划；	(7) 個人情報保護安全教育訓練プログラムを策定し、実施するかどうか；
（八）是否建立个人信息保护负责人及相关人员履职评价制度；	(8) 個人情報保護管理者及び関係者の業績を評価する制度を設けるかどうか；
（九）是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度，并有效实施；	(9) 個人情報取扱関係者の個人情報違反及び責任体制違反に対する措置を策定し、これを実効あるものとするか；
（十）法律、行政法规规定的其他内容。	(10) その他法令及び行政規則で定める内容
第二十二条 个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施，并对个人信息处理者采取的技术措施的有效性进行评价，评价内容包括但不限于：	第22条 個人情報取扱事業者は、取り扱う個人情報の規模及び種類に応じ、適切な安全技術措置を講じるとともに、個人情報取扱事業者が講じた技術的措置の有効性を評価しなければならない：
（一）是否参照有关国家标准或者技术要求，采取相应安全技术措施实现个人信息的保密性、完整性、可用性；	(1) 個人情報の機密性、完全性及び可用性を実現するために、関連する国の基準又は技術的要求事項を参照して、対応する安全技術措置を講じているかどうか；
（二）是否采取加密、去标识化等安全技术措施，确保在不借助额外信息的情况下，消除或者降低个人信息的可识别性；	(2) 暗号化や非識別化のようなセキュリティ技術的措置が、個人情報の識別可能性を排除し、又は追加情報の助けなしに低減することを保証するために講じられているかどうか；
（三）采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限，减少个人信息在处理过程中未经授权的访问和滥用风险。	(3) 講じられた安全技術措置が、個人情報へのアクセス、複写、送信その他の個人情報に関する関係者の操作権限を合理的に決定し、処理過程における個人情報への無権限アクセス及び個人情報の誤用のリスクを低減できるかどうか。
第二十三条 对个人信息处理者教育培训计划的制定和实施情况进行审计时，应当重点对下列事项进行评价：	第23条 個人情報取扱者の教育訓練計画の策定及び実施状況の監査に当たっては、次に掲げる事項を重点的に評価するものとする：
（一）是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，是否对相应人员的个人信息保护意识和技能进行考核；	(1) 管理者、技術者、作業者及び職員全体に対する対応する安全教育訓練が計画に沿って実施され、対応する職員の個人情報保護に関する意識及び技能が評価されているか；
（二）培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。	(2) 教育内容、教育方法、教育目標、教育頻度等が個人情報保護の必要性に適合しているか。
第二十四条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，对个人信息处理活动的合规性负责。审计时，应当重点审查下列事项：	第24条 個人情報の取扱いが国家ネット情報部門の規定数量に達した個人情報取扱者は、個人情報保護責任者を定め、個人情報取扱活動の遵守に責任を持たなければならない。 監査の際、次の事項を重点的に審査する：
（一）个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关法律、行政法规；	(1) 個人情報保護責任者が関連実務経験と専門知識を有し、個人情報保護に関する法律と行政法規を熟知しているかどうか；
（二）个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调组织内个人信息处理相关部门与人员；	(2) 個人情報保護管理者が明確な責任を有し、組織内の個人情報の取扱いに関する部門及び人員を調整するために十分な権限を与えられているか；
（三）个人信息保护负责人是否有权提名个人信息保护团队负责人，并与其保持顺畅的沟通和联系；	(3) 個人情報保護責任者は、個人情報保護チームの責任者を指名する権限を有し、その責任者と円滑な連絡・調整を図っているか；
（四）个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议；	(4) 個人情報保護責任者は、個人情報の取扱いに関する重要事項を決定する前に、適切な意見及び提案を行う権利を有しているか；
（五）个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施；	(5) 個人情報保護管理者は、組織内の個人情報の取扱いに関する違反行為を停止し、必要な是正措置を講ずる権利を有しているか；
（六）个人信息处理者是否公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。	(6) 個人情報取扱事業者が、個人情報保護管理者の連絡先を開示し、個人情報保護管理者の氏名又は名称及び連絡先を個人情報保護の業務を行う部門に報告しているか。
第二十五条 对个人信息处理者开展个人信息保护影响评估情况进行审计时，应当重点对影响评估开展情况和评估内容进行审查：	第25条 個人情報取扱事業者が実施する個人情報保護の影響評価について監査を行う場合は、影響評価の実施状況及び評価内容の確認を中心に行うものとする：
（一）是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估；	(1) 個人の権利利益に重大な影響を及ぼす個人情報処理行為を行う前に、法令及び行政法規の規定に従い、個人情報保護の影響評価を実施しているか；
（二）是否对个人处理活动的合法性、正当性和必要性进行了分析评估，是否存在过度收集个人信息的情况；	(2) 個人情報処理活動の合法性、正当性、必要性が分析、評価され、個人情報の過剰収集がないかどうか；
（三）是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估；	(3) 個人の自律的決定権の制限、差別待遇の誘発、個人の名誉や精神的ストレスの損害、個人の財産の損害などの安全上のリスクを評価するための分析が行われているかどうか；
（四）是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估；	(4) 採られた保護措置の合法性、有効性、適応性が分析・評価されているか；
（五）个人信息保护影响评估报告和处理记录是否至少保存三年。	(5) 個人情報保護に関する影響評価報告書および処理記録が少なくとも3年間保存されているかどうか。
第二十六条 个人信息处理者应当制定个人信息安全事件应急预案。审计时，应当对应急预案的全面性、有效性、可执行性作出评价，包括但不限于下列内容：	第26条 個人情報の処理者は、個人情報のセキュリティ事故に対する緊急対応計画を策定しなければならない。 監査時には、緊急時対応計画の包括性、有効性、実施可能性を評価しなければならない：
（一）是否结合业务实际，对面临的个人信息安全风险作出了系统评估和预测；	(1) 直面する個人情報セキュリティリスクについて、事業の実態に即した体系的な評価・予測が行われているか；
（二）指导思想、基本策略，组织机构、人员，技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险；	(2) 指導理念、基本戦略、組織構造、要員、技術、物質セキュリティ、指揮命令及び廃棄手順、緊急時対応及び支援措置が、予測されるリスクに対処するのに十分であるかどうか；
（三）是否对相关人员进行应急预案培训，定期对应急预案进行演练。	(3) 関係者が緊急事態対応計画の訓練を受け、緊急事態対応計画が定期的にリハーサルされているかどうか。
第二十七条 对个人信息处理者个人信息安全事件应急响应处置情况进行评价时，应当重点考虑下列因素：	第27条 個人情報取扱事業者の個人情報セキュリティ事故に対する緊急対応及び廃棄を評価する場合、次の要素を重視しなければならない：
（一）是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案；	(1) 緊急事態応急対策計画に基づき、個人情報セキュリティインシデントの影響、インシデントが発生した原因の分析及び特定により生じ得る被害の範囲及び被害を適時に把握し、被害の拡大を防止するための措置を講じるための業務手順が整備されているかどうか；
（二）是否建立通报渠道，能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人；	(2) 通知ルートを確立し、インシデント発生後72時間以内に個人情報保護の責任を果たす部門及び個人に通知できるかどうか；
（三）是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。	(3) 個人情報セキュリティインシデントから発生する可能性のある損失や被害のリスクを最小化するための適切な措置を講じるかどうか。
第二十八条 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时，应当对独立机构的独立性、履职能力、监督作用等进行评价。	第28条 大規模インターネットプラットフォームの運営者は、個人情報保護を監督するため、外部委員を中心に構成された独立機関を設置しなければならない。 監査に際しては、当該独立機関の独立性、職務遂行能力及び監督的役割を評価しなければならない。
（一）评价独立机构对个人信息保护情况进行监督的独立性，重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系；	(1) 個人情報保護監督独立機関の独立性の評価 外部委員が、個人情報取扱事業者及びその主要株主と独立した客観的な判断を妨げ るような関係にないかどうかを中心に評価する；
（二）评价外部成员的履职能力，重点审查外部成员是否具备相应的专业知识、能力和经验，能否对个人信息处理者的个人信息保护情况进行监督、指导，发表客观公正的意见建议；	(2) 社外委員が、個人情報保護に関して個人情報処理事業者を監督指導し、客観的かつ公平な意見及び勧告を行うに足りる適切な専門的知識、能力及び経験を有するかどうかを中心に、社外委員の職務遂行能力の評価を行うこと；
（三）评价独立机构的监督作用，重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。	(3) 個人情報取扱事業者の遵守体制システムの構築、プラットフォームルールの制定、重大な個人情報セキュリティインシデントの処理、企業の社会的責任履行の監督において、独立組織が果たす役割を重点的に審査し、独立組織の監督的役割を評価する。
第二十九条 针对大型互联网平台规则，应当重点审计下列事项：	第29条 監査は、大規模インターネットプラットフォーム規程について、次の事項を中心に行う：
（一）评价平台规则的合法合规性，是否存在与法律、行政法规相抵触的情况；	(1) プラットフォーム規約の合法性を評価し、法律および行政法規との抵触の有無を評価する；
（二）评价平台规则的公平公正性，是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容；	(2) プラットフォームルールの公正・公平性を評価し、悪質な競争、消費者の権利・利益に影響を与える行為、その他公正競争原則、誠実・信用原則、公序良俗に違反する行為がないかどうかを評価する；
（三）评价平台规则个人信息保护条款的有效性，是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务，是否对平台内经营者处理个人信息行为进行规范，平台内经营者的个人信息保护义务是否明确；	(3) プラットフォーム及びプラットフォーム内の製品・サービス提供者の個人情報保護の権利及び義務が合理的に定義されているか、プラットフォーム運営者の個人情報の取り扱いに関する行動が規制されているか、プラットフォーム運営者の個人情報保護義務が明確であるかなど、プラットフォーム規則の個人情報保護規定の有効性を評価すること；
（四）检查平台规则的执行情况，通过抽样等方式验证平台规则是否被有效执行。	(4) プラットフォームルールの実施状況を確認し、サンプリング等を通じてプラットフォームルールが効果的に実施されているかどうかを検証すること。
第三十条 大型互联网平台运营者应当对其平台内产品或者服务提供者的个人信息处理活动进行监督。审计时，应当重点审查下列事项：	第30条 大規模インターネットプラットフォームの運営者は、プラットフォーム内の製品またはサービス提供者の個人情報取扱行為を監督しなければならない。 監査にあたっては、以下の事項を重点的に検討するものとする：
（一）是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性；	(1) 当該プラットフォームにおける商品・サービス提供者の個人情報取扱規程の適法性・合理性について、定期的に監査を行うかどうか；
（二）是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核；	(2) プラットフォーム内の商品・サービス提供者の個人情報の取扱いに関する法令及び行政法規の遵守状況を定期的に監査するかどうか；
（三）对于严重违反法律、行政法规处理个人信息的产品或者服务提供者，平台是否及时停止向其提供服务。	(3) 個人情報の取扱いに関する法令及び行政規則に著しく違反する商品及びサービス提供者に対して、サービスの提供を停止するかどうか。
第三十一条 大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时，应当重点审查社会责任报告下列内容的披露情况：	第31条 大規模インターネットプラットフォームの運営者は、個人情報保護に関する社会的責任報告書を毎年発行しなければならない。 監査にあたっては、社会的責任報告書の以下の内容の開示を重点的に審査する：
（一）个人信息保护组织架构和内部管理情况；	(1) 個人情報保護の組織構造と内部管理；
（二）个人信息保护能力建设情况；	(2) 個人情報保護の能力開発
（三）个人信息保护措施和成效；	(3) 個人情報保護施策とその効果
（四）个人行使权利的申请受理情况；	(4) 本人による権利行使の申込みの受付
（五）独立监督机构履职情况；	(5) 独立した監督機関による職務の遂行
（六）重大个人信息安全事件处理情况；	(6) 重大な個人情報セキュリティインシデントへの対応
（七）法律、行政法规规定的其他情况。	(7) その他法令及び行政規則に定める場合