| 个人信息保护合规审计管理办法 |
個人情報保護コンプライアンス監査に関する管理措置 |
| 国家互联网信息办公室令 |
国家サイバースペース管理局令 |
| 第18号 |
第18号 |
| 《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过,现予公布,自2025年5月1日起施行。 |
個人情報保護コンプライアンス監査に関する管理措置は、2024年5月20日に開催された国家サイバースペース管理局第15回室務会議で審議・可決され、ここに公布し、2025年5月1日より施行する。 |
| 国家互联网信息办公室主任 庄荣文 |
国家サイバースペース管理局局長 荘栄文 |
| 2025年2月12日 |
2025年2月12日 |
| 个人信息保护合规审计管理办法 |
個人情報保護コンプライアンス監査に関する管理措置 |
| 第一条 为了规范个人信息保护合规审计活动,保护个人信息权益,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。 |
第1条 本規定は、中華人民共和国個人情報保護法、ネットワークデータセキュリティ管理弁法、その他の法律および行政法規に基づき、個人情報保護コンプライアンス監査を規範化し、個人情報の権利と利益を保護するために策定される。 |
| 第二条 在中华人民共和国境内开展个人信息保护合规审计,适用本办法。 |
第2条 本規定は、中華人民共和国の領土内で実施される個人情報保護コンプライアンス監査に適用される。 |
| 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。 |
本規定でいう個人情報保護コンプライアンス監査とは、個人情報取扱事業者の個人情報の処理活動が法律および行政法規に準拠しているかどうかを審査・評価する監督活動を指す。 |
| 第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 |
第3条 個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を行う場合、個人情報取扱事業者の内部機関または個人情報取扱事業者が委託した専門機関が、個人情報取扱事業者の個人情報の取り扱いにおける法律および行政法規の遵守状況について定期的にコンプライアンス監査を行う。 |
| 第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 |
第4条 1,000万人以上の個人情報を取り扱う個人情報取扱事業者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を行う。 |
| 第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: |
第5条 個人情報取扱事業者が以下の状況に該当する場合、国家インターネット情報弁公室およびその他の個人情報保護担当部門(以下、総称して「保護部門」という)は、当該事業者に対し、専門機関に委託して個人情報処理活動のコンプライアンス監査を実施するよう要求することができる。 |
| (一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的; |
(1) 個人情報処理活動が個人の権利および利益に深刻な影響を及ぼすリスク、またはセキュリティ対策が著しく不十分であるリスクが大きいことが判明した場合 |
| (二)个人信息处理活动可能侵害众多个人的权益的; |
(2) 個人情報処理活動が多数の個人の権利および利益を侵害する可能性がある場合 |
| (三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。 |
(3) 100万人以上の個人情報の漏洩、改ざん、紛失、または10万人以上のセンシティブな個人情報の漏洩、改ざん、紛失、または破壊につながる個人情報セキュリティインシデントの発生。 |
| 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 |
個人情報処理者は、同一の個人情報セキュリティインシデントまたはリスクについて、専門機関に繰り返し個人情報保護コンプライアンス監査を委託することを求められない。 |
| 第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。 |
第6条 個人情報処理者が自ら個人情報保護コンプライアンス監査を実施する場合、または保護部門の要求に応じて専門機関に委託して実施する場合、本措置に添付されている「個人情報保護コンプライアンス監査ガイドライン」を参照しなければならない。 |
| 第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。 |
第7条 専門機関は、個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を備えていなければならない。 |
| 鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。 |
専門機関は、認証を取得することが推奨される。専門機関の認証は、中華人民共和国認証および認定に関する規則の関連規定に従って実施されるものとする。 |
| 第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。 |
第8条 個人情報処理者が保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、専門機関が通常通り個人情報保護コンプライアンス監査業務を実施できるよう必要な支援を提供し、監査費用を負担しなければならない。 |
| 第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。 |
第9条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、保護部門の要求に基づき専門機関を選定し、期限内に個人情報保護コンプライアンス監査を完了しなければならない。 複雑な場合、保護部門の承認を経て期限を適宜延長することができる。 |
| 第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。 |
第10条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、コンプライアンス監査完了後、専門機関が発行した個人情報保護コンプライアンス監査報告書を保護部門に提出しなければならない。 |
| 个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。 |
個人情報保護コンプライアンス監査報告書には、専門機関の責任者およびコンプライアンス監査責任者が署名し、専門機関の公印を押さなければならない。 |
| 第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。 |
第11条 個人情報取扱事業者は、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、保護部門の要求に従ってコンプライアンス監査で指摘された問題を是正しなければならない。是正完了後15営業日以内に、是正報告書を保護部門に提出しなければならない。 |
| 第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 |
第12条 100万人を超える個人情報を処理する個人情報取扱事業者は、個人情報保護責任者を指定しなければならず、個人情報取扱事業者の個人情報保護コンプライアンス監査の責任者となる。 |
| 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 |
重要なインターネットプラットフォームサービスを提供し、利用者数が多く、かつ、取り扱う業務の類型が複雑である個人情報処理者は、個人情報保護遵守監査を監督する外部委員を主とする独立した機関を設置しなければならない。 |
| 第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。 |
第13条 専門機関は、個人情報保護コンプライアンス監査を実施する際には、法令を遵守し、誠実に行動し、専門的見地から公正かつ客観的にコンプライアンス監査の判断を行い、個人情報保護コンプライアンス監査の職務を遂行する過程で取得した個人情報、営業秘密、企業秘密を秘密として保持し、他人に漏洩したり、不正に提供したりしてはならない。 |
| 第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。 |
第14条 専門機関は、他の機関に委託して個人情報保護コンプライアンス監査を実施してはならない。 |
| 第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 |
第15条 同一の専門機関およびその関連機関、同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。 |
| 第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。 |
第16条 保護部門は、個人情報処理者が実施する個人情報保護コンプライアンス監査を監督および検査する。 |
| 第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 |
第17条 組織または個人は、個人情報保護コンプライアンス監査における違法行為について、保護部門に苦情を申し立て、または報告する権利を有する。苦情または報告を受けた部門は、法律に基づき適時に処理し、処理結果を申立人に通知しなければならない。 |
| 第十八条 个人信息处理者、专业机构违反本办法规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 |
第18条:個人情報処理者または専門機関が本措置の規定に違反した場合、中華人民共和国個人情報保護法およびオンラインデータセキュリティ管理弁法などの法律法規の規定に従って処理する。犯罪が成立する場合は、法に基づき刑事責任を追及する。 |
| 第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。 |
第19条:本措置は、法律法規により公務を管理する権限を授権された国家機関および組織の個人情報保護コンプライアンス監査には適用されない。 |
| 第二十条 本办法自2025年5月1日起施行。 |
第20条:本措置は2025年5月1日に施行する。 |
| |
|
| 附件 |
附属書 |
| 个人信息保护合规审计指引 |
個人情報保護コンプライアンス監査ガイドライン |
| 一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。 |
1. 本ガイドラインは、中華人民共和国の個人情報保護法、オンラインデータセキュリティ管理弁法、その他の法律および行政法規に準拠して策定される。 |
| 二、对个人信息处理活动的合法性基础进行合规审计的,应当重点审查下列事项: |
2. 個人情報の処理活動の法的根拠に関するコンプライアンス監査を実施する際には、特に以下の事項を調査するものとする。 |
| (一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出; |
(1) 個人情報の処理について、個人からの同意を得ているか、また、十分な情報を基に、個人が自発的かつ明確に同意しているか。 |
| (二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意; |
(2) 本人の同意に基づき個人情報を取り扱う場合において、利用目的、方法若しくは取り扱う個人情報の種類を変更する場合には本人の同意を得ているか |
| (三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意; |
(3) 本人の同意に基づき個人情報を取り扱う場合において、法令又は行政規則に従い、本人の別段の同意又は書面による同意を得ているか |
| (四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。 |
(4) 本人の同意を得ないで個人情報を取り扱う場合において、法令又は行政規則で定める、本人の同意を得る必要がない場合にあたるか |
| 三、对个人信息处理规则进行合规审计的,应当重点审查下列事项: |
3. 個人情報の取り扱いに関する規定の遵守状況を監査する場合は、次の事項を重点的に監査することとする。 |
| (一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; |
(1) 個人情報取扱者の氏名又は名称及び連絡先が、真実、正確かつ完全であるか否か |
| (二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类; |
(2) 収集する個人情報の種類、その処理方法及び処理形態が一覧表など見やすい形で示されているか否か |
| (三)是否与处理目的直接相关,采取对个人权益影响最小的方式; |
(3) 処理目的に直接関連し、かつ個人の権利利益に与える影響が最も少ない形態となっているか否か |
| (四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间; |
(4) 個人情報の保存期間が明示されているか、又は保存期間を決定する方法、保存期間経過後の処理方法が明示され、かつ保存期間が処理目的の達成に必要な最短の期間に設定されているか否か |
| (五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。 |
(5) 本人が自己の個人情報について、アクセス、コピー、譲渡、訂正、補充、削除、処理の制限、およびアカウントのキャンセルや同意の撤回を行うための手段や方法が明確に規定されているかどうか。 |
| 四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的,应当重点审查下列事项: |
4. 個人情報処理者が個人情報処理規則の通知義務を履行しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。 |
| (一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; |
(1) 個人情報処理者が、個人情報を処理する前に、個人に対して、個人情報処理規則を、真正、正確かつ完全な方法で、目立つように、理解しやすい言葉で通知しているかどうか。 |
| (二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; |
(2) 通知の文字の大きさ、フォント、色は、本人が通知のすべてを読めるようになっているか |
| (三)线下告知是否通过标注、说明等多种方式向个人履行告知义务; |
(3) オフラインでの通知の場合、ラベル表示や説明など、通知義務はさまざまな手段によって果たされているか |
| (四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务; |
(4) オンラインでの通知の場合、テキスト情報または適切な手段によって通知義務は果たされているか |
| (五)个人信息处理规则发生变更的,是否将变更内容及时告知个人; |
(5) 個人情報の処理規則の変更は、速やかに本人に通知されているか |
| (六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。 |
(6) 通知を必要としない個人情報は、秘密保持が求められる状況にあるか、または法律や行政規則によって通知が求められていない状況にあるか |
| 五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的,应当重点审查下列事项: |
5. 個人情報取扱事業者と他の個人情報取扱事業者との間の個人情報の共同処理についてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。 |
| (一)是否约定各自的权利义务; |
(1) それぞれの権利と義務が合意されていること |
| (二)个人信息权益保护机制; |
(2) 個人情報の権利利益を保護する仕組み |
| (三)个人信息安全事件报告机制; |
(3) 個人情報に関するセキュリティ事件の報告の仕組み |
| (四)其他法律、行政法规规定需要约定的权利和义务。 |
(4) その他法令及び行政規則が定める合意すべき権利と義務 |
| 六、对个人信息处理者委托处理个人信息进行合规审计的,应当重点审查下列事项: |
6. 個人情報取扱事業者が個人情報の処理を委託することについてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。 |
| (一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估; |
(1) 個人情報処理者が個人情報の処理を委託する前に、個人情報保護アセスメントを行ったかどうか |
| (二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等; |
(2) 個人情報処理者と受託者との間で締結した契約に、目的、期間、方法、個人情報の種類、保護措置、および両当事者の権利と義務が規定されているかどうか |
| (三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。 |
(3) 個人情報処理者が定期的に検査を行うなどして、受託者の個人情報の処理活動を監督しているかどうか |
| 七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。 |
7. 個人情報取扱事業者が合併、組織再編、分割、解散または破産宣告等により個人情報を移転する必要がある場合、移転先となる個人情報の提供先名または名称および連絡先を本人に通知しているか否かを重点的に確認する。 |
| 八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的,应当重点审查下列事项: |
8. 個人情報取扱事業者が自ら取り扱う個人情報について、他の個人情報取扱事業者に提供する場合の適法性監査を行う場合、次の事項を重点的に確認する。 |
| (一)基于个人同意处理个人信息的,是否取得个人的单独同意; |
(1) 本人の同意に基づき個人情報を取り扱う場合、本人の別途の同意を取得しているか |
| (二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外; |
(2) 法令又は行政規則により秘密保持が義務づけられている場合や通知が不要とされている場合を除き、本人に対し、提供先名又は名称、連絡先、利用目的、利用方法、個人情報の種類について通知しているか |
| (三)是否事前进行个人信息保护影响评估。 |
(3) あらかじめ個人情報保護アセスメントを行っているか |
| 九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的,应当重点审查下列事项: |
9. 個人情報取扱事業者が自動化された意思決定を利用・運用している場合の個人情報取扱事業者の個人情報の取扱いの遵守状況の監査においては、次の事項を重点的に監査することとする。 |
| (一)自动化决策的透明度,以及自动化决策的结果是否公平、公正; |
(1) 自動化された意思決定の透明性及び自動化された意思決定の結果が公正かつ適正であるか |
| (二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响; |
(2) 自動化された意思決定により処理される個人情報の種類およびその影響について、あらかじめ本人に通知されているか |
| (三)是否事前进行个人信息保护影响评估; |
(3) あらかじめ個人情報保護影響評価が行われているか |
| (四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明; |
(4) 自動化された意思決定により本人の権利利益に重大な影響を与える決定がなされた場合に、本人が容易に拒否できる仕組みが利用者に対して用意されているか、自動化された意思決定により利用者の権利利益に重大な影響を与える決定がなされた場合に、個人情報取扱事業者に対して説明を求めることができる仕組みが利用者に対して用意されているか |
| (五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; |
(5) 個人に対して情報のプッシュや商業的なマーケティングを行う場合、個人の特性を対象としないオプションも提供されているか、自動化された意思決定サービスを拒否する便利な方法が提供されているか |
| (六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; |
(6) 自動化された意思決定が、消費者の好み、取引習慣などに基づく取引条件において、個人に対して不当な差別的取扱いを実施しないよう、実効性のある措置が講じられているか |
| (七)其他可能影响自动化决策的透明度和结果公平、公正的事项。 |
(7) その他、自動化された意思決定の透明性、結果の公正性・公平性に影響を及ぼす事項 |
| 十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项: |
10. 個人情報取扱者が個人情報の開示について本人の同意を得てコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。 |
| (一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; |
(1) 個人情報取扱者が処理する個人情報を開示する前に本人の個別同意を得たか、その同意が真正かつ有効であるか、本人の意に反して個人情報が開示される状況がないか |
| (二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。 |
(2) 個人情報取扱者が個人情報を開示する前に個人情報保護影響評価を行ったか |
| 十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于: |
11. 個人情報処理者が公共の場所に画像収集または個人識別設備を設置する場合、画像収集または個人識別設備の設置の合法性および収集した個人情報の利用目的の審査に重点を置くものとする。審査には、以下を含むが、これらに限定されない。 |
| (一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息; |
(1) 公共の安全の維持に必要であるか、収集した個人情報が商業目的で処理されるか |
| (二)是否设置了显著的提示标识; |
(2) 目立つ警告表示が設置されているか |
| (三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 |
(3) 個人情報処理者が収集した個人画像および識別情報が、公共の安全の維持以外の目的で使用されていないか、また、個別の同意を得ているか。 |
| 十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为: |
12. 個人情報処理者が開示された個人情報の処理についてコンプライアンス監査を行う場合、監査は、個人情報処理者が以下の違反行為を行ったかどうかを中心に実施する。 |
| (一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息; |
(1) 開示された個人情報のメールアドレスおよび携帯電話番号に、開示の目的と関係のない商業用情報を送信すること |
| (二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动; |
(2) 開示された個人情報を利用して、オンライン暴力、オンライン風説の流布、虚偽情報の流布などの行為を行うこと |
| (三)处理个人明确拒绝处理的已公开个人信息; |
(3) 本人が明確に処理を拒否した個人情報の処理 |
| (四)对个人权益有重大影响,未取得个人同意; |
(4) 本人の同意なく本人の権利利益に重大な影響を及ぼすこと |
| (五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。 |
(5) 収集、保有又は処理された個人情報の規模、期間又は利用目的が公開された場合、それが合理的な範囲を超えること |
| 十三、对个人信息处理者处理敏感个人信息进行合规审计的,应当重点审查下列事项: |
13. 個人情報処理者が機微個人情報の処理についてコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。 |
| (一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意; |
(1) 本人の同意に基づき個人情報を取り扱う場合において、あらかじめ、本人から、識別、宗教、特定の身元、健康及び医療、金融口座及び所在等の機微な個人情報について、同意を得ているかどうか |
| (二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; |
(2) 本人の同意に基づき個人情報を取り扱う場合において、14歳未満の未成年者の個人情報については、あらかじめ、その保護者から同意を得ているかどうか |
| (三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要; |
(3) 機微な個人情報の利用目的、方法及び範囲が適法、妥当かつ必要であるかどうか |
| (四)是否在事前进行个人信息保护影响评估; |
(4) 事前に個人情報保護影響アセスメントが実施されたかどうか |
| (五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外; |
(5) 機密保持が求められる法律および行政法規に別段の定めがある場合、または通知が不要である場合を除き、本人に機微な個人情報の処理の必要性および本人の権利利益への影響が通知されているかどうか |
| (六)法律、行政法规规定应当取得书面同意的,是否取得书面同意; |
(6) 法律および行政法規に別段の定めがある場合、書面による同意が取得されているかどうか |
| (七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。 |
(7) 機微な個人情報の処理に関する法律および行政法規の制限規定が遵守されているかどうか |
| 十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的,应当重点审查下列事项: |
14. 14歳未満の未成年者の個人情報の取扱いに係る個人情報取扱事業者の遵守状況を監査する場合には、特に次の事項を監査すること。 |
| (一)是否制定专门的个人信息处理规则; |
(1) 個人情報の取扱いに特段の規定を設けているか |
| (二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外; |
(2) 未成年者の個人情報の利用目的、方法及び必要性を本人及びその保護者に通知し、又は法令及び行政法規が通知することを要しないと規定する場合を除き、その個人情報の種類、保護措置について通知しているか |
| (三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。 |
(3) 本人の同意に基づき個人情報を取り扱う場合において、要配慮個人情報の取り扱いについて、未成年者又はその保護者を強制的に同意させている行為がないか。 |
| 十五、对个人信息处理者向境外提供个人信息进行合规审计的,应当重点审查下列事项: |
15. 個人データの提供者が個人データの国外提供についてコンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。 |
| (一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; |
(1) 重要情報インフラ事業者が個人データの国外提供について国家サイバー空間管理部門が主催するセキュリティ評価を受けたか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。 |
| (二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; |
(2) 重要情報インフラ運営者以外のデータ処理者が、今年1月1日以降、累計100万以上の個人情報(センシティブ個人情報を除く)または1万以上のセンシティブ個人情報を外国に提供している場合、国家サイバー空間管理部門が主催するセキュリティ評価を受けているかどうか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。 |
| (三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件; |
(3) その年の1月1日以降、10万以上100万未満の個人データ(センシティブ個人情報を除く)または1万未満のセンシティブ個人情報を外国に提供した、重要情報インフラ運営事業者以外のデータ処理事業者が、国家サイバー空間管理部門の規定に従って個人情報保護認証を取得しているか、または国家サイバー空間管理部門が策定した標準契約に従って外国の受領者と契約を締結し、所在地の省レベルのサイバー空間管理部門に提出しているか、または法律、行政法規、国家サイバー空間管理部門が定めるその他の条件を満たしているか。 |
| (四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准; |
(4) 中華人民共和国の領域内に保存されている個人情報が外国の司法機関または法執行機関に提供される状況がある場合、中華人民共和国の主管機関の承認を得ているかどうか。 |
| (五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。 |
(5) 個人情報の提供が制限または禁止されている組織および個人に個人情報が提供されているかどうか。 |
| 十六、对个人信息删除权保障情况进行合规审计的,应当重点审查下列事项: |
16. 個人情報の削除権の保護に関するコンプライアンス監査が実施される場合、特に以下の事項が審査される。 |
| (一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要; |
(1) 個人情報の処理目的が達成されたか、達成できないか、または処理目的を達成するために必要でなくなったかどうか。 |
| (二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号; |
(2) 個人情報の処理者が製品またはサービスの提供を停止したか、または個人がアカウントをキャンセルしたか |
| (三)保存期限是否已届满; |
(3) 保存期間が満了したか |
| (四)个人是否撤回同意; |
(4) 個人が同意を撤回したか |
| (五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息; |
(5) 個人情報の処理者が法律、行政法規、または契約に違反して個人情報を処理したか |
| (六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。 |
(6) 個人情報を削除すべき場合であっても、法令または行政法規に定める保存期間が経過していない場合や技術的に削除が困難な場合、個人情報の処理者が保存以外の処理を停止し、必要な安全対策を講じているかどうか。 |
| 十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的,应当重点审查下列事项: |
17. 個人情報の処理者が個人情報の処理において個人の権利を保護しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。 |
| (一)是否建立便捷的个人行使权利的申请受理机制和处理机制; |
(1) 個人が権利を行使するために、簡便な申請受付・処理の仕組みを構築しているかどうか。 |
| (二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果; |
(2) 本人からの権利行使の求めに対して適時に対応し、かつ、本人に対してその取扱意見や実施結果を迅速かつ的確に伝えるか |
| (三)拒绝个人行使权利请求的,是否向个人说明理由。 |
(3) 本人からの権利行使の求めを拒否する場合には、本人に拒否の理由を伝えるか |
| 十八、个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,合规审计时应当重点对下列内容进行评价: |
18. 個人情報取扱事業者は、本人からの申請や個人情報取扱規程の説明に応じなければならない。 準拠性監査では、以下の内容の評価に重点を置く。 |
| (一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; |
(1) 個人情報取扱事業者が、本人からの個人情報取扱規程の説明の求めを受け付けるための便利な方法や手段を提供しているか |
| (二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 |
(2) 個人からの要求を受け取った後、個人情報取扱事業者が、分かりやすい言葉で、合理的な期間内に、個人情報処理規則を説明しているかどうか。 |
| 十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于: |
19. 個人情報取扱事業者は、法律および行政法規の規定に従い、内部管理体制および業務手順を策定し、組織構造および職責を明確にし、業務フローを確立し、内部統制システムを改善し、個人情報の処理におけるコンプライアンスおよびセキュリティを確保しなければならない。 コンプライアンス監査では、個人情報取扱事業者の個人情報保護に関する内部管理体制および業務手順の審査に重点が置かれる。審査対象には、以下が含まれるが、これらに限定されない。 |
| (一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; |
(1) 個人情報保護の方針、目的および原則が法律および行政法規の規定に準拠しているか |
| (二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; |
(2) 個人情報保護のための組織構造、人員、行動規範および管理責任が、個人情報保護に関して果たすべき責任に見合ったものとなっているか |
| (三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类; |
(3) 個人情報が、その種類、情報源、機密性および利用方法に従って分類されているか |
| (四)是否建立个人信息安全事件应急响应机制; |
(4) 個人情報セキュリティ事故に対する緊急対応メカニズムが確立されているか |
| (五)是否建立个人信息保护影响评估制度、合规审计制度; |
(5) 個人情報保護影響アセスメントシステムおよびコンプライアンス監査システムが確立されているか |
| (六)是否建立畅通的个人信息保护投诉举报受理流程; |
(6) 個人情報保護に関する苦情や報告を円滑に受け付けるためのプロセスが確立されているか |
| (七)是否合理制定个人信息处理操作权限; |
(7) 個人情報の取り扱いに関する業務権限が合理的に策定されているか |
| (八)是否制定实施个人信息保护安全教育和培训计划; |
(8) 個人情報保護に関する安全教育や研修計画が策定され実施されているか |
| (九)是否建立个人信息保护负责人及相关人员履职评价制度; |
(9) 個人情報保護責任者および関係者の業績評価に関する制度が確立されているか |
| (十)是否建立个人信息违法处理责任制度; |
(10) 個人情報違反への対応に関する責任体制が確立されているか |
| (十一)法律、行政法规规定的其他事项。 |
(11) その他、法律および行政規則で規定された事項 |
| 二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于: |
20. 個人情報の処理者は、処理する個人情報の規模と種類に適したセキュリティ技術的対策を採用し、個人情報の処理者が講じた技術的対策の有効性を評価しなければならない。評価には、以下を含むが、これらに限定されない。 |
| (一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性; |
(1) 個人情報の機密性、完全性、可用性を実現するために、適切なセキュリティ技術的対策が採用されているか |
| (二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; |
(2) 個人情報が特定不可能になるか、または追加情報なしで識別可能性の程度が低減されるように、暗号化や匿名化などのセキュリティ技術的対策が採用されているか |
| (三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 |
(3) 採用されたセキュリティ技術対策により、関連要員の個人情報へのアクセス、コピー、送信などの操作権限を合理的に判断でき、処理中の個人情報への不正アクセスや悪用のリスクを低減できるかどうか。 |
| 二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时,应当重点对下列事项进行评价: |
21. 個人情報処理者の教育訓練計画の策定と実施に関する準拠性監査を行う際には、以下の事項を評価の重点とする。 |
| (一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; |
(1) 管理要員、技術要員、オペレーター、および全従業員に対して、計画通りに適切なセキュリティ教育訓練が実施され、対応する要員の個人情報保護意識と技能が評価されたかどうか。 |
| (二)培训内容、方式、对象、频率等能否满足个人信息保护需要。 |
(2) 研修の内容、方法、対象および頻度が個人情報保護のニーズを満たすことができるかどうか。 |
| 二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项: |
第22条 個人情報取扱者が指定した個人情報保護責任者の職務遂行状況について、コンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。 |
| (一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; |
(1) 個人情報保護責任者が関連業務経験と専門知識を有し、個人情報保護に関する関連法律法規に精通しているかどうか。 |
| (二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员; |
(2) 個人情報保護責任者が明確かつ具体的な職責を有し、個人情報取扱者内部の関連部門および人員を調整するのに十分な権限が付与されているかどうか。 |
| (三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; |
(3) 個人情報保護責任者は、個人情報処理に関する重大事項を決定する前に、関連する意見や提案を提出する権利を有するか。 |
| (四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; |
(4) 個人情報保護責任者は、個人情報処理者内部で個人情報処理に関する不適切な業務を停止し、必要な是正措置を取る権利を有するか。 |
| (五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。 |
(5) 個人情報処理者は、個人情報保護責任者の連絡先を開示し、個人情報保護責任者の氏名と連絡先を保護部門に提出しているか。 |
| 二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时,应当重点对影响评估开展情况和评估内容进行审查: |
23. 個人情報処理者の個人情報保護影響アセスメント実施状況のコンプライアンス監査を行う際には、アセスメントの実施状況および内容の審査に重点を置くものとする。 |
| (一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估; |
(1) 個人権利および利益に重大な影響を及ぼす個人情報処理活動を行う前に、法律および行政法規の規定に従って個人情報保護影響アセスメントを実施しているか |
| (二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估; |
(2) 個人情報の処理目的および方法について、合法的、正当かつ必要な評価を行っているか |
| (三)是否对个人权益的影响及安全风险进行评估; |
(3) 個人権利および利益への影響およびリスク評価を行っているか |
| (四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。 |
(4) リスクのレベルに照らした保護対策の適法性および有効性、および妥当性に関するアセスメント |
| 二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容: |
24. 個人情報の処理者は、個人情報セキュリティ事故に対する緊急対応計画を策定しなければならない。 準拠性監査においては、緊急対応計画の網羅性、有効性、および強制力について評価を行う。 |
| (一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测; |
(1) 実際の業務状況に照らして、直面する個人情報セキュリティリスクの体系的評価および予測が行われているか |
| (二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险; |
(2) 予測されるリスクに対処する上で、全体的な要件、基本戦略、組織体制、人員、技術的・物質的支援、指揮命令系統及び対応手順、緊急対応及び支援措置が十分であるかどうか |
| (三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。 |
(3) 関係する人員が緊急対応計画について訓練を受けているかどうか、また、緊急対応計画が定期的にリハーサルされているかどうか |
| 二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的,应当重点审查下列事项: |
25. 個人情報取扱事業者の個人情報のセキュリティ事故への対応及び処理に関して、準拠性監査が実施される場合、特に以下の事項が調査されるものとする。 |
| (一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; |
(1) 緊急対応計画および作業手順に従って、個人情報セキュリティインシデントの影響、範囲、および潜在的な被害を迅速に特定し、その原因を分析・判断し、被害の拡大を防止するための措置を提案しているか |
| (二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人; |
(2) セキュリティインシデント発生後、関連規定に従って、保護部門および個人に迅速に通知するための通知ルートが確立されているか |
| (三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 |
(3) 個人情報セキュリティインシデントによる潜在的な損失および被害リスクを最小限に抑えるための対応措置が取られているか |
| 二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的,应当重点审查下列事项: |
26. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が膨大で、かつ業務形態が複雑な個人情報取扱事業者が制定したプラットフォーム規則のコンプライアンス監査においては、特に以下の事項を審査する。 |
| (一)平台规则是否与法律、行政法规相抵触; |
(1) プラットフォーム規則が法律法規に違反していないか。 |
| (二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务; |
(2) プラットフォーム規則における個人情報保護条項の実効性、およびプラットフォーム内におけるプラットフォーム、製品、サービス提供者の個人情報保護に関する権利義務が合理的に定義されているか。 |
| (三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。 |
(3) プラットフォーム規則の実施状況、およびサンプリング調査またはその他の方法により、規則が効果的に実施されているか。 |
| 二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的,应当重点审查社会责任报告披露下列内容的情况: |
27. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務形態が複雑な個人情報取扱事業者が発表した個人情報保護に関する社会責任報告書のコンプライアンス監査を行う際には、社会責任報告書における以下の内容の開示状況を重点的に確認する。 |
| (一)个人信息保护组织架构和内部管理情况; |
(1) 個人情報保護の組織構造および内部管理 |
| (二)个人信息保护能力建设情况; |
(2) 個人情報保護能力の構築 |
| (三)个人信息保护措施和成效; |
(3) 個人情報保護措置および結果 |
| (四)个人行使权利的申请受理情况; |
(4) 個人権利行使申請の受理 |
| (五)独立监督机构履职情况; |
(5) 独立監督機関の職務履行 |
| (六)重大个人信息安全事件处理情况; |
(6) 重大な個人情報セキュリティインシデントへの対応 |
| (七)促进个人信息保护社会共治的科普宣传、公益活动情况; |
(7) 個人情報保護の社会的な共同管理を促進する科学技術の普及および公益活動 |
| (八)法律、行政法规规定的其他事项。 |
(8) その他、法律および行政法規に規定された事項 |
Recent Comments