中国 個人情報保護コンプライアンス監査管理弁法 指針、Q&A、専門家による解説 (2025.02.14)
こんにちは、丸山満彦です。
中国の国家サイバースペース管理局が、個人情報保護コンプライアンス監査管理弁法を公表していますね...2025.05.01から施行されます...
監査の頻度については、
- 1000万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも年2回
- それ以外は、リスクに応じて適切な頻度
で実施してくださいということのようです。監査は内部監査部門が実施しても、外部の専門機関にお願いしても良いようです...
意見募集案の時は、
- 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回
- その他の個人情報処理事業者は、少なくとも2年に1回
でした...
また、個人情報の取扱いに対してリスクが大きいと、国家サイバースペース管理局等が判断した場合には、専門機関にコンプライアンス監査を受けさせることができるようです...
また、外部監査も3回を超えて同一の機関・人がしてはいけないようです。(監査ローテーション...)
● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)
プレス...
・2025.02.14 国家互联网信息办公室公布《个人信息保护合规审计管理办法》
Q&A...
・2025.02.14 《个人信息保护合规审计管理办法》答记者问
条文と指針...
・2025.02.15 个人信息保护合规审计管理办法
専門家による解説
・2025.02.14 专家解读|系统规范合规审计 保护个人信息安全
・2025.02.14 专家解读|建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙
・2025.02.14 专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力
・2025.02.14 专家解读|促进与规范合规审计 提升个人信息保护水平
・2025.02.14 专家解读|出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航
プレス...
・2025.02.14 国家互联网信息办公室公布《个人信息保护合规审计管理办法》
| 国家互联网信息办公室公布《个人信息保护合规审计管理办法》 | 国家サイバースペース管理局は「個人情報保護コンプライアンス監査管理弁法」を発表した |
| 近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),自2025年5月1日起施行。 | 最近、国家サイバースペース管理局は「個人情報保護コンプライアンス監査管理弁法」(以下「本弁法」という)を発表し、2025年5月1日に施行される。 |
| 国家互联网信息办公室有关负责人表示,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定,《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。 | 国家サイバースペース管理局の責任者は、中華人民共和国個人情報保護法およびネットワークデータセキュリティ管理弁法は、個人情報処理者が個人情報保護コンプライアンス監査を実施することを規定していると述べた。本措置は、コンプライアンス監査活動の実施、コンプライアンス監査機関の選定、コンプライアンス監査の頻度、およびコンプライアンス監査における個人情報処理者および専門機関の義務について、詳細な規定を定めている。その目的は、個人情報処理者が個人情報保護コンプライアンス監査を実施するための体系的な、的を絞った、実行可能な規範を提供し、個人情報処理活動の法的コンプライアンスのレベルを向上させ、個人情報の権利と利益を保護することにある。 |
| 《办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。 | 本措置では、個人情報取扱事業者がコンプライアンス監査を実施できる2つの状況を明確にしている。まず、個人情報取扱事業者が自らのコンプライアンス監査を実施する場合、個人情報取扱事業者の内部機関または個人情報取扱事業者が委託した専門機関が、個人情報取扱事業者の個人情報の処理における法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施する。1,000万人以上の個人情報を処理する個人情報取扱事業者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 次に、個人情報保護を担当する部門が、個人情報の処理活動に高いリスクが伴うこと、多数の個人の権利と利益を侵害する可能性があること、または個人情報のセキュリティ事故が発生したことを発見した場合、その部門は、個人情報の処理活動のコンプライアンス監査を専門機関に委託することを個人情報の処理者に要求することができる。 |
| 《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。 | 本規定では、コンプライアンス監査を実施する個人情報処理者の義務を明確にしている。個人情報保護業務を担当する部門の要請によりコンプライアンス監査を実施する個人情報処理者は、専門機関が通常通りコンプライアンス監査を実施できるよう必要な支援を提供し、監査費用を負担し、規定の期限内にコンプライアンス監査を完了し、コンプライアンス監査報告書を提出し、是正措置を実施しなければならないと規定している。 |
| 《办法》明确了专业机构在合规审计中的义务。一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 | 本規定では、コンプライアンス監査における専門機関の義務を明確にしている。 第一に、サービス内容に見合った監査人員、施設、設備、資金を備え、個人情報保護コンプライアンス監査を実施する能力を有していなければならない。第二に、法律法規を遵守し、誠実かつ公正に業務を遂行し、専門的なコンプライアンス監査判断を公正かつ客観的に行い、職務上知り得た個人情報、企業秘密、営業秘密を秘密として保持しなければならない。第三に、個人情報保護コンプライアンス監査を他の組織に再委託してはならない。第四に、同一の専門機関、その関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。 |
| 《办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。 | 本弁法は、個人情報保護に関する関連法律法規の要点を整理し、コンプライアンス監査の観点から詳細に説明した「個人情報保護コンプライアンス監査ガイドライン」を添付の形で規定している。個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を実施する場合、または個人情報保護業務責任部署の要請により専門機関に個人情報保護コンプライアンス監査を委託する場合は、「個人情報保護コンプライアンス監査ガイドライン」を参照すること。 |
| 《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。 | 本弁法は、個人情報保護業務責任部署の監督管理責任、および個人情報取扱事業者および専門機関が本弁法に違反した場合の法的責任についても規定している。 |
Q&A...
・2025.02.14 《个人信息保护合规审计管理办法》答记者问
| 《个人信息保护合规审计管理办法》答记者问 | 「個人情報保護コンプライアンス監査管理弁法」に関する質問への回答 |
| 近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。 | 最近、国家サイバースペース管理局(以下、「CAC」という)は「個人情報保護コンプライアンス監査管理弁法」(以下、「本弁法」という)を発表した。CACの担当者は、本弁法に関する記者の質問に回答した。 |
| 问1:请介绍一下《办法》的出台背景? | Q1:本弁法の制定の背景について紹介してほしい。 |
| 答:当前,个人信息被企业、机构甚至个人广泛收集使用,个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任,加强个人信息处理活动风险控制和监督,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求,国家互联网信息办公室制定出台《办法》,对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。 | 回答:現在、企業、機関、さらには個人まで、個人情報の収集と利用が広く行われており、個人情報保護と個人情報の利用との間の矛盾がますます顕著になっている。そこで、個人情報取扱事業者の個人情報保護の主体的責任を強化し、個人情報取扱活動のリスクコントロールと監督を強化するために、「中華人民共和国個人情報保護法」と「オンラインデータ安全管理規定」では、個人情報取扱事業者がコンプライアンス監査を実施することを規定している。 法律および規則の要求事項を効果的に実施するために、国家サイバースペース管理局は「個人情報の保護に関するコンプライアンス監査実施弁法」を制定し、公表した。この弁法は、個人情報の保護に関するコンプライアンス監査の実施、コンプライアンス監査機関の選定、コンプライアンス監査の頻度、コンプライアンス監査における個人情報の処理者および専門機関の義務などについて詳細に規定している。この弁法は、個人情報の処理者に対して、個人情報の保護に関するコンプライアンス監査を実施するための体系的かつ具体的な基準を提供し、個人情報の処理活動における法律遵守のレベルを向上させ、個人情報の権利および利益を保護することを目的としている。 |
| 问2:我国法律法规中对个人信息保护合规审计作了哪些规定? | Q2: 中国の法律および規則には、個人情報の保護に関するコンプライアンス監査に関する規定があるか? |
| 答:《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定,网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形:一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。 | 回答:中華人民共和国個人情報保護法第54条では、個人情報の処理者は、個人情報を処理する際に、法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。第64条では、個人情報保護を担当する部門は、職務を遂行する際に、個人情報の処理活動または個人情報のセキュリティ事故に重大なリスクが存在すると判断した場合、規定された権限および手続きに従って、個人情報の処理者の法定代理人または主要責任者に対してヒアリングを実施するか、または個人情報の処理者に委託して、専門機関に個人情報の処理活動のコンプライアンス監査を実施させることができると規定している。 オンラインデータ安全管理条例第27条では、オンラインデータ処理者は、定期的に自らまたは専門機関に委託して、個人情報の処理における法律および行政法規の遵守状況についてコンプライアンス監査を行うべきであると規定している。以上の法律および規則では、個人情報保護に関するコンプライアンス監査の2つの状況が明確に定義されている。第1に、個人情報処理者が自らコンプライアンス監査を行うこと、第2に、個人情報保護業務を担当する部門の要求に応じて、専門機関に委託してコンプライアンス監査を行うことである。 |
| 问3:《办法》的主要内容是什么? | Q3: 措置の主な内容はどのようなものか? |
| 答:《办法》主要对下列内容进行了规定:一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务,规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务,规定专业机构应当具备开展合规审计的能力,遵守法律法规,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报,并规定个人信息处理者、专业机构违反《办法》规定的法律责任。 | 回答:本弁法は主に以下の内容を規定している。まず、個人情報処理者が自らコンプライアンス監査を行う場合、および個人情報保護業務を担当する部門の要求により専門機関に委託してコンプライアンス監査を行う場合の条件、ならびにコンプライアンス監査機関の選定およびコンプライアンス監査の頻度を明確にしている。 第二に、コンプライアンス監査を実施する個人情報処理者の義務を明確にし、個人情報保護業務を担当する部門の要請を受けてコンプライアンス監査を実施する個人情報処理者は、専門機関がコンプライアンス監査業務を通常通り遂行できるよう必要な支援を提供し、監査費用を負担し、期限内にコンプライアンス監査を完了し、コンプライアンス監査報告書を提出し、是正措置を実施しなければならないと規定している。 第三に、専門機関のコンプライアンス監査における義務が明確化され、専門機関はコンプライアンス監査を実施する能力を有し、法令を遵守しなければならないこと、また、同一の専門機関、その関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならないことが規定されている。 第四に、個人情報保護責任部門が個人情報処理者のコンプライアンス監査を監督・検査することを明確にしている。いかなる組織または個人も、コンプライアンス監査中の違法行為について、個人情報保護責任部門に苦情を申し立てたり報告したりする権利を有する。また、本措置の違反に対する個人情報処理者および専門機関の法的責任についても規定している。 |
| 问4:个人信息处理者在什么情况下需要开展个人信息保护合规审计? | Q4: どのような状況下で、個人情報取扱者は個人情報保護コンプライアンス監査を実施しなければならないのか? |
| 答:个人信息处理者开展个人信息保护合规审计分两种情形:一是自行开展合规审计,即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计,即履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 | A: 個人情報取扱者が個人情報保護コンプライアンス監査を実施しなければならない状況は2つある。1つ目は、個人情報取扱者が自らコンプライアンス監査を実施すること、すなわち、個人情報取扱者は、法律および行政法規に従って、個人情報の取り扱いに関するコンプライアンス監査を定期的に実施しなければならない。1,000万人以上の個人情報を取り扱う個人情報取扱者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 その他の個人情報の処理者は、自らの状況に応じて、定期的な個人情報保護コンプライアンス監査の頻度を合理的に決定する。第二に、必要に応じてコンプライアンス監査を実施する。すなわち、個人情報保護業務を担当する部門は、その職務を遂行する過程において、個人情報の処理活動に比較的高いリスクが存在すること、複数の個人の権利および利益が侵害される可能性があること、または個人情報セキュリティ事故が発生していることを発見した場合、個人情報の処理者に専門機関に委託して、その個人情報の処理活動のコンプライアンス監査を実施するよう要求することができる。 |
| 问5:个人信息处理者如何选择合规审计机构? | Q5: 個人情報の処理者は、どのようにコンプライアンス監査機関を選択するのか? |
| 答:个人信息处理者自行开展合规审计时,可以选择由内部机构自行开展,也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时,履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 回答:個人情報処理者が自らコンプライアンス監査を行う場合、内部の部門に実施させることもできれば、専門機関に委託して実施させることもできる。本弁法は、監査方法、専門機関の選定、専門機関の選定について、いずれの方法をとるべきかについて、強制的な規定を設けていない。個人情報処理活動に高いリスクが伴う場合、多数の個人の権利利益を侵害する可能性がある場合、または個人情報セキュリティ事故が発生した場合、個人情報保護業務を担当する部門は、個人情報処理者に対して、専門機関に委託して個人情報保護コンプライアンス監査を実施するよう求めることができる。 |
| 问6:《办法》对专业机构提出了哪些要求? | Q6: 専門機関にどのような要求を課しているか? |
| 答:专业机构接受个人信息处理者委托开展合规审计,应当公正客观地作出合规审计结论,提出合规审计建议,其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求:一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 | A: 個人情報処理者が委託する専門機関は、公平かつ客観的にコンプライアンス監査の結論を出し、コンプライアンス監査の提案を提示しなければならない。 専門機関が発行するコンプライアンス監査報告書は、個人情報保護業務を担当する部門が監督管理を行う際の重要な参考資料となる。 措置は、専門機関に以下の要求を課している。まず、個人情報保護コンプライアンス監査を実施する能力を有し、監査人員、施設、設備、資金が業務に適していること。 第二に、法律法規を遵守し、誠実かつ公正に、公平かつ客観的にコンプライアンス監査の専門的判断を行い、個人情報保護コンプライアンス監査の職務を遂行する過程で知り得た個人情報、企業秘密、営業秘密などの情報を秘密として保持し、他者に開示または違法に提供してはならない。第三に、他の組織に委託して個人情報保護コンプライアンス監査を実施してはならない。第四に、同一の専門機関およびその関連会社、同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。 |
| 问7:《办法》如何对专业机构进行管理? | Q7: 弁法は専門機関をどのように規定しているのか? |
| 答:《办法》遵循自愿性、市场化的原则,通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力,有与服务相适应的审计人员、场所、设施和资金的专业机构,可以自愿申请相关服务能力认证。 | A: 弁法は自主性と市場化の原則に従い、認証と認定を通じて専門機関を監督管理する。専門機関の認証は、「中華人民共和国認証と認定条例」の関連規定に従って実施される。個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を有する専門機関は、自主的に関連サービス能力の認証を申請することができる。 |
| 问8:个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时,应当履行哪些义务? | Q8: 個人情報保護業務を担当する部門の要求事項に従って個人情報保護コンプライアンス監査を実施する場合、個人情報処理者はどのような義務を履行すべきか。 |
| 答:《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求:一是保障合规审计正常进行,为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构,在限定时间内完成个人信息保护合规审计,情况复杂的,报履行个人信息保护职责的部门批准后,可以适当延长。三是报送合规审计报告并进行整改,个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向履行个人信息保护职责的部门报送整改情况报告。 | 回答:本弁法は、個人情報取扱事業者が個人情報保護コンプライアンス監査を個人情報保護業務担当部門の要求に従って実施するにあたり、以下の要求事項を規定している。第一に、コンプライアンス監査が正常に実施されるよう、専門機関が個人情報保護コンプライアンス監査を正常に実施できるよう必要な支援を行い、監査費用を負担すること。第二に、個人情報保護業務担当部門の要求に従って専門機関を選定し、期限内に個人情報保護コンプライアンス監査を完了すること。状況が複雑な場合は、個人情報保護業務担当部門に報告し、承認を得た上で、適宜延長することができる。 第三に、コンプライアンス監査報告書を提出し、是正を行う。個人情報取扱者は、コンプライアンス監査終了後、専門機関が発行した個人情報保護コンプライアンス監査報告書を個人情報保護業務担当部門に提出し、個人情報保護業務担当部門の要求に基づき、コンプライアンス監査で発見された問題について是正を行う。是正終了後15営業日以内に、是正報告書を個人情報保護業務担当部門に提出する。 |
| 问9:个人信息处理者开展个人信息保护合规审计如何适用《个人信息保护合规审计指引》? | Q9: 個人情報保護コンプライアンス監査ガイドラインは、個人情報保護コンプライアンス監査を行う個人情報取扱者にどのように適用されるのか? |
| 答:《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化,便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。 | 回答:個人情報保護コンプライアンス・プログラム監査指針は、個人情報保護に関する法律法規の要点を整理し、コンプライアンス・プログラム監査の観点から詳細に説明しており、個人情報取扱事業者が、自らの個人情報取扱業務が法律法規の要求に合致しているかどうかを評価できるようにしている。個人情報保護コンプライアンス・プログラム監査指針は、個人情報取扱事業者が自ら個人情報保護コンプライアンス・プログラム監査を行う場合、または個人情報保護業務を担当する部門の要請により専門機関に委託して行う場合、参照すべきものである。 |
条文と指針...
・2025.02.15 个人信息保护合规审计管理办法
| 个人信息保护合规审计管理办法 | 個人情報保護コンプライアンス監査に関する管理措置 |
| 国家互联网信息办公室令 | 国家サイバースペース管理局令 |
| 第18号 | 第18号 |
| 《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过,现予公布,自2025年5月1日起施行。 | 個人情報保護コンプライアンス監査に関する管理措置は、2024年5月20日に開催された国家サイバースペース管理局第15回室務会議で審議・可決され、ここに公布し、2025年5月1日より施行する。 |
| 国家互联网信息办公室主任 庄荣文 | 国家サイバースペース管理局局長 荘栄文 |
| 2025年2月12日 | 2025年2月12日 |
| 个人信息保护合规审计管理办法 | 個人情報保護コンプライアンス監査に関する管理措置 |
| 第一条 为了规范个人信息保护合规审计活动,保护个人信息权益,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。 | 第1条 本規定は、中華人民共和国個人情報保護法、ネットワークデータセキュリティ管理弁法、その他の法律および行政法規に基づき、個人情報保護コンプライアンス監査を規範化し、個人情報の権利と利益を保護するために策定される。 |
| 第二条 在中华人民共和国境内开展个人信息保护合规审计,适用本办法。 | 第2条 本規定は、中華人民共和国の領土内で実施される個人情報保護コンプライアンス監査に適用される。 |
| 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。 | 本規定でいう個人情報保護コンプライアンス監査とは、個人情報取扱事業者の個人情報の処理活動が法律および行政法規に準拠しているかどうかを審査・評価する監督活動を指す。 |
| 第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 | 第3条 個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を行う場合、個人情報取扱事業者の内部機関または個人情報取扱事業者が委託した専門機関が、個人情報取扱事業者の個人情報の取り扱いにおける法律および行政法規の遵守状況について定期的にコンプライアンス監査を行う。 |
| 第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 | 第4条 1,000万人以上の個人情報を取り扱う個人情報取扱事業者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を行う。 |
| 第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: | 第5条 個人情報取扱事業者が以下の状況に該当する場合、国家インターネット情報弁公室およびその他の個人情報保護担当部門(以下、総称して「保護部門」という)は、当該事業者に対し、専門機関に委託して個人情報処理活動のコンプライアンス監査を実施するよう要求することができる。 |
| (一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的; | (1) 個人情報処理活動が個人の権利および利益に深刻な影響を及ぼすリスク、またはセキュリティ対策が著しく不十分であるリスクが大きいことが判明した場合 |
| (二)个人信息处理活动可能侵害众多个人的权益的; | (2) 個人情報処理活動が多数の個人の権利および利益を侵害する可能性がある場合 |
| (三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。 | (3) 100万人以上の個人情報の漏洩、改ざん、紛失、または10万人以上のセンシティブな個人情報の漏洩、改ざん、紛失、または破壊につながる個人情報セキュリティインシデントの発生。 |
| 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 個人情報処理者は、同一の個人情報セキュリティインシデントまたはリスクについて、専門機関に繰り返し個人情報保護コンプライアンス監査を委託することを求められない。 |
| 第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。 | 第6条 個人情報処理者が自ら個人情報保護コンプライアンス監査を実施する場合、または保護部門の要求に応じて専門機関に委託して実施する場合、本措置に添付されている「個人情報保護コンプライアンス監査ガイドライン」を参照しなければならない。 |
| 第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。 | 第7条 専門機関は、個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を備えていなければならない。 |
| 鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。 | 専門機関は、認証を取得することが推奨される。専門機関の認証は、中華人民共和国認証および認定に関する規則の関連規定に従って実施されるものとする。 |
| 第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。 | 第8条 個人情報処理者が保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、専門機関が通常通り個人情報保護コンプライアンス監査業務を実施できるよう必要な支援を提供し、監査費用を負担しなければならない。 |
| 第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。 | 第9条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、保護部門の要求に基づき専門機関を選定し、期限内に個人情報保護コンプライアンス監査を完了しなければならない。 複雑な場合、保護部門の承認を経て期限を適宜延長することができる。 |
| 第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。 | 第10条 個人情報処理者が保護部門の要求に基づき個人情報保護コンプライアンス監査を行う場合、コンプライアンス監査完了後、専門機関が発行した個人情報保護コンプライアンス監査報告書を保護部門に提出しなければならない。 |
| 个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。 | 個人情報保護コンプライアンス監査報告書には、専門機関の責任者およびコンプライアンス監査責任者が署名し、専門機関の公印を押さなければならない。 |
| 第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。 | 第11条 個人情報取扱事業者は、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する場合、保護部門の要求に従ってコンプライアンス監査で指摘された問題を是正しなければならない。是正完了後15営業日以内に、是正報告書を保護部門に提出しなければならない。 |
| 第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 | 第12条 100万人を超える個人情報を処理する個人情報取扱事業者は、個人情報保護責任者を指定しなければならず、個人情報取扱事業者の個人情報保護コンプライアンス監査の責任者となる。 |
| 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 | 重要なインターネットプラットフォームサービスを提供し、利用者数が多く、かつ、取り扱う業務の類型が複雑である個人情報処理者は、個人情報保護遵守監査を監督する外部委員を主とする独立した機関を設置しなければならない。 |
| 第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。 | 第13条 専門機関は、個人情報保護コンプライアンス監査を実施する際には、法令を遵守し、誠実に行動し、専門的見地から公正かつ客観的にコンプライアンス監査の判断を行い、個人情報保護コンプライアンス監査の職務を遂行する過程で取得した個人情報、営業秘密、企業秘密を秘密として保持し、他人に漏洩したり、不正に提供したりしてはならない。 |
| 第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。 | 第14条 専門機関は、他の機関に委託して個人情報保護コンプライアンス監査を実施してはならない。 |
| 第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 | 第15条 同一の専門機関およびその関連機関、同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない。 |
| 第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。 | 第16条 保護部門は、個人情報処理者が実施する個人情報保護コンプライアンス監査を監督および検査する。 |
| 第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 | 第17条 組織または個人は、個人情報保護コンプライアンス監査における違法行為について、保護部門に苦情を申し立て、または報告する権利を有する。苦情または報告を受けた部門は、法律に基づき適時に処理し、処理結果を申立人に通知しなければならない。 |
| 第十八条 个人信息处理者、专业机构违反本办法规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 | 第18条:個人情報処理者または専門機関が本措置の規定に違反した場合、中華人民共和国個人情報保護法およびオンラインデータセキュリティ管理弁法などの法律法規の規定に従って処理する。犯罪が成立する場合は、法に基づき刑事責任を追及する。 |
| 第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。 | 第19条:本措置は、法律法規により公務を管理する権限を授権された国家機関および組織の個人情報保護コンプライアンス監査には適用されない。 |
| 第二十条 本办法自2025年5月1日起施行。 | 第20条:本措置は2025年5月1日に施行する。 |
| 附件 | 附属書 |
| 个人信息保护合规审计指引 | 個人情報保護コンプライアンス監査ガイドライン |
| 一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。 | 1. 本ガイドラインは、中華人民共和国の個人情報保護法、オンラインデータセキュリティ管理弁法、その他の法律および行政法規に準拠して策定される。 |
| 二、对个人信息处理活动的合法性基础进行合规审计的,应当重点审查下列事项: | 2. 個人情報の処理活動の法的根拠に関するコンプライアンス監査を実施する際には、特に以下の事項を調査するものとする。 |
| (一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出; | (1) 個人情報の処理について、個人からの同意を得ているか、また、十分な情報を基に、個人が自発的かつ明確に同意しているか。 |
| (二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意; | (2) 本人の同意に基づき個人情報を取り扱う場合において、利用目的、方法若しくは取り扱う個人情報の種類を変更する場合には本人の同意を得ているか |
| (三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意; | (3) 本人の同意に基づき個人情報を取り扱う場合において、法令又は行政規則に従い、本人の別段の同意又は書面による同意を得ているか |
| (四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。 | (4) 本人の同意を得ないで個人情報を取り扱う場合において、法令又は行政規則で定める、本人の同意を得る必要がない場合にあたるか |
| 三、对个人信息处理规则进行合规审计的,应当重点审查下列事项: | 3. 個人情報の取り扱いに関する規定の遵守状況を監査する場合は、次の事項を重点的に監査することとする。 |
| (一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; | (1) 個人情報取扱者の氏名又は名称及び連絡先が、真実、正確かつ完全であるか否か |
| (二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类; | (2) 収集する個人情報の種類、その処理方法及び処理形態が一覧表など見やすい形で示されているか否か |
| (三)是否与处理目的直接相关,采取对个人权益影响最小的方式; | (3) 処理目的に直接関連し、かつ個人の権利利益に与える影響が最も少ない形態となっているか否か |
| (四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间; | (4) 個人情報の保存期間が明示されているか、又は保存期間を決定する方法、保存期間経過後の処理方法が明示され、かつ保存期間が処理目的の達成に必要な最短の期間に設定されているか否か |
| (五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。 | (5) 本人が自己の個人情報について、アクセス、コピー、譲渡、訂正、補充、削除、処理の制限、およびアカウントのキャンセルや同意の撤回を行うための手段や方法が明確に規定されているかどうか。 |
| 四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的,应当重点审查下列事项: | 4. 個人情報処理者が個人情報処理規則の通知義務を履行しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。 |
| (一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; | (1) 個人情報処理者が、個人情報を処理する前に、個人に対して、個人情報処理規則を、真正、正確かつ完全な方法で、目立つように、理解しやすい言葉で通知しているかどうか。 |
| (二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; | (2) 通知の文字の大きさ、フォント、色は、本人が通知のすべてを読めるようになっているか |
| (三)线下告知是否通过标注、说明等多种方式向个人履行告知义务; | (3) オフラインでの通知の場合、ラベル表示や説明など、通知義務はさまざまな手段によって果たされているか |
| (四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务; | (4) オンラインでの通知の場合、テキスト情報または適切な手段によって通知義務は果たされているか |
| (五)个人信息处理规则发生变更的,是否将变更内容及时告知个人; | (5) 個人情報の処理規則の変更は、速やかに本人に通知されているか |
| (六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。 | (6) 通知を必要としない個人情報は、秘密保持が求められる状況にあるか、または法律や行政規則によって通知が求められていない状況にあるか |
| 五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的,应当重点审查下列事项: | 5. 個人情報取扱事業者と他の個人情報取扱事業者との間の個人情報の共同処理についてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。 |
| (一)是否约定各自的权利义务; | (1) それぞれの権利と義務が合意されていること |
| (二)个人信息权益保护机制; | (2) 個人情報の権利利益を保護する仕組み |
| (三)个人信息安全事件报告机制; | (3) 個人情報に関するセキュリティ事件の報告の仕組み |
| (四)其他法律、行政法规规定需要约定的权利和义务。 | (4) その他法令及び行政規則が定める合意すべき権利と義務 |
| 六、对个人信息处理者委托处理个人信息进行合规审计的,应当重点审查下列事项: | 6. 個人情報取扱事業者が個人情報の処理を委託することについてコンプライアンス・プログラムの遵守状況を監査するときは、特に次の事項を重点的に監査しなければならない。 |
| (一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估; | (1) 個人情報処理者が個人情報の処理を委託する前に、個人情報保護アセスメントを行ったかどうか |
| (二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等; | (2) 個人情報処理者と受託者との間で締結した契約に、目的、期間、方法、個人情報の種類、保護措置、および両当事者の権利と義務が規定されているかどうか |
| (三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。 | (3) 個人情報処理者が定期的に検査を行うなどして、受託者の個人情報の処理活動を監督しているかどうか |
| 七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。 | 7. 個人情報取扱事業者が合併、組織再編、分割、解散または破産宣告等により個人情報を移転する必要がある場合、移転先となる個人情報の提供先名または名称および連絡先を本人に通知しているか否かを重点的に確認する。 |
| 八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的,应当重点审查下列事项: | 8. 個人情報取扱事業者が自ら取り扱う個人情報について、他の個人情報取扱事業者に提供する場合の適法性監査を行う場合、次の事項を重点的に確認する。 |
| (一)基于个人同意处理个人信息的,是否取得个人的单独同意; | (1) 本人の同意に基づき個人情報を取り扱う場合、本人の別途の同意を取得しているか |
| (二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外; | (2) 法令又は行政規則により秘密保持が義務づけられている場合や通知が不要とされている場合を除き、本人に対し、提供先名又は名称、連絡先、利用目的、利用方法、個人情報の種類について通知しているか |
| (三)是否事前进行个人信息保护影响评估。 | (3) あらかじめ個人情報保護アセスメントを行っているか |
| 九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的,应当重点审查下列事项: | 9. 個人情報取扱事業者が自動化された意思決定を利用・運用している場合の個人情報取扱事業者の個人情報の取扱いの遵守状況の監査においては、次の事項を重点的に監査することとする。 |
| (一)自动化决策的透明度,以及自动化决策的结果是否公平、公正; | (1) 自動化された意思決定の透明性及び自動化された意思決定の結果が公正かつ適正であるか |
| (二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响; | (2) 自動化された意思決定により処理される個人情報の種類およびその影響について、あらかじめ本人に通知されているか |
| (三)是否事前进行个人信息保护影响评估; | (3) あらかじめ個人情報保護影響評価が行われているか |
| (四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明; | (4) 自動化された意思決定により本人の権利利益に重大な影響を与える決定がなされた場合に、本人が容易に拒否できる仕組みが利用者に対して用意されているか、自動化された意思決定により利用者の権利利益に重大な影響を与える決定がなされた場合に、個人情報取扱事業者に対して説明を求めることができる仕組みが利用者に対して用意されているか |
| (五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; | (5) 個人に対して情報のプッシュや商業的なマーケティングを行う場合、個人の特性を対象としないオプションも提供されているか、自動化された意思決定サービスを拒否する便利な方法が提供されているか |
| (六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; | (6) 自動化された意思決定が、消費者の好み、取引習慣などに基づく取引条件において、個人に対して不当な差別的取扱いを実施しないよう、実効性のある措置が講じられているか |
| (七)其他可能影响自动化决策的透明度和结果公平、公正的事项。 | (7) その他、自動化された意思決定の透明性、結果の公正性・公平性に影響を及ぼす事項 |
| 十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项: | 10. 個人情報取扱者が個人情報の開示について本人の同意を得てコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。 |
| (一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; | (1) 個人情報取扱者が処理する個人情報を開示する前に本人の個別同意を得たか、その同意が真正かつ有効であるか、本人の意に反して個人情報が開示される状況がないか |
| (二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。 | (2) 個人情報取扱者が個人情報を開示する前に個人情報保護影響評価を行ったか |
| 十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于: | 11. 個人情報処理者が公共の場所に画像収集または個人識別設備を設置する場合、画像収集または個人識別設備の設置の合法性および収集した個人情報の利用目的の審査に重点を置くものとする。審査には、以下を含むが、これらに限定されない。 |
| (一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息; | (1) 公共の安全の維持に必要であるか、収集した個人情報が商業目的で処理されるか |
| (二)是否设置了显著的提示标识; | (2) 目立つ警告表示が設置されているか |
| (三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 | (3) 個人情報処理者が収集した個人画像および識別情報が、公共の安全の維持以外の目的で使用されていないか、また、個別の同意を得ているか。 |
| 十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为: | 12. 個人情報処理者が開示された個人情報の処理についてコンプライアンス監査を行う場合、監査は、個人情報処理者が以下の違反行為を行ったかどうかを中心に実施する。 |
| (一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息; | (1) 開示された個人情報のメールアドレスおよび携帯電話番号に、開示の目的と関係のない商業用情報を送信すること |
| (二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动; | (2) 開示された個人情報を利用して、オンライン暴力、オンライン風説の流布、虚偽情報の流布などの行為を行うこと |
| (三)处理个人明确拒绝处理的已公开个人信息; | (3) 本人が明確に処理を拒否した個人情報の処理 |
| (四)对个人权益有重大影响,未取得个人同意; | (4) 本人の同意なく本人の権利利益に重大な影響を及ぼすこと |
| (五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。 | (5) 収集、保有又は処理された個人情報の規模、期間又は利用目的が公開された場合、それが合理的な範囲を超えること |
| 十三、对个人信息处理者处理敏感个人信息进行合规审计的,应当重点审查下列事项: | 13. 個人情報処理者が機微個人情報の処理についてコンプライアンス監査を行う場合、特に次の事項を調査しなければならない。 |
| (一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意; | (1) 本人の同意に基づき個人情報を取り扱う場合において、あらかじめ、本人から、識別、宗教、特定の身元、健康及び医療、金融口座及び所在等の機微な個人情報について、同意を得ているかどうか |
| (二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; | (2) 本人の同意に基づき個人情報を取り扱う場合において、14歳未満の未成年者の個人情報については、あらかじめ、その保護者から同意を得ているかどうか |
| (三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要; | (3) 機微な個人情報の利用目的、方法及び範囲が適法、妥当かつ必要であるかどうか |
| (四)是否在事前进行个人信息保护影响评估; | (4) 事前に個人情報保護影響アセスメントが実施されたかどうか |
| (五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外; | (5) 機密保持が求められる法律および行政法規に別段の定めがある場合、または通知が不要である場合を除き、本人に機微な個人情報の処理の必要性および本人の権利利益への影響が通知されているかどうか |
| (六)法律、行政法规规定应当取得书面同意的,是否取得书面同意; | (6) 法律および行政法規に別段の定めがある場合、書面による同意が取得されているかどうか |
| (七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。 | (7) 機微な個人情報の処理に関する法律および行政法規の制限規定が遵守されているかどうか |
| 十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的,应当重点审查下列事项: | 14. 14歳未満の未成年者の個人情報の取扱いに係る個人情報取扱事業者の遵守状況を監査する場合には、特に次の事項を監査すること。 |
| (一)是否制定专门的个人信息处理规则; | (1) 個人情報の取扱いに特段の規定を設けているか |
| (二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外; | (2) 未成年者の個人情報の利用目的、方法及び必要性を本人及びその保護者に通知し、又は法令及び行政法規が通知することを要しないと規定する場合を除き、その個人情報の種類、保護措置について通知しているか |
| (三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。 | (3) 本人の同意に基づき個人情報を取り扱う場合において、要配慮個人情報の取り扱いについて、未成年者又はその保護者を強制的に同意させている行為がないか。 |
| 十五、对个人信息处理者向境外提供个人信息进行合规审计的,应当重点审查下列事项: | 15. 個人データの提供者が個人データの国外提供についてコンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。 |
| (一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; | (1) 重要情報インフラ事業者が個人データの国外提供について国家サイバー空間管理部門が主催するセキュリティ評価を受けたか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。 |
| (二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; | (2) 重要情報インフラ運営者以外のデータ処理者が、今年1月1日以降、累計100万以上の個人情報(センシティブ個人情報を除く)または1万以上のセンシティブ個人情報を外国に提供している場合、国家サイバー空間管理部門が主催するセキュリティ評価を受けているかどうか。法律、行政法規、または国家サイバー空間管理部門が別途規定している場合は、その規定が優先される。 |
| (三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件; | (3) その年の1月1日以降、10万以上100万未満の個人データ(センシティブ個人情報を除く)または1万未満のセンシティブ個人情報を外国に提供した、重要情報インフラ運営事業者以外のデータ処理事業者が、国家サイバー空間管理部門の規定に従って個人情報保護認証を取得しているか、または国家サイバー空間管理部門が策定した標準契約に従って外国の受領者と契約を締結し、所在地の省レベルのサイバー空間管理部門に提出しているか、または法律、行政法規、国家サイバー空間管理部門が定めるその他の条件を満たしているか。 |
| (四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准; | (4) 中華人民共和国の領域内に保存されている個人情報が外国の司法機関または法執行機関に提供される状況がある場合、中華人民共和国の主管機関の承認を得ているかどうか。 |
| (五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。 | (5) 個人情報の提供が制限または禁止されている組織および個人に個人情報が提供されているかどうか。 |
| 十六、对个人信息删除权保障情况进行合规审计的,应当重点审查下列事项: | 16. 個人情報の削除権の保護に関するコンプライアンス監査が実施される場合、特に以下の事項が審査される。 |
| (一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要; | (1) 個人情報の処理目的が達成されたか、達成できないか、または処理目的を達成するために必要でなくなったかどうか。 |
| (二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号; | (2) 個人情報の処理者が製品またはサービスの提供を停止したか、または個人がアカウントをキャンセルしたか |
| (三)保存期限是否已届满; | (3) 保存期間が満了したか |
| (四)个人是否撤回同意; | (4) 個人が同意を撤回したか |
| (五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息; | (5) 個人情報の処理者が法律、行政法規、または契約に違反して個人情報を処理したか |
| (六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。 | (6) 個人情報を削除すべき場合であっても、法令または行政法規に定める保存期間が経過していない場合や技術的に削除が困難な場合、個人情報の処理者が保存以外の処理を停止し、必要な安全対策を講じているかどうか。 |
| 十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的,应当重点审查下列事项: | 17. 個人情報の処理者が個人情報の処理において個人の権利を保護しているかについて、コンプライアンス監査を行う場合、特に以下の事項を調査する。 |
| (一)是否建立便捷的个人行使权利的申请受理机制和处理机制; | (1) 個人が権利を行使するために、簡便な申請受付・処理の仕組みを構築しているかどうか。 |
| (二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果; | (2) 本人からの権利行使の求めに対して適時に対応し、かつ、本人に対してその取扱意見や実施結果を迅速かつ的確に伝えるか |
| (三)拒绝个人行使权利请求的,是否向个人说明理由。 | (3) 本人からの権利行使の求めを拒否する場合には、本人に拒否の理由を伝えるか |
| 十八、个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,合规审计时应当重点对下列内容进行评价: | 18. 個人情報取扱事業者は、本人からの申請や個人情報取扱規程の説明に応じなければならない。 準拠性監査では、以下の内容の評価に重点を置く。 |
| (一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; | (1) 個人情報取扱事業者が、本人からの個人情報取扱規程の説明の求めを受け付けるための便利な方法や手段を提供しているか |
| (二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 | (2) 個人からの要求を受け取った後、個人情報取扱事業者が、分かりやすい言葉で、合理的な期間内に、個人情報処理規則を説明しているかどうか。 |
| 十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于: | 19. 個人情報取扱事業者は、法律および行政法規の規定に従い、内部管理体制および業務手順を策定し、組織構造および職責を明確にし、業務フローを確立し、内部統制システムを改善し、個人情報の処理におけるコンプライアンスおよびセキュリティを確保しなければならない。 コンプライアンス監査では、個人情報取扱事業者の個人情報保護に関する内部管理体制および業務手順の審査に重点が置かれる。審査対象には、以下が含まれるが、これらに限定されない。 |
| (一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; | (1) 個人情報保護の方針、目的および原則が法律および行政法規の規定に準拠しているか |
| (二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; | (2) 個人情報保護のための組織構造、人員、行動規範および管理責任が、個人情報保護に関して果たすべき責任に見合ったものとなっているか |
| (三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类; | (3) 個人情報が、その種類、情報源、機密性および利用方法に従って分類されているか |
| (四)是否建立个人信息安全事件应急响应机制; | (4) 個人情報セキュリティ事故に対する緊急対応メカニズムが確立されているか |
| (五)是否建立个人信息保护影响评估制度、合规审计制度; | (5) 個人情報保護影響アセスメントシステムおよびコンプライアンス監査システムが確立されているか |
| (六)是否建立畅通的个人信息保护投诉举报受理流程; | (6) 個人情報保護に関する苦情や報告を円滑に受け付けるためのプロセスが確立されているか |
| (七)是否合理制定个人信息处理操作权限; | (7) 個人情報の取り扱いに関する業務権限が合理的に策定されているか |
| (八)是否制定实施个人信息保护安全教育和培训计划; | (8) 個人情報保護に関する安全教育や研修計画が策定され実施されているか |
| (九)是否建立个人信息保护负责人及相关人员履职评价制度; | (9) 個人情報保護責任者および関係者の業績評価に関する制度が確立されているか |
| (十)是否建立个人信息违法处理责任制度; | (10) 個人情報違反への対応に関する責任体制が確立されているか |
| (十一)法律、行政法规规定的其他事项。 | (11) その他、法律および行政規則で規定された事項 |
| 二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于: | 20. 個人情報の処理者は、処理する個人情報の規模と種類に適したセキュリティ技術的対策を採用し、個人情報の処理者が講じた技術的対策の有効性を評価しなければならない。評価には、以下を含むが、これらに限定されない。 |
| (一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性; | (1) 個人情報の機密性、完全性、可用性を実現するために、適切なセキュリティ技術的対策が採用されているか |
| (二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; | (2) 個人情報が特定不可能になるか、または追加情報なしで識別可能性の程度が低減されるように、暗号化や匿名化などのセキュリティ技術的対策が採用されているか |
| (三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 | (3) 採用されたセキュリティ技術対策により、関連要員の個人情報へのアクセス、コピー、送信などの操作権限を合理的に判断でき、処理中の個人情報への不正アクセスや悪用のリスクを低減できるかどうか。 |
| 二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时,应当重点对下列事项进行评价: | 21. 個人情報処理者の教育訓練計画の策定と実施に関する準拠性監査を行う際には、以下の事項を評価の重点とする。 |
| (一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; | (1) 管理要員、技術要員、オペレーター、および全従業員に対して、計画通りに適切なセキュリティ教育訓練が実施され、対応する要員の個人情報保護意識と技能が評価されたかどうか。 |
| (二)培训内容、方式、对象、频率等能否满足个人信息保护需要。 | (2) 研修の内容、方法、対象および頻度が個人情報保護のニーズを満たすことができるかどうか。 |
| 二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项: | 第22条 個人情報取扱者が指定した個人情報保護責任者の職務遂行状況について、コンプライアンス監査を行う場合、特に以下の事項を審査しなければならない。 |
| (一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; | (1) 個人情報保護責任者が関連業務経験と専門知識を有し、個人情報保護に関する関連法律法規に精通しているかどうか。 |
| (二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员; | (2) 個人情報保護責任者が明確かつ具体的な職責を有し、個人情報取扱者内部の関連部門および人員を調整するのに十分な権限が付与されているかどうか。 |
| (三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; | (3) 個人情報保護責任者は、個人情報処理に関する重大事項を決定する前に、関連する意見や提案を提出する権利を有するか。 |
| (四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; | (4) 個人情報保護責任者は、個人情報処理者内部で個人情報処理に関する不適切な業務を停止し、必要な是正措置を取る権利を有するか。 |
| (五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。 | (5) 個人情報処理者は、個人情報保護責任者の連絡先を開示し、個人情報保護責任者の氏名と連絡先を保護部門に提出しているか。 |
| 二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时,应当重点对影响评估开展情况和评估内容进行审查: | 23. 個人情報処理者の個人情報保護影響アセスメント実施状況のコンプライアンス監査を行う際には、アセスメントの実施状況および内容の審査に重点を置くものとする。 |
| (一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估; | (1) 個人権利および利益に重大な影響を及ぼす個人情報処理活動を行う前に、法律および行政法規の規定に従って個人情報保護影響アセスメントを実施しているか |
| (二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估; | (2) 個人情報の処理目的および方法について、合法的、正当かつ必要な評価を行っているか |
| (三)是否对个人权益的影响及安全风险进行评估; | (3) 個人権利および利益への影響およびリスク評価を行っているか |
| (四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。 | (4) リスクのレベルに照らした保護対策の適法性および有効性、および妥当性に関するアセスメント |
| 二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容: | 24. 個人情報の処理者は、個人情報セキュリティ事故に対する緊急対応計画を策定しなければならない。 準拠性監査においては、緊急対応計画の網羅性、有効性、および強制力について評価を行う。 |
| (一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测; | (1) 実際の業務状況に照らして、直面する個人情報セキュリティリスクの体系的評価および予測が行われているか |
| (二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险; | (2) 予測されるリスクに対処する上で、全体的な要件、基本戦略、組織体制、人員、技術的・物質的支援、指揮命令系統及び対応手順、緊急対応及び支援措置が十分であるかどうか |
| (三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。 | (3) 関係する人員が緊急対応計画について訓練を受けているかどうか、また、緊急対応計画が定期的にリハーサルされているかどうか |
| 二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的,应当重点审查下列事项: | 25. 個人情報取扱事業者の個人情報のセキュリティ事故への対応及び処理に関して、準拠性監査が実施される場合、特に以下の事項が調査されるものとする。 |
| (一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; | (1) 緊急対応計画および作業手順に従って、個人情報セキュリティインシデントの影響、範囲、および潜在的な被害を迅速に特定し、その原因を分析・判断し、被害の拡大を防止するための措置を提案しているか |
| (二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人; | (2) セキュリティインシデント発生後、関連規定に従って、保護部門および個人に迅速に通知するための通知ルートが確立されているか |
| (三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 | (3) 個人情報セキュリティインシデントによる潜在的な損失および被害リスクを最小限に抑えるための対応措置が取られているか |
| 二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的,应当重点审查下列事项: | 26. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が膨大で、かつ業務形態が複雑な個人情報取扱事業者が制定したプラットフォーム規則のコンプライアンス監査においては、特に以下の事項を審査する。 |
| (一)平台规则是否与法律、行政法规相抵触; | (1) プラットフォーム規則が法律法規に違反していないか。 |
| (二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务; | (2) プラットフォーム規則における個人情報保護条項の実効性、およびプラットフォーム内におけるプラットフォーム、製品、サービス提供者の個人情報保護に関する権利義務が合理的に定義されているか。 |
| (三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。 | (3) プラットフォーム規則の実施状況、およびサンプリング調査またはその他の方法により、規則が効果的に実施されているか。 |
| 二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的,应当重点审查社会责任报告披露下列内容的情况: | 27. 重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務形態が複雑な個人情報取扱事業者が発表した個人情報保護に関する社会責任報告書のコンプライアンス監査を行う際には、社会責任報告書における以下の内容の開示状況を重点的に確認する。 |
| (一)个人信息保护组织架构和内部管理情况; | (1) 個人情報保護の組織構造および内部管理 |
| (二)个人信息保护能力建设情况; | (2) 個人情報保護能力の構築 |
| (三)个人信息保护措施和成效; | (3) 個人情報保護措置および結果 |
| (四)个人行使权利的申请受理情况; | (4) 個人権利行使申請の受理 |
| (五)独立监督机构履职情况; | (5) 独立監督機関の職務履行 |
| (六)重大个人信息安全事件处理情况; | (6) 重大な個人情報セキュリティインシデントへの対応 |
| (七)促进个人信息保护社会共治的科普宣传、公益活动情况; | (7) 個人情報保護の社会的な共同管理を促進する科学技術の普及および公益活動 |
| (八)法律、行政法规规定的其他事项。 | (8) その他、法律および行政法規に規定された事項 |
専門家による解説
・2025.02.14 专家解读|系统规范合规审计 保护个人信息安全
| 专家解读|系统规范合规审计 保护个人信息安全 | 専門家による解説:システムに基づくコンプライアンス・プログラム監査は、個人情報の安全を保護する |
| 个人信息保护合规审计是监督与评估个人信息处理者切实履行个人信息保护义务的重要制度。《个人信息保护合规审计管理办法》(以下简称《办法》)的制定是以《中华人民共和国个人信息保护法》等法律法规为依据,清晰且全面地规定了个人信息保护合规审计制度的具体实施方式,有效平衡了个人信息安全保护和个人信息合理利用的双重立法目标。《办法》的出台有利于推动个人信息保护义务的充分履行,显著提升个人信息处理活动的透明性和合规性,推动我国个人信息保护工作进入全新阶段,为全球个人信息保护治理实践提供了有益的中国方案。 | 個人情報保護コンプライアンス監査は、個人情報処理者が個人情報保護義務を効果的に履行しているかを監督し、アセスメントする重要な制度である。「個人情報保護コンプライアンス監査管理弁法」(以下、「弁法」という)は、中華人民共和国個人情報保護法などの法令に基づき策定され、個人情報保護コンプライアンス監査制度の具体的な実施方法を明確かつ包括的に規定し、個人情報のセキュリティ保護と個人情報の合理的な利用という2つの立法目的を効果的にバランスさせている。 本措置の導入は、個人情報保護義務の完全な履行を促進し、個人情報の処理活動の透明性とコンプライアンスを大幅に強化し、中国の個人情報保護業務が新たな段階に進むことを促進し、世界的な個人情報保護のガバナンス慣行に有益な中国式ソリューションを提供することに役立つ。 |
| 在世界范围内,各国正在普遍推进个人信息保护合规审计制度的立法进程。欧盟《通用数据保护条例》(GDPR)第二十八条、第三十九条等条款均有提及数据保护审计制度的具体实施方式和义务主体范围。美国各州在各自立法权限内也设置了不同的审计要求,如《加州消费者隐私法》(CCPA)针对存在重大风险的企业,明确每年应当进行一次网络安全审计。英国《数据保护法案》(DPA)和《信息专员办公室(ICO)审计指南》中也提及了自愿性审计和强制性审计等数据保护审计的具体实施流程。 | 世界中で、各国は概ね個人情報保護コンプライアンス監査システムの立法プロセスを推進している。EU一般データ保護規則(GDPR)の第28条および第39条では、データ保護監査システムの具体的な実施方法と義務を負う事業者の範囲について言及している。 また、米国の各州も、それぞれの立法権限の範囲内で異なる監査要件を定めている。例えば、カリフォルニア消費者プライバシー法(CCPA)では、重大なリスクを抱える企業は年に1回サイバーセキュリティ監査を実施すべきであると明確に規定している。英国データ保護法(DPA)および情報コミッショナー事務局(ICO)監査ガイドラインでも、自主監査や義務監査など、データ保護監査の具体的な実施プロセスについて言及している。 |
| 然而,个人信息保护合规审计与各国的个人信息保护体系密切相关,目前并未形成完全统一的合规审计模式。《办法》以中国的个人信息保护实践问题为导向,立足于中国的个人信息保护制度特点,提供了不同于任何一个国家的“中国答案”。总结而言,该《办法》的创新之处主要表现为以下四个方面。 | しかし、個人情報保護コンプライアンス監査は各国の個人情報保護システムと密接に関連しており、現時点では完全に統一されたコンプライアンス監査モデルは存在しない。本施策は、中国の個人情報保護の実務上の問題に焦点を当て、中国の個人情報保護システムの特性に基づいており、他の国とは異なる「中国式の答え」を提供している。要約すると、本施策の革新は主に以下の4つの側面に反映されている。 |
| 第一,合理设置不同的审计模式,有效避免过重的义务负担。个人信息保护合规审计制度适用于所有类型的个人信息处理者,然而这些主体的业务合规能力有所差别,并且其所处理的个人信息数量、类型也不尽相同,所以,《办法》设置了外部审计和内部审计两种审计模式。外部审计是指个人信息处理者委托外部的专业机构进行合规审计;内部审计是指个人信息处理者自行开展个人信息保护合规审计。当国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门)发现个人信息处理活动存在较大风险,可能侵害众多个人的权益或者发生个人信息安全事件时,可以要求个人信息处理者采用外部审计模式。此外,《办法》明确规定处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。这将有助于对个人信息处理者的安全风险状况进行全方位、短周期地评估和审查。 | まず、異なる監査モデルが合理的に設定され、過剰な義務負担を効果的に回避している。個人情報保護コンプライアンス監査制度は、あらゆる種類の個人情報処理者に適用されるが、これらの事業体は、コンプライアンス能力のレベルが異なり、取り扱う個人情報の量や種類も異なる。そのため、本規定では、外部監査と内部監査という2つの監査モデルを設定している。外部監査とは、個人情報処理者が外部の専門機関に委託してコンプライアンス監査を実施することを指し、内部監査とは、個人情報処理者が自ら個人情報保護コンプライアンス監査を実施することを指す。 中国サイバー空間管理局およびその他の個人情報保護を担当する部門(以下、保護部門と総称する)が、個人情報の処理活動が多数の個人の権利および利益を侵害するリスクが高い、または個人情報セキュリティ事故が発生するリスクが高いと判断した場合、個人情報処理事業者に対して外部監査モデルを採用するよう要求することができる。 また、本規定では、1,000万人以上の個人情報を処理する個人情報処理事業者は、少なくとも2年に1回、個人情報保護コンプライアンス監査を実施しなければならないと明確に規定している。 これにより、個人情報処理事業者のセキュリティリスク状況を総合的かつ定期的にアセスメントおよびレビューすることが可能になる。 |
| 第二,明确专业机构、审计人员和审计活动的独立客观性。个人信息保护合规审计制度最重要的环节是确保合规审计活动的独立性和客观性,这样才能确保依据合规审计活动作出的审计结论能够真实地反映个人信息处理者的业务合规情况,进而对个人信息处理者提出针对性的审计建议。在专业机构方面,《办法》设置了“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”的要求,背后的原因正是为了预防专业机构在多次的合规审计活动中疏忽审计对象可能出现的新问题新情况,也能够有效避免专业机构与审计对象之间形成“黑幕交易”。在审计人员方面,《办法》对审计人员的审计行为和职业操守作出了详细规定,包括专业机构主要负责人、合规审计负责人应当在审计报告上签字并加盖专业机构公章,专业机构不得泄露或者非法向他人提供在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等。 | 第二に、専門機関、監査人、および監査活動の独立性と客観性が明確化された。個人情報保護コンプライアンス監査制度において最も重要なのは、コンプライアンス監査活動の独立性と客観性を確保し、コンプライアンス監査活動に基づく監査結論が、個人情報処理者の業務コンプライアンスを真に反映し、個人情報処理者に対して的を絞った監査勧告を提供できるようにすることである。 専門機関に関しては、本弁法は「同一の専門機関、その関連会社、および同一のコンプライアンス監査責任者は、同一の監査対象に対して連続3回を超えて個人情報保護コンプライアンス監査を実施してはならない」と規定している。その理由は、専門機関が複数回のコンプライアンス監査を実施する間に、監査対象に新たに発生した問題や状況を見落とすことを防止し、専門機関と監査対象との間の「癒着」を効果的に防止するためである。 監査人に関しては、監査実務および監査人の職業上の行為について詳細な規定を定めており、その中には、専門機関の主要責任者およびコンプライアンス監査の責任者が監査報告書に専門機関の公印を押印すること、専門機関が個人情報保護コンプライアンス監査の職務の履行により取得した個人情報、営業秘密、企業秘密などの情報を開示または違法に他人に提供してはならないことなどが含まれる。 |
| 第三,细化个人信息保护合规审计的重点审查事项。该《办法》的一大亮点在于配套设置了个人信息保护合规审计的具体审查事项,这些审查事项的设置以《中华人民共和国个人信息保护法》的具体规则作为上位法依据,指明了个人信息保护业务合规的核心内容。以知情同意规则为例,在实践中,社会公众对人脸识别技术应用背后的个人信息处理规则不甚了解,部分原因是个人信息处理者未能履行事前告知义务,并获取用户单独同意。那么按照该《办法》所提出的合规审计标准,即便个人信息处理者采用了用户协议的形式予以告知,但是倘若用户协议内容冗长晦涩,这类行为不符合“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则”审查要求,属于典型的业务合规不到位。 | 第三に、個人情報保護コンプライアンス監査の重点監査事項が規定されている。本弁法のハイライトの一つは、個人情報保護コンプライアンス監査の具体的な監査事項である。これらの監査事項は、上位法としての中華人民共和国個人情報保護法の具体的な規定に基づき、個人情報保護コンプライアンスの核心的内容を規定している。例えば、インフォームド・コンセントの規定を例にとると、実際には、識別技術の応用における個人情報処理のルールについて、一般の人々はよく理解していない。その理由の一つとして、個人情報処理者が事前通知の義務を履行せず、利用者の個別同意を取得していないことが挙げられる。 次に、本弁法に定められたコンプライアンス監査標準によれば、個人情報処理者が利用規約という形式で通知を行ったとしても、利用規約の内容が長大で不明瞭である場合、かかる行為は「個人に対して、個人情報処理規則を、目立つように、明確で理解しやすい言葉で、真実かつ正確で完全な内容で通知する」という審査要件を満たさないことになり、これはコンプライアンス業務が不十分である典型的な例である。 |
| 第四,充分发挥合规审计的监督和整改效果。该《办法》明确要求个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向保护部门报送整改情况报告。该要求凸显了合规审计的核心功能之一是通过客观公正的审计活动评估风险、发现问题,并为个人信息处理者提供更好的整改优化建议。因此,个人信息处理者不应当将此种制度视为额外的义务负担,而是另一种形式的业务合规优化机制。并且,为了实现个人信息保护合规的透明化,该《办法》还依据《中华人民共和国个人信息保护法》的规定将大型网络平台的个人信息保护社会责任报告纳入审计事项,形成了个人信息保护从落地实施到事后评估监督的制度闭环,也让社会公众能够更为直观地了解到自己的个人信息究竟如何被处理和安全保护。 | 第四に、モニタリングと是正のためにコンプライアンス監査を最大限に活用すべきである。本規定では、保護部門が個人情報処理者に個人情報保護コンプライアンス監査の実施を要求した場合、監査中に発見された問題を是正し、是正完了後15営業日以内に保護部門に是正報告書を提出することが明確に求められている。この要件は、コンプライアンス監査の中核的な機能の1つを強調している。すなわち、リスクをアセスメントし、問題を特定する客観的かつ公平な監査活動を通じて、個人情報処理者により適切な是正と最適化の提言を行うことである。 したがって、個人情報処理者は、このシステムを追加の負担ではなく、ビジネスコンプライアンス最適化メカニズムの別の形態と捉えるべきである。さらに、個人情報保護コンプライアンスの透明性を実現するために、本措置は、中華人民共和国個人情報保護法の規定に基づき、大手オンラインプラットフォームの個人情報保護社会的責任報告を監査事項に組み込み、実施から事後評価および監督までの個人情報保護のクローズドループシステムを形成している。これにより、一般市民は、自身の個人情報がどのように処理され、セキュリティが確保されているかをより直感的に理解できるようになる。 |
| 个人信息保护合规审计制度的优点在于,通过独立客观的审计活动,以《中华人民共和国个人信息保护法》等法律法规作为审计依据,“逐条逐项”地确保个人信息保护制度落地落实。个人信息保护是一项长期性、系统性和动态性的现代化治理活动,需要结合产业模式、科技创新的实践情况进行同步规划、同步监管、同步更新。该《办法》是我国个人信息保护立法工作的又一创新成果,有助于督促个人信息处理者切实保障好公民的个人信息权益,高效促进个人信息的合理利用和充分流动,夯实个人信息保护成效。(作者:赵精武,北京航空航天大学法学院副教授、院长助理) | 個人情報保護コンプライアンス監査システムの利点は、独立かつ客観的な監査活動を通じて、「中華人民共和国個人情報保護法」などの法律や規則に基づき、個人情報保護システムの「項目ごとの」実施を確実にすることである。個人情報保護は、産業モデルや技術革新の実践と併せて、計画、監督、更新を同時に行う必要がある、長期的かつ体系的な動的な現代のガバナンス活動である。 本弁法は、中国の個人情報保護に関する立法作業における新たな革新的成果である。本弁法は、個人情報処理者の監督を強化し、国民の個人情報の権利と利益を効果的に保護し、個人情報の合理的な利用と円滑な流通を促進し、個人情報保護の実効性を強化するものである。(執筆者:趙景武、北京航空航天大学法学院准教授、副院長) |
・2025.02.14 专家解读|建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙
| 专家解读|建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙 | 専門家による解説|個人情報保護のためのコンプライアンス監査制度の確立と改善により、個人情報セキュリティの強固な壁を構築 |
| 为了规范个人信息保护合规审计活动,保护个人信息权益,近日,国家网信办公布了《个人信息保护合规审计管理办法》(以下简称《办法》)。《办法》的公布实施,标志着我国在个人信息保护领域迈出了坚实而重要的一步,是对我国个人信息保护治理体系的发展和完善,对规范个人信息处理活动、促进个人信息合理利用具有重要意义。 | 個人情報保護コンプライアンス監査活動を規範化し、個人情報の権益を保護するため、中国サイバー空間管理局は最近、「個人情報保護コンプライアンス監査管理弁法」(以下、「弁法」と略す)を発表した。 弁法の公布と実施は、中国における個人情報保護分野における確固とした重要な一歩であり、中国の個人情報保護ガバナンスシステムの構築と改善、個人情報の処理活動の規範化、個人情報の合理的な利用の促進にとって重要な意義を持つ。 |
| 《办法》规定了开展个人信息保护合规审计的要求,明确了个人信息保护合规审计的频次、负责人、监督机构等内容,给出了个人信息保护合规审计重点审查事项,为开展个人信息保护合规审计工作提供了工作指引和制度保障。 | 本規定は、個人情報保護コンプライアンス監査の実施要件を規定し、個人情報保護コンプライアンス監査の頻度、責任者、監督機関などを明確にし、個人情報保護コンプライアンス監査における重点的な審査事項を提示することで、個人情報保護コンプライアンス監査の実施に関する作業指針と制度的な保障を提供している。 |
| 一、《办法》出台对加强个人信息保护具有重要意义 | 1.本措置は、個人情報保護の強化に非常に重要な意義を持つ |
| 党中央高度重视个人信息保护工作,习近平总书记对加强个人信息保护工作提出明确要求,多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。《办法》落实党中央决策部署,坚持以人民为中心的发展思想,聚焦个人信息保护领域的突出问题和人民群众的重大关切。 | 中国共産党中央委員会は、個人情報の保護を非常に重視している。習近平総書記は、個人情報の保護を強化するための明確な要求を打ち出し、個人情報のセキュリティを保護し、サイバー空間における市民の合法的な権利と利益を保護するために、「人民による人民のためのネットワークセキュリティ」という原則を堅持しなければならないと繰り返し強調している。本措置は、中国共産党中央委員会の決定と取り決めを実施し、人間中心の開発アプローチを堅持し、個人情報保護の分野における未解決の問題と市民の主な懸念に焦点を当てている。 |
| (一)《办法》是落实法律重要制度建设的具体举措。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规相继出台,为个人信息保护提供了基本的法律框架与制度设计。其中,《中华人民共和国个人信息保护法》提出个人信息处理者应当定期开展合规审计,以及在特定情况下按照履行个人信息保护职责的部门(以下简称保护部门)要求委托专业机构开展合规审计。《网络数据安全管理条例》提出网络数据处理者应当定期自行或者委托专业机构开展个人信息保护合规审计。《办法》对上位法中的原则性规定进行细化与落实,为个人信息保护合规审计工作提供了具体的制度保障和实施路径,进一步健全了我国的个人信息保护治理体系。 | (1)本施策は、重要な法制度の構築を具体的に実施するための措置である。中華人民共和国のデータセキュリティ法、中華人民共和国の個人情報保護法、オンラインデータセキュリティ管理規則などの法律や規則が相次いで公布され、個人情報保護のための基本的な法的枠組みと制度設計が提供されている。そのうち、中華人民共和国の個人情報保護法では、個人情報の処理者は定期的にコンプライアンス監査を実施しなければならず、一定の状況下では、個人情報保護業務を担当する部門(以下、保護部門)の要求に従って、専門機関に委託してコンプライアンス監査を実施しなければならないと規定されている。 オンラインデータ安全管理規定では、オンラインデータ処理者は、自ら定期的に個人情報保護コンプライアンス監査を実施するか、専門機関に委託して実施しなければならないと規定している。本措置は、上位法の原則規定をより明確化し実施し、個人情報保護コンプライアンス監査の具体的な制度上の保障と実施ルートを提供し、中国の個人情報保護のガバナンス体制をさらに改善するものである。 |
| (二)《办法》是加强个人信息保护的重要手段。数字经济时代,个人信息价值日益凸显,成为社会经济运行活动必不可少的组成部分,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《办法》的公布,有助于个人信息处理者和保护部门在检查、评估、认证的基础上,构建以审计为监督抓手的多层次个人信息保护体系,通过合规审计事项有效衔接各项个人信息保护工作,并以独立视角审查和评价个人信息处理活动,极大提高个人信息处理合规水平。 | (2)本措置は、個人情報保護を強化する重要な手段である。 デジタル経済の時代において、個人情報の価値はますます顕著になり、社会経済活動の不可欠な一部となっている。本措置の公布は、個人情報処理者および保護部門が、アセスメント、監査、認証を基礎として、監査および監督に基づく多層的な個人情報保護システムの構築を支援する。コンプライアンス監査は、効果的にさまざまな個人情報保護業務を結びつけ、個人情報処理活動を独立した視点から評価し、個人情報の処理におけるコンプライアンスのレベルを大幅に向上させる。 |
| (三)《办法》是提升个人信息保护合规水平的有效途径。近年来,随着我国个人信息保护工作深入开展,个人信息处理者的个人信息保护意识不断提升,如何衡量、提升个人信息处理合法合规水平成为个人信息保护工作的重点。个人信息保护是一个持续性、迭代性、动态性的过程,通过开展合规审计工作,不仅关注个人信息处理者存在的实质性违规行为,还可以发现解决个人信息处理者内部合规制度和措施落实过程中存在的问题。《办法》明确了重点审查事项,为个人信息保护合规审计的具体实施提供了指南,可以对个人信息保护合规落实情况进行评价、监督、完善,促进个人信息处理者做好个人信息保护合规建设,提升个人信息合规水平。 | (3) 措置は、個人情報保護のコンプライアンスレベルを向上させる有効な方法である。近年、中国の個人情報保護業務が深化するにつれ、個人情報処理者の個人情報保護意識も絶えず向上している。個人情報処理の法律遵守レベルをどのように測定し、向上させるかが、個人情報保護業務の焦点となっている。個人情報保護は、継続的かつ反復的な動的なプロセスである。コンプライアンス監査を実施することで、個人情報処理者の実質的な違反行為に注意を払うだけでなく、個人情報処理者の内部コンプライアンスシステムおよび措置の実施における問題を発見し、解決することもできる。 本措置は、個人情報保護コンプライアンス監査の具体的な実施における重点的な審査項目を明確にし、指針を提供している。これにより、個人情報保護コンプライアンスの実施状況を評価、監督、改善することができ、個人情報取扱事業者による個人情報保護コンプライアンスの構築を促進し、個人情報保護コンプライアンスのレベルを向上させることができる。 |
| 二、《办法》明确了个人信息保护合规审计的具体要求 | 2.本措置は、個人情報保護コンプライアンス監査の具体的な要求事項を明確にしている |
| (一)压实个人信息处理者个人信息保护合规审计义务。《办法》明确了个人信息处理者的个人信息保护合规审计义务。一是处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按要求选定专业机构,并为其在限定时间内完成合规审计工作提供必要支持,报送审计报告,对合规审计中发现的问题进行整改并在整改完成后15个工作日内向保护部门报送整改情况报告。三是处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 | (1)個人情報処理者に個人情報保護コンプライアンス監査の遵守を義務付ける。本措置は、個人情報処理者が個人情報保護コンプライアンス監査を遵守する義務を明確にしている。まず、1,000万人以上の個人情報を取り扱う個人情報処理者は、少なくとも2年に1回は個人情報保護コンプライアンス監査を実施しなければならない。 第二に、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する個人情報処理者は、必要に応じて専門機関を選定し、規定の期限内にコンプライアンス監査を完了できるよう必要なサポートを提供し、監査報告書を提出し、コンプライアンス監査で指摘された問題を是正し、是正完了後15営業日以内に是正報告書を保護部門に提出する。第三に、100万人以上の個人情報を処理する個人情報処理者は、個人情報保護コンプライアンス監査を担当する個人情報保護責任者を指定する。 重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務形態が複雑な個人情報処理者は、外部委員を主体とする独立機関を設立し、個人情報保護コンプライアンス監査を監督する。 |
| (二)规范专业机构个人信息保护合规审计管理机制。《办法》为个人信息处理者按照保护部门要求开展个人信息保护合规审计提供了基本依据。一是明确了保护部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计的情形。二是提出了专业机构能力要求,鼓励相关专业机构通过认证。三是明确了审计报告签字盖章要求。四是要求专业机构在开展合规审计时,做到遵守法律法规、诚信正直、公正客观、保守秘密,不得转委托其他机构。五是要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计,确保了合规审计的公正性。 | (2)専門機関による個人情報保護コンプライアンス監査の管理メカニズムを規範化する。本措置は、保護部門の要求に従い、個人情報処理者が個人情報保護コンプライアンス監査を実施するための基本的な基礎を提供する。まず、保護部門が個人情報処理者に対し、専門機関に個人情報処理活動のコンプライアンス監査を委託することを要求できる状況を明確にする。 第二に、専門機関の能力要件を規定し、関連する専門機関に認証の取得を奨励している。第三に、監査報告書の署名および捺印に関する要件を明確にしている。第四に、専門機関が法令を遵守し、誠実かつ公正で客観的であり、秘密を保持し、コンプライアンス監査を実施する際に他の機関に再委託しないことを求めている。第五に、コンプライアンス監査の公平性を確保するために、同一の専門機関およびその関連会社、および同一のコンプライアンス監査担当者が、同一の監査対象に対して連続して3回を超えて個人情報保護コンプライアンス監査を実施してはならないことを求めている。 |
| (三)明确个人信息保护合规审计重点审查事项。《办法》以附件形式提供了《个人信息保护合规审计指引》,明确了个人信息保护合规审计重点审查事项,对上位法要求进行了细化,涵盖面全、实施性强,确保个人信息保护合规审计实施可以有章可循,有效评价个人信息处理活动合规水平。一是对个人信息处理的合法性基础、处理规则,处理敏感个人信息、不满十四周岁未成年人个人信息等个人信息处理规则要求提出了重点审查事项。二是对向境外提供个人信息的要求提出了重点审查事项。三是对个人信息删除权保障、个人行使权利的申请受理和响应、个人信息处理规则解释说明等个人在个人信息处理活动中的权利要求提出了重点审查事项。四是对管理制度、安全技术措施、培训计划、个人信息保护负责人、个人信息保护影响评估、个人信息安全事件应急预案及相应处置等个人信息处理者的义务要求提出了重点审查事项。 | (3)個人情報保護コンプライアンス監査の重点監査項目の明確化 措置では、個人情報保護コンプライアンス監査の重点監査項目を明確にし、上位法の要求事項を精緻化し、かつ網羅性が高く、実施可能性の高い「個人情報保護コンプライアンス監査実施要領」を付属文書として規定し、これにより、個人情報保護コンプライアンス監査の実施を規範化し、個人情報の処理活動のコンプライアンスレベルを効果的に評価することを確保している。まず、個人情報の処理の法的根拠、処理規則、および機微個人情報や14歳未満の未成年者の個人情報の処理規則に関する重点監査項目を提案している。 第二に、外国への個人情報の提供に関する要求に焦点を当てている。第三に、個人情報の削除権、個人からの権利申請の受理と対応、個人情報の処理規則の説明など、個人情報の処理活動における個人の権利に焦点を当てている。第四に、管理体制、セキュリティ技術的対策、研修計画、個人情報保護責任者、個人情報保護影響評価、個人情報セキュリティ事故緊急対応計画および対応処理など、個人情報処理者の義務に焦点を当てている。 |
| 《办法》实施需要充分发挥国家标准的支撑作用,个人信息保护国家标准是我国个人信息保护治理体系的重要组成部分,也是落实《办法》的重要支撑。全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一归口技术组织,支撑保障有关政策法规,研制了个人信息安全规范、个人信息安全影响评估指南等个人信息保护重点标准,并正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供有力支撑。下一步,将持续发挥国家标准在《办法》实施过程中的重要支撑作用,加强个人信息保护合规审计领域的技术交流,推广个人信息保护合规审计优秀实践案例,为业界提供示范参考。(作者:范科峰,中国电子技术标准化研究院副院长) | 本措置の実施には、国家規格の全面的な支持が必要である。個人情報保護に関する国家規格は、中国の個人情報保護管理システムの重要な一部であり、また本措置の実施を支える重要な要素でもある。ネットワークおよびデータセキュリティに関する国家規格の統一技術組織である中国国家ネットワークセキュリティ標準化技術委員会は、関連する政策および規則を支持し、保護している。同委員会は、個人情報保護に関する主要な標準として、「個人情報セキュリティ仕様」や「アセスメントガイド」などを策定しており、現在、個人情報保護コンプライアンス監査に関する多数の主要標準および実用ガイドを策定中であり、本措置の実施を強力に支援する予定である。 次の段階では、国家標準が「施策」の実施において重要なサポート役を果たすことになるだろう。個人情報保護コンプライアンス監査の分野における技術交流が強化され、優れた個人情報保護コンプライアンス監査の実践事例が業界の模範的な参考事例として推進されることになるだろう。(執筆者:中国電子標準化研究院副院長 範克峰) |
・2025.02.14 专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力
| 专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力 | 専門家による解説:個人情報保護コンプライアンス監査を実施し、データセキュリティのガバナンスと監督能力を向上させる |
| 个人信息保护事关广大人民群众的切身利益,事关国家数据安全。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》要求“提升数据安全治理监管能力”。近日,国家网信办公布《个人信息保护合规审计管理办法》(以下简称《办法》),明确了个人信息保护合规审计的具体要求,对于完善我国个人信息保护制度体系、提高个人信息保护水平、提升数据安全治理监管能力具有重要意义。 | 個人情報の保護は、国民にとって、また国家のデータセキュリティにとっても極めて重要な関心事である。中国共産党第20期中央委員会第3回全体会議で採択された「全面的な改革をさらに深化させ、中国式の現代化を推進することに関する中国共産党中央委員会の決定」では、「データセキュリティガバナンスの管理能力を強化する」ことが求められている。このほど、中国国家インターネット情報弁公室(以下、中国サイバー空間管理局)は「個人情報保護コンプライアンス監査管理弁法」(以下、「弁法」)を公布し、個人情報保護コンプライアンス監査の具体的な要求を明確にした。これは、中国の個人情報保護体制の改善、個人情報保護レベルの向上、データセキュリティガバナンスの管理能力の強化にとって、非常に重要な意義を持つ。 |
| 一、《办法》体现了政府监管和行业自律二者并重的治理思路 | 1. 今回の措置は、政府の監督と業界の自主規制を同等に重視するガバナンスアプローチを反映している。 |
| 推动政府监管和行业自律形成合力,是提升数据治理能力的现实需要,也是《办法》制定中着重考虑的问题。一方面,《办法》明确了国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门)在个人信息保护合规审计中的监管职责,即个人信息处理者有以下情形之一的:(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(二)个人信息处理活动可能侵害众多个人的权益的;(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的,保护部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,承担审计费用,在限定时间内完成审计工作,并将专业机构出具的审计报告报送保护部门。此外,《办法》还明确,保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。 | 政府の監督と業界の自主規制の双方の取り組みを促進することは、データガバナンス能力の向上にとって現実的なニーズであり、今回の措置の策定における重要な考慮事項でもあった。一方、今回の措置では、個人情報保護コンプライアンス監査における国家サイバー空間管理局およびその他の個人情報保護業務を担当する部門(以下、総称して保護部門)の監督責任が明確化されている。すなわち、個人情報処理者が以下のいずれかの状況にある場合である。 (1) 個人情報の処理活動が、個人の権利と利益に深刻な影響を及ぼすリスク、またはセキュリティ対策が著しく欠如しているリスクが高いと認められる場合。 (2) 個人情報の処理活動が、多数の個人の権利と利益を侵害する可能性がある場合。 (3) 個人情報のセキュリティ事故が発生し、100万人以上の個人情報の漏洩、改ざん、紛失、または10万人以上のセンシティブな個人情報の漏洩、改ざん、紛失が発生した場合、保護部門は、個人情報の処理活動のコンプライアンス監査を専門機関に委託することを個人情報の処理者に要求することができる。 個人情報処理者は、専門機関が個人情報保護コンプライアンス監査業務を通常通り実施できるよう必要なサポートを提供し、監査費用を負担し、期限内に監査業務を完了させ、専門機関が発行した監査報告書を保護部門に提出しなければならない。さらに、本措置では、保護部門が個人情報処理者が実施する個人情報保護コンプライアンス監査を監督・検査することも明確に規定している。 |
| 另一方面,《办法》规定,个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《办法》明确要求,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计;处理100万人以上的个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 | 一方、本規定では、個人情報取扱事業者が自ら個人情報保護コンプライアンス監査を実施する場合、内部組織または専門機関に委託して、個人情報の取り扱いにおける法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。本規定では、1,000万人以上の個人情報を取り扱う個人情報取扱事業者は少なくとも2年に1回、個人情報保護コンプライアンス監査を実施しなければならないと明確に規定している。また、100万人以上の個人情報を取り扱う個人情報取扱事業者は、個人情報保護責任者を任命し、個人情報取扱事業者の個人情報保護コンプライアンス監査を担当させなければならないと規定している。 |
| 二、《办法》体现了部门主导和社会参与协同推进的治理方式 | 2. 措置は、部門のリーダーシップと社会参加を組み合わせたガバナンスアプローチを反映している |
| 监管部门主导和社会力量参与的协同,是提高数据治理能力的客观需要,也贯穿于《办法》的始终。《办法》明确开展个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动,系为了保护个人信息权益。一方面,《办法》规定,个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构。同时,《办法》也对保护部门的权限提出要求。例如,对同一个人信息安全事件或者风险,保护部门不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 規制のリーダーシップと社会参加の組み合わせは、データガバナンス能力の向上にとって客観的に必要であり、措置全体にも反映されている。措置では、個人情報保護コンプライアンス監査は、個人情報の権利と利益を保護するために、個人情報処理業者の個人情報処理活動が法律および行政法規に準拠しているかどうかを評価する監督活動であることが明確に規定されている。 一方、本規定では、保護部門の要求に従って個人情報保護コンプライアンス監査を実施する個人情報処理者は、保護部門の要求に従って専門機関を選定しなければならないと規定している。同時に、本規定では、保護部門の権限に関する要求も規定している。例えば、同じ個人情報セキュリティ事故またはリスクに関して、保護部門は、個人情報処理者に対して専門機関に委託して個人情報保護コンプライアンス監査を実施することを繰り返し要求してはならない。 |
| 另一方面,《办法》明确第三方专业机构可参与个人信息保护合规审计,并对其提出明确要求,如应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。要求专业机构在从事个人信息保护合规审计活动时,遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。要求专业机构不得转委托其他机构开展个人信息保护合规审计。同时,《办法》还明确应引入个人信息处理者外部人员参与监督的要求,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。此外,《办法》还鼓励社会大众积极参与,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。 | 一方、本弁法では、第三者専門機関が個人情報保護コンプライアンス監査に参加できることを明確に規定し、個人情報保護コンプライアンス監査を実施する能力、サービスに見合った監査人員、施設、設備、資金などを有していることなど、第三者専門機関に対する明確な要求事項を定めている。 専門機関は、個人情報保護コンプライアンス監査を実施する際に、法律法規を遵守し、誠実かつ公正に業務を遂行し、専門的かつ公正にコンプライアンス監査の判断を下し、個人情報保護コンプライアンス監査の職務を遂行する過程で取得した個人情報、企業秘密、営業秘密などの情報を機密として保持し、他者に開示または違法に提供してはならない。また、コンプライアンス監査が完了した後は、関連情報を適時に削除しなければならない。 専門機関は、個人情報保護コンプライアンス監査を他の機関に再委託してはならない。同時に、本規定では、個人情報処理者の外部要員が監督に関与すべきであるという要件も明確に導入している。重要なインターネットプラットフォームサービスを提供し、膨大な数のユーザーを抱え、複雑な業態を扱う個人情報処理者は、外部要員を主とする独立機関を設立し、個人情報保護コンプライアンス監査を監督すべきである。さらに、本規定では、一般市民の積極的な参加も奨励している。いかなる組織または個人も、個人情報保護コンプライアンス監査における違法行為について、保護部門に苦情を申し立てる権利を有する。 |
| 值得注意的是,《办法》明确提出,鼓励个人信息保护合规审计专业机构通过认证,专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行,这将为个人信息保护合规审计相关认证的创新和发展提供广阔的空间。 | 注目すべきは、本規定が専門的な個人情報保護コンプライアンス監査機関に認証取得を奨励していることを明確に述べている点である。専門機関の認証は、中華人民共和国認証および認定に関する規則の関連規定に従って実施される。これにより、個人情報保護コンプライアンス監査関連の認証の革新と発展に幅広い余地が生まれることになる。 |
| 三、《办法》体现了法律法规和政策举措有效衔接的治理模式 | 3. 本規定は、法律、規則、政策措置を有効に結びつけるガバナンスモデルを反映している |
| 实现法律法规和政策举措的有效衔接是提升数据治理能力的必然要求,是我国数据治理的优良传统和成功经验,也是《办法》的鲜明特点。《中华人民共和国个人信息保护法》明确规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《网络数据安全管理条例》明确规定,“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。 | 法律、規則、政策措置を有効に結びつけることは、データガバナンス能力の向上に不可欠な要件である。これは、中国のデータガバナンスにおける伝統的かつ成功した経験であり、本規定の特色でもある。 中華人民共和国の個人情報保護法では、「個人情報を処理する者は、個人情報を処理する際に、法律および行政法規の遵守状況について定期的にコンプライアンス監査を行わなければならない」こと、および「個人情報保護を担当する部門は、職務を履行する際に、個人情報の処理活動に比較的高いリスクまたは個人情報の安全に関する事件が存在することを発見した場合、規定された権限および手続きに従って、個人情報を処理する者の法定代表者または主要責任者に対して事情聴取を行うか、または個人情報を処理する者に委託して専門機関に個人情報の処理活動のコンプライアンス監査を行わせなければならない」ことが明確に規定されている。 「オンラインデータ処理者は、定期的に自らのコンプライアンス監査を実施するか、または専門機関に委託して、個人情報の処理における法律および行政法規の遵守状況を監査しなければならない」と明確に規定している。 |
| 为落实上述法律、行政法规规定,《办法》在合规审计指引部分进一步细化了相关要求,详细列出了二十七个方面的审查重点,包括对个人信息处理活动的合法性基础进行合规审计的重点审查事项,对个人信息处理规则进行合规审计的重点审查事项,对个人信息处理者履行告知个人信息处理规则义务进行合规审计的重点审查事项,对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的重点审查事项,对个人信息处理者委托处理个人信息进行合规审计的重点审查事项,对个人信息处理者利用自动化决策处理个人信息进行合规审计的重点审查事项,对个人信息处理者基于个人同意公开个人信息进行合规审计的重点审查事项等,充分体现了法律法规与政策举措的贯通和衔接。 | 上述の法律および行政規則を実行するために、本措置ではコンプライアンス監査ガイドラインで関連要件をさらに明確化し、個人情報処理活動の法的根拠のコンプライアンス監査、個人情報処理規則のコンプライアンス監査、個人情報処理規則の通知義務の履行に関する個人情報処理業者のコンプライアンス監査、個人情報処理業者による他の個人情報処理業者との個人情報の共同処理に関するコンプライアンス監査、 個人情報処理の委託に関するコンプライアンス監査の重点監査項目、個人情報処理における自動化された意思決定の利用に関するコンプライアンス監査の重点監査項目、および個人情報処理における個人の同意に基づく開示に関するコンプライアンス監査の重点監査項目は、法律、規則、政策措置の統合と関連性を十分に反映している。 |
| 《办法》的出台是我国个人信息保护事业进程中的重要节点,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。(作者:王志成,国家网信办数据与技术保障中心副主任) | 本措置の導入は、中国における個人情報保護の発展における重要なマイルストーンであり、中国の個人情報保護レベルの向上と、データセキュリティのガバナンスおよび監督能力の強化において重要な役割を果たすことになる。(執筆者:中国サイバー空間管理局データ・技術サポートセンター副センター長 王志成) |
・2025.02.14 专家解读|促进与规范合规审计 提升个人信息保护水平
| 专家解读|促进与规范合规审计 提升个人信息保护水平 | 専門家による解説|個人情報保護レベルの向上に向けたコンプライアンス監査の推進と規範化 |
| 个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合法律、行政法规的规定进行审查和评价的监督活动。《中华人民共和国个人信息保护法》第五十四条、第六十四条为合规审计提供了法律依据。《个人信息保护合规审计管理办法》(以下简称《办法》)则进一步细化了审计的具体实施规则,标志着我国个人信息保护监管体系进一步完善。 | 個人情報保護コンプライアンス監査とは、個人情報取扱事業者の個人情報の処理活動が法律および行政法規の規定に準拠しているかどうかを検査・評価する監督活動を指す。中華人民共和国個人情報保護法の第54条および第64条がコンプライアンス監査の法的根拠となっている。個人情報保護コンプライアンス監査管理弁法(以下、「弁法」という)は、監査の具体的な実施規則をさらに明確に規定しており、中国の個人情報保護監督管理体制のさらなる改善を意味する。 |
| 全球范围看,合规审计已经成为个人信息保护领域的标配。美国联邦贸易委员会早在2010年代便通过行政和解协议的方式要求谷歌和脸书通过第三方进行隐私审计。富有影响力的欧盟《通用数据保护条例》同样较早地引入了数据保护审计制度。除美国和欧盟外,俄罗斯《联邦个人数据法》、印度《数字个人数据保护法》等新近个人信息保护立法都纳入了合规审计相关内容。然而,全球范围内对个人信息保护领域审计制度的最佳实践尚未获得共识。立足于中国的数字经济与监管经验,《办法》在以下方面给出了中国方案。 | 世界的に見ると、コンプライアンス監査は個人情報保護分野における標準となっている。早くも2010年代には、米国連邦取引委員会が行政和解協議を通じてGoogleとFacebookに第三者によるプライバシー監査を行うことを要求した。影響力のあるEU一般データ保護規則も早期にデータ保護監査制度を導入した。米国やEUのほか、ロシア連邦個人データ法やインドデジタル個人データ保護法などの近年の個人情報保護関連法規もコンプライアンス監査関連の内容を取り入れている。 しかし、個人情報保護の分野における監査システムのベストプラクティスについては、世界的なコンセンサスは得られていない。中国のデジタル経済と規制に関する経験に基づき、本措置は以下の分野において中国独自のソリューションを提供している。 |
| 其一,明确审计的类型与形式。《办法》将个人信息保护合规审计分为两类:一是个人信息处理者自行定期开展的合规审计,二是依据履行个人信息保护职责的部门要求开展的合规审计。针对这两类审计,《办法》规定了不同的审计频率与触发条件。处理个人信息超过1000万人的个人信息处理者需每两年至少进行一次审计,其他个人信息处理者没有强制要求;对于依部门要求开展的审计,以发现较大风险或发生安全事件为触发条件。通过区分审计类型并细化要求,《办法》实现了“定期体检”与“专项检查”相结合的双重监管效果。这种分类设计不仅有助于提高审计的针对性,还能够有效平衡监管效率与企业负担。 | まず、監査の種類と形式が明確化されている。本措置では、個人情報保護コンプライアンス監査を2つのカテゴリーに分けている。1つは、個人情報処理者自身が定期的に実施するコンプライアンス監査であり、もう1つは、個人情報保護業務を担当する部門の要請により実施するコンプライアンス監査である。この2種類の監査について、本措置では異なる監査頻度とトリガー条件を規定している。 1,000万人以上の個人情報を取り扱う個人情報取扱事業者に対しては、少なくとも2年に1回の監査が義務付けられるが、それ以外の個人情報取扱事業者に対しては義務付けられていない。 また、部署の要請による監査については、重大なリスクが発見された場合やセキュリティインシデントが発生した場合に実施される。 このように、監査の種類を区別し、要求事項を精緻化することで、本施策は「定期健診」と「特別検査」という2つの規制効果を実現している。 この分類設計は、監査の的確性を向上させるだけでなく、規制の効率性と事業者の負担のバランスを効果的に調整することにも役立つ。 |
| 其二,强化审计的独立性与专业性。全球范围看,合规审计在美国、欧盟等法域已有所尝试,但过往域外针对谷歌、脸书的审计要求多流于形式,仅在于披露其存在个人信息保护的内部程序,而非实质效果。《办法》从独立性与专业性两方面入手,确保审计的实效性。独立性方面,《办法》规定依部门要求开展的审计必须由第三方专业机构进行,且同一机构连续服务同一对象的次数不得超过三次。这一规定有效避免了审计机构与被审计对象之间可能存在的利益关联,确保审计结果的客观公正。专业性方面,《办法》规定专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等,并鼓励相关专业机构通过认证。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。专业机构还需确保其诚信正直、公正客观地作出合规审计职业判断。上述规定有助于提升审计结果的公信力,推动个人信息保护合规审计从形式化向实质化转变,提升合规审计的专业水平。 | 第二に、監査の独立性と専門性を強化する。世界的に見ると、コンプライアンス監査は米国や欧州連合(EU)などの管轄区域で試みられてきたが、過去にはグーグルやフェイスブックに対する域外監査はほとんど形式的なものであり、実質的な成果を上げるというよりも、個人情報保護のための社内手続きの存在を明らかにすることが目的であった。本措置は、独立性と専門性の2つの側面から監査の実効性を確保している。 独立性の面では、本規定は、部門の要求に従って実施される監査は、第三者専門機関によって実施されなければならないと規定しており、同一の機関が同一の対象に対して連続して3回を超えてサービスを提供することはできない。この規定は、監査機関と監査対象の間に生じる可能性のある利益相反を効果的に回避し、監査結果の客観性と公平性を確保する。専門性の面では、本規定は、専門機関は個人情報保護コンプライアンス監査を実施する能力を有し、提供するサービスに見合った監査人員、施設、設備、資金を有していなければならないと規定している。本規定はまた、関連する専門機関が認証を取得するよう奨励している。 個人情報の処理者は、専門機関が個人情報保護コンプライアンス監査を適切に実施できるよう必要な支援を提供し、監査費用を負担しなければならない。また、専門機関は、コンプライアンス監査に関する専門的判断を行う際には、その完全性と公平性を確保しなければならない。以上の規定により、監査結果の信頼性が向上し、個人情報保護コンプライアンス監査が形式から実質へと転換し、コンプライアンス監査の専門的水準が向上する。 |
| 其三,规范依部门要求开展的审计程序。针对风险较大或发生安全事件时的审计,《办法》明确了职责部门、个人信息处理者与专业机构之间的协作程序。个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照部门要求对合规审计中发现的问题进行整改,并在整改完成后向部门报送整改情况报告。这一程序体现了“受规制的自我规制”理念,既发挥了专业机构的专业优势,又渗透了职责部门的公益判断。通过这种协作机制,《办法》在提升审计效率的同时,也强化了监管的针对性和实效性。 | 第三に、部門の要求事項に従って実施される監査手順を規定している。リスクやセキュリティインシデントが高い場合の監査については、本弁法は、責任部門、個人情報の処理者、専門機関の連携手順を明確にしている。個人情報の処理者は、コンプライアンス監査が完了した後、専門機関が発行した個人情報保護コンプライアンス監査報告書を個人情報保護業務を担当する部門に提出し、部門の要求事項に従ってコンプライアンス監査で指摘された問題を是正し、是正が完了した後、是正報告書を部門に提出する。 この手順は「規範化された自主規制」という概念を体現しており、専門機関の専門的優位性を活用するだけでなく、責任部門の公益的判断も取り入れている。この協力メカニズムにより、本弁法は監査の効率を高めるだけでなく、監督の適切性と有効性も高めている。 |
| 其四,避免审计对个人信息处理者造成不必要的负担。《办法》在确保审计效果的同时,注重减轻个人信息处理者的负担。对于定期审计,个人信息处理者可自行决定是否采用第三方专业机构审计,灵活适应自身业务状况。对于专业机构进行的审计,《办法》特别要求专业机构对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。 | 第四に、監査が個人情報の処理者に不必要な負担を強いることを回避する。本弁法は監査の実効性を確保する一方で、個人情報の処理者の負担軽減にも重点を置いている。 定期監査については、個人情報取扱事業者は、自らの経営状況に応じて、第三者専門機関に委託して監査を行うか否かを柔軟に判断することができる。専門機関による監査については、個人情報保護コンプライアンス・プログラムの遵守状況の監査において取り扱う個人情報、営業秘密、企業秘密等の秘密を厳格に保持し、他人に漏洩したり、不正に提供したりせず、コンプライアンス・プログラムの遵守状況の監査終了後、速やかに当該情報を削除しなければならないことが、本ガイドラインで明確に規定されている。 |
| 其五,建立全面的审计指引。《办法》的附件部分详细列出了审计指引,涵盖个人信息处理的合法性基础、处理规则、告知义务、共同处理与委托处理情形、个人信息转移等多个方面,全面反映了《中华人民共和国个人信息保护法》的义务体系,并提供了更具操作性的指引。目前,我国有关个人信息保护合规审计的标准化工作正在进行,上述参考要点为各层级技术标准的进一步落地与实操提供了重要的引导。指引的设置有力预防了个人信息处理者对《中华人民共和国个人信息保护法》及配套行政法规的目标虚置,同时为技术标准的细化提供了焦点。 | 第五に、包括的な監査ガイドラインを制定する。同弁法の付属文書では、個人情報の処理の法的根拠、処理規則、通知義務、共同処理および委託処理、個人情報の移転など、複数の側面をカバーする監査ガイドラインが詳細に規定されており、中華人民共和国個人情報保護法の義務制度を総合的に反映し、より実用的なガイドラインを提供している。現在、中国では個人情報保護に関するコンプライアンス監査の標準化が進められており、前述の参照点は、あらゆるレベルでの技術標準のさらなる実施と実用化に向けた重要な指針となる。 このガイドラインは、実質的に、個人情報の処理者が中華人民共和国の個人情報保護法およびその関連行政法規の目的をないがしろにすることを防ぎ、同時に、標準の改善に向けた焦点を提供している。 |
| 《办法》的出台是我国个人信息保护领域立法和监管体系的重要补充,标志着我国在个人信息保护合规治理方面迈出了实质性的一步。作为《中华人民共和国个人信息保护法》的关键配套制度,该《办法》首次系统性地构建了个人信息处理活动的合规审计框架,为个人信息处理者的合规实践与监管部门的执法提供了具体指引。从国际视角看,《办法》在借鉴国际经验的基础上,避免了合规审计的形式化,具有实质提升个人信息权益保护的潜力。《办法》的公布不仅是我国个人信息保护法治化进程的重要里程碑,也是推动数字经济高质量发展、构建信任社会的关键举措。未来,随着《办法》的施行,我国个人信息保护工作将迈向更高水平,为数字经济的可持续发展和治理现代化注入新的动力。(作者:丁晓东,中国人民大学法学院教授、未来法治研究院副院长) | 本措置の導入は、中国における個人情報保護の分野における立法および規制システムの重要な補完であり、中国の個人情報保護のコンプライアンス・ガバナンスにおける大きな前進を意味する。中華人民共和国個人情報保護法の主要な支援システムとして、本措置は、個人情報処理活動のためのコンプライアンス監査の枠組みを初めて体系的に確立し、個人情報処理者のコンプライアンス実践と規制当局による法執行のための具体的なガイドラインを提供している。国際的な視点から見ると、国際的な経験を活用している本措置は、コンプライアンス監査の形式性を回避し、個人情報の権利保護を大幅に改善する可能性を秘めている。 本規定の公布は、中国における個人情報保護の法制化プロセスにおける重要なマイルストーンであるだけでなく、デジタル経済の質の高い発展を促進し、信頼社会を構築するための重要な措置でもある。今後、本規定の実施に伴い、中国の個人情報保護業務はより高いレベルに達し、デジタル経済の持続可能な発展とガバナンスの近代化に新たな原動力を与えることになるだろう。(執筆者:丁孝東、中国人民大学法学院教授、未来法治研究所副所長) |
・2025.02.14 专家解读|出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航
| 专家解读|出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航 | 専門家による解説:個人情報保護コンプライアンス監査管理弁法の導入は、デジタル経済の持続的かつ健全な発展を保障する |
| 加强个人信息保护,是贯彻习近平总书记“网络安全为人民,网络安全靠人民”重要指示精神的体现。《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),是对《中华人民共和国个人信息保护法》审计要求的细化落实,明确了审计对象、审计条件和审计重点事项,为个人信息保护合规审计活动提供重要依据,是个人信息保护工作的里程碑。 | 個人情報の保護を強化することは、習近平総書記の「サイバーセキュリティは人民のためにあり、人民に依拠する」という重要な指示の実行を体現するものである。中華人民共和国個人情報保護法第54条では、個人情報の処理者は、個人情報の処理において、法律および行政法規の遵守状況について定期的にコンプライアンス監査を実施しなければならないと規定している。第64条では、個人情報の保護を職務とする部門は、職務の執行において、個人情報の処理活動にリスクが高いこと、または個人情報のセキュリティ事故が発生したことを発見した場合、個人情報の処理者に専門機関に委託して個人情報の処理活動のコンプライアンス監査を実施することを要求できると規定している。 最近、国家サイバースペース管理局(CAC)は、「個人情報保護コンプライアンス監査管理弁法」(以下、「本弁法」という)を発表した。これは、「中華人民共和国個人情報保護法」の監査要件を詳細に実施するものである。本弁法は、監査対象、監査条件、監査優先順位を明確にし、個人情報保護コンプライアンス監査の重要な基礎を提供し、個人情報保護における画期的な出来事となった。 |
| 一、为数字经济持续健康发展提供保障 | 1. デジタル経済の持続的かつ健全な発展を保証する |
| 在数据成为新生产要素的背景下,个人信息的安全利用有助于加速数据要素流通,深度释放数据价值,推动数字经济持续健康发展。违法违规收集使用个人信息、个人信息泄露等安全事件,严重影响了数据的深度挖掘、分析、利用和交易。为规避数据泄露、数据滥用的风险,有的个人信息主体不愿意提供更多的个人信息,有的个人信息主体在个人信息处理者征求个人同意时,选择拒绝或者尽可能少的授权,甚至提交非真实信息。缺乏信任除影响个人信息主体提供和披露其个人信息的积极性外,也成为个人信息处理者之间共享数据的障碍。 | データが新たな生産要素となる中、個人情報の安全な利用は、データ要素の循環を加速し、データの価値を引き出し、デジタル経済の持続的かつ健全な発展を促進する。 個人情報の違法な収集や利用、個人情報の漏洩などのセキュリティ事故は、データの徹底的な掘り起こし、分析、利用、取引に深刻な影響を与えている。 データ漏洩やデータ悪用のリスクを回避するために、一部の個人情報の主体は、個人情報を提供することを拒むようになっている。また、個人情報の処理者が同意を求める場合、同意を拒否したり、同意をできるだけ少なくしたり、あるいは虚偽の情報を提出したりする者もいる。 個人情報の主体が個人情報を提供したり開示したりすることへの意欲に影響を与えるだけでなく、信頼の欠如は、個人情報の処理者間のデータ共有の障害にもなっている。 |
| 合规审计将对个人信息处理者在收集、使用个人信息时遵循相关法律、行政法规的情况进行审查和评价,及时发现个人信息保护工作中存在的问题,纠正违法违规行为,提升个人信息保护水平。依法依规进行的个人信息保护合规审计能提升个人信息处理者的安全保障能力,增强个人信息主体对个人信息安全的信心,从而愿意提供更多的数据资源,也积极支持个人信息处理者的深度挖掘、利用和共享等。加强合规审计工作,是确保个人信息保护工作落到实处、取得实效的重要举措,也是推动数字经济健康发展的必然选择。 | コンプライアンス監査は、個人情報の収集および利用における個人情報取扱事業者の関連法規および行政法規への準拠性を評価し、個人情報保護における問題を迅速に特定し、法規違反を是正し、個人情報保護のレベルを向上させる。法規に則って実施される個人情報保護のコンプライアンス監査は、個人情報取扱事業者のセキュリティ能力を向上させ、個人情報主体が自らの個人情報のセキュリティに対してより強い信頼感を持つことを可能にする。これにより、個人情報主体はより多くのデータリソースを提供し、個人情報取扱事業者による個人情報の徹底的な発掘、利用、共有を積極的に支援するようになる。 コンプライアンス監査の強化は、個人情報保護業務が確実に実施され、成果を上げるための重要な措置であり、デジタル経済の健全な発展を促進するための必然的な選択でもある。 |
| 二、为个人信息处理者合规提供依据 | 2. 個人情報取扱事業者のコンプライアンスの基礎を提供する |
| 《中华人民共和国个人信息保护法》公布施行以来,国家网信部门以及其他履行个人信息保护职责的部门持续开展个人信息专项治理,个人信息保护工作取得阶段性成果,网民的个人信息保护意识显著增强,广大网民关注的隐私政策、强制索取权限、一揽子授权等问题有所改善。同时,超范围收集个人信息、个人信息泄露等问题还不同程度存在,需要进一步压实个人信息处理者个人信息保护主体责任,持续推进个人信息保护工作。 | 中華人民共和国個人情報保護法の公布・施行以来、国家サイバー空間管理部門およびその他の個人情報保護を担当する部門は、個人情報の特別管理を継続的に実施してきた。個人情報保護業務は段階的な成果を上げ、ネットユーザーの個人情報保護に対する意識は大幅に高まった。プライバシーポリシー、強制的なアクセス許可、包括的な許可など、一般市民が関心を寄せる問題は改善された。 同時に、範囲を超えた個人情報の収集や個人情報の漏洩などの問題は依然としてさまざまな程度で存在しており、個人情報の処理者に対する個人情報保護の主な責任をさらに強化し、個人情報保護の取り組みを継続的に推進していく必要がある。 |
| 《办法》坚持问题导向、底线思维,坚持个人信息利用和保护并重,回应了个人信息保护治理出现的新情况、新问题、新需求,具有较强的针对性和可操作性。个人信息处理者要深刻认识个人信息保护合规审计工作的重要性和紧迫性,通过落实《办法》,健全风险防范的法律体系,守住底线红线,确保个人信息依法依规收集和使用。通过开展个人信息保护合规审计工作,建立健全个人信息保护制度,提升个人信息安全意识,完善内部保护机构,强化个人信息安全保护措施,形成完整的个人信息合规矩阵,提升个人信息安全保护能力,将个人信息保护法的个人信息处理规则和安全保障义务传达至个人信息处理者的业务层面。 | 本施策は、問題解決型かつ本質的な思考を重視し、個人情報の利用と保護を同等に重視し、個人情報の保護管理における新たな状況、問題、ニーズに対応している。本施策は、非常に的を射ており、実行可能である。 個人情報処理者は、個人情報保護コンプライアンス監査の重要性と緊急性を深く理解すべきである。本措置の実施により、リスク予防のための法制度を改善し、ボトムラインとレッドラインを遵守し、個人情報の収集と利用が法律に従って行われることを確保すべきである。個人情報保護コンプライアンス監査を実施し、個人情報保護システムの構築と改善を行い、個人情報セキュリティ意識を高め、内部保護メカニズムを改善し、個人情報セキュリティ保護措置を強化し、個人情報コンプライアンスシステムを完備し、個人情報セキュリティ保護能力を向上させ、個人情報処理者の業務レベルに個人情報保護法の個人情報処理規則とセキュリティ義務を周知させることにより、個人情報コンプライアンスシステムが完備される。 |
| 三、推动个人信息保护审计工作做深做实 | 3. 徹底的かつ実用的な個人情報保護監査の推進 |
| 依法治网的本质,是为互联网健康有序发展提供保障。《办法》为个人信息处理者和审计机构依法依规开展个人信息保护合规提供了明确指引。为推动我国个人信息保护水平进一步提升,监管部门、各类个人信息处理者相关主体应积极落实《办法》的规定,加快适应规范化、常态化的个人信息保护要求。 | インターネットガバナンスの本質は、インターネットの健全かつ秩序ある発展を保証することである。本措置は、個人情報処理者および監査機関が法律に従って個人情報保護コンプライアンスを実施するための明確なガイドラインを提供している。中国における個人情報保護のレベルをさらに向上させるため、監督管理当局および各種の個人情報処理者は、本措置の規定を積極的に実施し、標準化および規範化された個人情報保護要件への適応を加速させるべきである。 |
| 一是妥善处理安全与发展的关系。个人信息安全牵一发而动全身,只有筑牢个人信息安全基石,才能保障个人信息安全合规的流通。这决定了个人信息合规审计监管工作要坚持保护与利用并重,把个人信息依法有序流动和合理开发利用作为个人信息保护合规审计监管工作的基本原则。要围绕个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节,依托个人信息合规审计等个人信息合规制度工具,建立涵盖个人信息整个生命周期的审计监管制度。同时也要看到,《办法》积极释放了调整改革信号,有利于提振市场主体信心。个人信息处理者严格落实《办法》,依法依规开展个人信息保护合规审计,有利于推动个人信息依法有序自由流动,让数据变成真正的活水,真正激发数据要素的价值。 | まず、セキュリティと発展の関係を適切に処理すべきである。個人情報のセキュリティは全体に影響する。個人情報のセキュリティの基礎を固めることによってのみ、個人情報の流通を安全かつ適法に確保することができる。このため、個人情報のコンプライアンス監査の監督は、保護と利用の両方を重視すべきであり、また、法律に従った個人情報の秩序ある流通と合理的な発展および利用を、個人情報の保護コンプライアンス監査の監督の基本原則とすべきである。 監査および監督システムは、個人情報の収集、保存、利用、処理、送信、提供、開示、削除のすべての側面をカバーし、個人情報保護監査およびその他の個人情報保護システムツールに依存して、個人情報のライフサイクル全体をカバーする監査および監督システムを確立すべきである。同時に、本措置が市場主体の信頼を高めるのに役立つ調整および改革を積極的に示している点にも留意すべきである。個人情報の処理者は、本措置を厳格に実施し、法律に従って個人情報保護監査を実施すべきである。これにより、法律に従った個人情報の秩序ある自由な流れが促進され、データが真の生きた水となり、データ要素の価値が真に刺激されることになる。 |
| 二是完善审计机制,健全合规能力。个人信息处理者应充分认识到审计工作的重要性和必要性,理解把握《办法》相关要求,加快建立与个人信息保护合规审计相适应的技术和管理体系,避免高风险事件的发生。个人信息处理者应理顺自主开展审计的流程和方式,自觉定期开展合规审计,并为审计机构提供必要的支持和协助,确保审计工作的顺利进行。各相关机构应加强对个人信息保护合规审计工作的宣传和教育,提高全社会对审计工作的认知度和支持度。 | 第二に、監査メカニズムを改善し、コンプライアンス能力を高めること。 個人情報の処理者は、監査業務の重要性と必要性を十分に認識し、本弁法の関連規定を理解し把握し、個人情報保護コンプライアンス監査と互換性のある技術・管理システムの構築を加速し、リスクの高い事故の発生を回避すべきである。 個人情報の処理者は、自主的に監査を行うプロセスと方法を合理化し、意識的に定期的にコンプライアンス監査を実施し、監査機関に必要な支援と協力を提供し、監査業務が円滑に進むようにすべきである。 関連するすべての組織は、個人情報保護コンプライアンス監査に関する宣伝と教育を強化し、社会全体における監査への意識と支持を高めるべきである。 |
| 三是打造专业队伍,形成科学方案。个人信息处理者委托专业机构开展审计工作时,专业机构应针对特定的审计对象,制定相适应的审计计划和方案。充分发挥中国网络空间安全协会个人信息保护专业委员会的作用,可以考虑在个保专委会下设立个保审计工作组,对个人信息保护专业审计机构和审计人员进行自律管理。加快完善审计机构行业自律规范,以团标先行的方式推动标准建设,引导专业机构建立科学的审计指标体系,客观评价被审计单位的合规情况,出具高质量审计报告。规范发展审计机构人员队伍,通过系统培训考试,使审计人员掌握个人信息保护的相关法律法规、技术标准规范,更加准确地理解和适用《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》相关要求,有效履行个人信息保护合规审计职责。(作者:杜阿宁,中国网络空间安全协会副秘书长) | 第三に、専門チームを構築し、科学的計画を策定すること。 個人情報処理者が専門機関に監査を委託する場合、専門機関は特定の監査対象に対して適切な監査計画とプログラムを策定すべきである。 中国サイバースペース・セキュリティ協会の個人情報保護委員会の役割を十分に発揮すること。 個人情報保護委員会の下に個人情報保護監査作業グループを設置し、個人情報保護専門監査機関と監査人を自主規制することを検討すべきである。 監査機関の業界自主規制規範の改善を加速し、団体標準による標準化を推進し、専門機関が科学的監査指標体系を確立し、被監査機関のコンプライアンスを客観的に評価し、高品質の監査報告書を発行するよう導く必要がある。また、監査機関の人材チームの育成を標準化し、体系的な研修と試験を通じて、監査担当者が関連法規および個人情報保護の技術標準と仕様を習得し、中華人民共和国個人情報保護法および個人情報保護コンプライアンス監査管理弁法の関連要件をより正確に理解し適用し、個人情報保護コンプライアンス監査の責任を効果的に果たせるようにする必要がある。 (執筆者:中国サイバーセキュリティ協会 副秘書長 杜安寧) |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.10.22 中国 ネットワークデータセキュリティ管理条例 (2024.09.30)
・2023.08.05 中国 国家サイバースペース管理局「個人情報保護遵守監査管理弁法(意見募集案) 」
« 欧州 ENISA 脆弱性管理および開示に関するEUCCガイドライン Ver1.1 (2025.02.12) | Main | オランダ データ保護庁 友情とメンタルヘルスのためのAIチャットbotアプリは時には不適切で有害 - AI及びアルゴリズム・リスクに関する報告書 (2025.02.12) »
Comments