ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

個人情報越境移転(域外移転)のための中国版標準契約(SCC)ひな型には何が書いてあるか

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転(越境)について中国版SCC(標準契約)規定のパブコメ稿を公開したのは、前回の記事で試訳を公開したとおり。

パブコメ原文はこちらのページにある。

国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

ではSCCの具体的なひな型はどうなっているのかといえば、このページにPDFファイルとして埋め込まれている。PDFファイルへの直リンクは下記。

http://www.cac.gov.cn/rootimages/uploadimg/1658205973324457/1658205973324457.pdf

以下、17ページある標準契約ひな型の契約書本文の部分を試訳する。

この記事は自分自身のための備忘録のようなものであり、筆者は法律の専門家ではないので、例によってこの試訳をゆめゆめ実務に利用されぬようお願いいたします。

試訳はここからスタート。

個人情報越境標準契約

域外受領者の個人情報処理活動が、中華人民共和国の関連する法律法規の規定する個人情報保護標準を達成することを確保し、個人情報処理者と域外受領者の個人情報保護の義務と責任を明確にするために、双方は合意の上、本契約に署名し、共同で順守する。

個人情報処理者名/住所/電話番号/メールアドレス/連絡先氏名/所属/国籍

域外受領者名/住所/電話番号/メールアドレス/連絡先氏名/所属/国籍

個人情報処理者は域外受領者と本契約の付録一「個人情報越境説明」が列挙する定めに基づいて個人情報越境に関する活動、その活動に関する商業行為を実施する。

本契約の本文は『個人情報越境標準契約規定』の要求に基づいて定められ、双方はその他の約定が付録二に詳述されている場合、付録が本契約の一部を構成する。

 第一条 定義

本契約において、文脈上他の意味に解すべき場合を除き、以下のように定義する。

(一)個人情報処理者あるいは域外受領者の一方を「一方」、総称を「双方」とする。

(二)「個人情報」と「機微個人情報」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

(三)「個人情報主体」は個人情報の示すあるいは関連する自然人を指す。

(四)「個人情報処理者」は『中華人民共和国個人情報保護法』に規定する意味に同じ。

(五)「域外受領者」は中華人民共和国国外に位置し、かつ、個人情報処理者から個人情報を受領する組織あるいは個人を指す。

(六)「監督機構」は中華人民共和国の省級以上の通信情報部門を指す。

(七)「関連する法律法規」は『中華人民共和国民法典』『中華人民共和国サイバーセキュリティ法』『中華人民共和国データセキュリティ法』『中華人民共和国個人情報保護法』『個人情報越境標準契約規定』等、中華人民共和国の法律法規と部門規則、および前述の法律法規と部門規則が修正、改正あるいは補充する法律法規と部門規則を指し、元の法律法規と部門規則に代わる後続の法律法規と部門規則を含む。

(八)本契約のその他未定義の用語の意味は関連する法律法規の規定する意味との一致を保持しなければならない。

 第二条 個人情報処理者の義務

個人情報処理者は以下のことを声明、保証、承諾する。

(一)関連する法律法規に基づいて個人情報を収集、使用等の処理を行う。越境個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

(二)個人情報主体に域外受領者の名称あるいは氏名、連絡方式、付録一「個人情報越境説明」内の関連する状況、および個人情報主体が権利を行使する方式と手続等の事項を告知し、個人単独の同意を取得する。ただし関連する法律法規が個人単独の同意の取得は不要と規定する場合は除く。

(三)域外受領者と本契約を締結することによって、個人情報主体を第三者受益者と定めることを、個人情報主体に告知する。個人情報主体が三十日以内に明確に拒絶しなければ、その契約に基づいて第三者受益者の権利を享受する。

(四)合理的な努力を尽くして域外受領者が本契約の規定する義務、かつ、以下のような技術と管理措置を採用できるよう確保する(個人情報の類型、数量、範囲および機微の程度、伝送する数量と頻度、個人情報の伝送および域外受領者の保存期限、個人情報処理の目的等がもたらす可能性がある個人情報セキュリティリスクを総合的に考慮すること)(例、暗号化、匿名化、去标识化、アクセス制御等の技術と管理措置)

(※訳注:去标识化の英訳はdeidentification、日本語訳が分からなかった)

(五)域外受領者の要求に応じて、関連する法律規定と技術標準の写しを域外受領者に提供する。

(六)監督機関の域外受領者の個人情報処理活動に関する照会に回答する。ただし域外受領者が回答することに双方が同意する場合を除く。その状況下で、域外受領者が要求された回答期限内に回答しなかった場合、個人情報処理者はその合理的に把握している情報に基づいて合理的な期限内に回答する。

(七)関連する法律に基づいて域外受領者に提供する個人情報の活動に対して個人情報保護影響評価を実施する。評価に際して以下を考慮する:

1.個人情報処理者と域外受領者の個人情報処理目的、範囲、方式等の合法性、正当性、必要性

2.越境個人情報の数量、範囲、類型、機微の程度、個人情報の越境が個人情報の権益にもたらす可能性のあるリスク

3.域外受領者が負うことを承諾する責任義務、および責任義務を履行するための管理と技術措置、能力等が越境個人情報のセキュリティを保障できるか否か

4.個人情報の越境後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権益を維持するための方式が明確であるか等

5.本契約第四条に基づいて現地の個人情報保護政策法規が本契約条項に及ぼす可能性のある影響を評価する

6.その他個人情報越境のセキュリティに影響する可能性のある事項

個人情報保護影響評価報告は少なくとも三年間保存する。

(八)個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報(例えば保護を受けるべき知的財産権の内容等)を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な摘要を提供することで契約内容の理解を助けることを承諾する。

(九)本契約の義務を履行していることを証明する証拠を提出する責任を承諾する

(十)関連する法律法規の要求に基づいて監督機関に第三条第(十)項に述べる情報を提供し、すべての監査結果を含める。

 第三条 域外受領者の義務

域外受領者は以下のことを声明、保証、承諾する。

(一)付録一「個人情報越境説明」が列挙する内容に基づき、処理する個人情報を定める。個人情報主体に事前の同意を取得している場合を除く。

(二)個人情報主体の要求に基づいて個人情報主体に本契約の写しを提供する。商業機密あるいはその他の機密情報(例えば保護を受ける知的財産権の内容等)を保護するのに必要な範囲内で、写しを提供する前に本契約に対して関連する内容を適切に黒塗りすることができる。ただし個人情報主体に有効な要約を提供することでその契約内容の理解を助けることを承諾する。

(三)越境個人情報の範囲は処理目的の実現に必要な最小範囲に限定する。

(四)個人情報の保存期限は処理目的の実現に必要な最短時間に限定する。上述の保存期限を超えた後、個人情報(すべてのバックアップを含む)に対して削除あるいは匿名化処理を実施する。個人情報主体から保存期間に関して単独の同意を取得している場合を除く。個人情報処理者の委託を受けて個人情報を処理する際は、削除あるいは匿名化後、個人情報処理者に関連する監査報告を提供する。

(五)以下の方式に基づき、個人情報処理のセキュリティを保障する

1.有効な技術と管理措置を採用し、個人情報のセキュリティを確保する。個人情報が予期せぬあるいは不法な破壊、紛失、改ざん、未認証の提供やアクセス(以下「データ漏えい」と略称)を受けることを防止することを含む。この義務を履行するため、第二条第(四)項に規定する技術と管理措置を採用する。定期検査を実施し、これらの措置を継続的に適切なセキュリティレベルに維持することを確保する。

2.認証された個人情報処理人員が機密保持義務を履行することを確保し、かつ、最小アクセス権限コントロールポリシーを確立し、前述の人員が職責に必要最小限の個人情報のみにアクセスできるようにし、かつ、職責を完了するのに必要最小限のデータのみを操作する権限を有するようにする。

(六)処理する個人情報にデータ漏えいが発生した場合、

1.すみやかに適切な修復措置を採用し、個人情報主体に生じる不利な影響を軽減する。

2.直ちに個人情報処理者に通知し、かつ、関連する法律法規の要求に基づいて中華人民共和国の監督機関に報告する。通知には以下の内容を含む。

(1)個人情報漏えいの原因

(2)漏えいした個人情報の種類と発生しうる危害

(3)採用した修復措置

(4)個人が採用できる危害軽減措置

(5)処理データ漏えいの責任を負う責任者あるいは責任団体の連絡方式

3.関連する法律法規が個人情報主体への通知を要求している場合、通知の内容は前述の第2項の内容を含む

4.データ漏えいに関する事実およびその影響のすべてを記録し、かつ、保存する。採用したすべての修復措置を含む。

5.個人情報処理者の委託を受けて個人情報を処理する際は、個人情報処理者が前述の第三項の規定する個人情報主体への通知義務を負う。

(七)個人情報を中華人民共和国の域外の第三者に提供しない。以下の要求に同時に符合する場合を除く。

1.確実に業務の必要があって個人情報を提供する場合

2.当該第三者の身分、連絡方式、処理目的、処理方式、個人情報の種類および個人情報主体が権利を行使する方式と手続等の事項を、個人情報主体に告知する場合。かつ、個人単独の同意を取得する。関連する法律法規の規定する個人単独の同意を取得する必要のない場合を除く。十四歳未満の未成年者の個人情報の場合、未成年者の父母あるいはその監督保護人の同意を取得する。法律、行政法規が書面による同意を取得しなければならないと規定している場合は、書面による同意を取得する。関連する法律法規が書面による同意を取得する必要がないと規定している場合を除く。告知が困難な場合、あるいは個人情報主体単独の同意を取得するのが困難な場合は、すみやかに個人情報処理者に告知し、かつ、個人情報主体への告知あるいは個人情報主体単独の同意の取得を支援するよう個人情報処理者に求める。

3.第三者との書面による合意によって、第三者の個人情報保護レベルが中華人民共和国の関連する法律法規の規定する個人情報保護標準より低くならないことを保障し、かつ、再提供が原因で個人情報主体に対して損害を生じた場合は連帯責任を負う。

4.個人情報処理者に当該合意の写しを提供する。

(八)個人情報処理者の委託を受けて個人情報を処理し、第三者に処理を再委託する際は、事前に個人情報処理者の同意を得る。再委託する第三者が本契約付録一「個人情報越境説明」に定める処理目的、処理方式等を超えて個人情報を処理しないことを確保し、かつ、当該第三者の個人情報処理活動に対して監督を行う。

(九)個人情報を利用して自動化決定を行う際は、決定の透明度と結果の公平、公正を保証し、個人に対する取引価格等の取引条件において非合理的な差別待遇を行わない。自動化決定方式によって個人にリコメンデーション、プロモーションを行う際は、同時にその個人の特徴に対するものではない選択肢、あるいは容易な拒否方式を提供する。

(十)個人情報処理者に必要な情報を提供することを承諾し、それをもって本契約内に規定する義務の順守を証明する。個人情報処理者がデータとファイルに対して査閲を行うことを許可し、あるいは本契約の対象となる処理活動に対して監査を実施することを許可する。査閲あるいは監査の実施を決定した際は、個人情報処理者が自らあるいは第三者に委託して監査を行うための便宜を提供し、かつ、個人情報保護方面の資格認証の所持状況を個人情報処理者の要求に基づいて提供する。

(十一)個人情報処理活動の実施について客観的な記録を行う。記録は少なくとも三年間保存する。関連する法律法規の要求に基づいて直接あるいは個人情報処理者を通じて監督機関に関連する記録データを提供する。

(十二)本契約の実施の監督に関連する手続きにおいて、監督機関の監督を受けることに同意する。監督機関からの照会に回答することを含むがそれに限定されない。監督機関の検査に協力し、監督機関の採用する措置あるいは決定に服従し、かつ、必要な行動を採用したことを証明する書面を提供する。

 第四条 現地の個人情報保護政策法規が本契約の順守に与える影響

(一)合理的な努力によってもなお、域外受領者の所在する国家あるいは地区の個人情報保護政策法規(いかなる個人情報提供の要求、あるいは公共機関の個人情報へのアクセスについての規定も含む)を知りえない場合、域外受領者が本契約の規定を履行する義務が停止されることを、双方はここに保証する。

(二)第四条(一)の保証を提供する際、すでに以下の要素を考慮していることを、双方は声明する。

1.越境の具体的状況、伝送する個人情報の類型、数量、範囲および機微の程度、伝送の規模と頻度、個人情報の伝送および域外受領者の保存期限、個人情報の処理目的、域外受領者による類似の個人情報を越境伝送と処理に関連する以前の経験、域外受領者が以前データセキュリティ関連のインシデントを発生させたか、およびすみやかに有効な対処をしたか、域外受領者が以前所在地の国家あるいは地区の公共機関の要求を受けて、個人情報の請求および域外受領者の対応状況を提供したことがあるか。

2.域外受領者の所在する国家あるいは地区の個人情報保護政策法規には、以下の要素を含む

(1)当該国家あるいは地区の現行の個人情報保護法律法規および普遍的に適用される標準的な状況

(2)当該国家あるいは地区が加盟している区域あるいはグローバルな個人情報保護方面の組織、および具体的な拘束力のある国際的な同意。

(3)当該国家あるいは地区が実施している個人情報保護制度。例えば個人情報保護の監督執行機関と関連する司法機関等を備えているか否か。

3.域外受領者のセキュリティ管理制度と技術手段の保証能力。

(三)域外受領者は、第四条(二)に基づいて評価を実施する際、個人情報処理者に必要な情報を提供するため最大限の努力をすることを、域外受領者は保証する。

(四)双方は第四条(二)に基づいて実施する評価の過程と結果を記録しなければならない。

(五)域外受領者の所在する国家あるいは地区の個人情報保護政策法規に変化が生じたために(域外受領者の所在する国家あるいは地区の法律改正、あるいは強制力のある措置の採用を含む)、域外受領者が本契約を履行できなくなった場合、域外受領者は前述の変化を知った後、直ちに個人情報処理者に通知しなければならない。

第五条 個人情報主体の権利

双方は、関連する法律法規に基づき、個人情報主体を第三者受益者として執行する本契約中の双方の個人情報保護の義務についての権利を付与する。

(一)個人情報主体は関連する法律法規に基づき、知る権利、決定権、他者がその個人情報を処理を制限あるいは拒否する権利、査閲兼、複製権、変更と補充の権利、削除権、およびその個人情報処理規則について解釈と説明を要求する権利を有する。

(二)個人情報保護主体がすでに越境している個人情報に対して上述の権利を行使する際、個人情報主体は個人情報処理者が適切な措置を採用実施することを請求し、あるいは直接域外受領者に対して請求することができる。個人情報処理者が実現できない場合は、域外受領者に対して実現への協力を通知かつ要求しなければならない。

(三)域外受領者は個人情報処理者の通知に基づいて、あるいは個人情報主体の請求に基づいて、合理的な期間内に個人情報主体が関連する法律法規に基づいて行使する権利を実現しなければならない。  域外受領者は明示的な方式で、明晰かつ理解しやすい言語で、真正に、正確に、完全に個人情報主体に関連する情報を告知しなければならない。

(四)個人情報主体が過剰で非合理的な要求を提出した場合、とくに重複した要求をした場合、域外受領者は要求が許容する実施と作業のコストを考慮した後に、合理的な費用を徴収するか、あるいはその要求の実施を拒否することができる。

(五)域外受領者が個人情報主体の請求を拒否した場合、個人情報主体にその拒否の理由、および個人情報主体が関連する監督機関に苦情を提出し、司法救済を求める方法を告知しなければならない。

(六)個人情報主体が本契約の第三者受益者として、個人情報処理者と域外受領者のいずれかに本契約の下、個人情報主体の権利に関する以下の条項を履行するよう主張かつ要求する権利を有する。

1.第二条、ただし第二条(四)(五)(六)(十)を除く

2.第三条、ただし第三条(六)の2と4、(八)、(十)、(十一)、(十二)を除く

3.第四条

4.第六条

5.第七条

6.第八条(三)、(四)、(六)

7.第十条(四)、(六)

第六条 救済

(一)域外受領者は組織内の連絡先担当者を一名定め、関係する個人情報処理の照会あるいは苦情に回答する権利を与え、かつ個人情報主体からのいかなる照会あるいは苦情についてもすみやかに処理しなければならない。域外受領者は連絡先の情報を個人情報処理者に告知しなければならない。かつ、容易に理解できる方式で、単独の通知あるいはウェブサイトの公告によって、個人情報主体に当該連絡先の情報を告知しなければならない。具体的には:

連絡先および連絡方式(事業所の電話番号あるいはメールアドレス)

(二)個人情報主体がその一方と本契約の順守について紛争を発生させた場合、相互に関連する状況を通知し、かつ、すみやかに共同で紛争を解決しなければならないことに、双方は合意する。

(三)紛争が有効に解決できない場合、個人情報主体は第六条(二)に基づいて第三者受益者の権利を行使し、域外受領者は個人情報主体から以下の権利維持の主張を受ける。

1.監督機関への苦情提出

2.第九条(四)に規定する裁判所への提訴

(四)域外受領者は関連する個人情報主体が本契約の紛争の解決を中華人民共和国の関連する法律法規に基づいて行うことに同意する。

(五)域外受領者は個人情報主体が権利維持のために行う選択が、個人情報主体がその他法律法規に基づいて求める救済の実体的あるいは手続き上の権利を減損しないことに同意する。

第七条 契約解除

(一)域外受領者が本契約の規定する義務に違反した場合、違約行為が是正されるまで、あるいは契約が解除されるまで、情報処理者は暫定的に域外受領者への個人情報伝送を停止することができる。

(二)以下の状況の一つでも発生した場合、個人情報処理者は本契約を解除し、かつ、必要な場合監督機関に通知する権利を有する。

1.個人情報処理者が第七条(一)の規定に基づき域外受領者への個人情報伝送を暫定的に停止した機関が一か月を超えた場合

2.域外受領者が本契約を順守しながらその所在する国家の法律規定に違反した場合

3.域外受領者が本契約の規定する義務に重大なあるいは継続的な違反をした場合

4.域外受領者の主管裁判所あるいは監督機関による上訴不可能な最終判決に基づき、域外受領者あるいは個人情報処理者が本契約の規定に違反した場合

5.域外受領者が破産、解散あるいは清算された場合。個人または組織名義によって提出された域外受領者に関する法に基づく解散請求が法定期限内に取り消されなかった場合、域外受領者が解散の決定をした場合、域外受領者が破産管理人に指定された場合、域外受領者が自ら破産、解散あるいは清算手続きを行った場合、域外受領者がその国家あるいは地区で類似の状況を呈した場合のいずれであるかにかかわらない。

 前述の1、2、あるいは4の状況下で、域外受領者は本契約を解除できる。

(三)監督機関が関連する法律法規に基づいて個人情報越境に関する決定を行った場合、例えば個人情報越境セキュリティ評価等により本契約が執行不能に至った場合、双方いずれも本契約を解除できる。

(四)双方当事者が契約解除に同意した場合。ただし本契約の解除は個人情報の処理過程にある個人情報の保護義務を決して免除するものではない。

(五)契約解除の際、域外受領者はすみやかに本契約に基づいて受領した個人情報を返却、消去破壊あるいは匿名化処理しなければならない。かつ、すでに消去破壊あるいは匿名化処理したことの監査報告を提供しなければならない。

第八条 違約責任

(一)双方は本契約に違反したことにより相手方に与えたいかなる損害についても責任を負う。

(二)双方の間の責任は違約していない側が受けた損失に限定される。

(三)双方のいずれも、本契約に違反したことにより個人情報主体が第三者受益者として享受する権利を侵害した場合、個人情報主体に対する責任を負わなければならない。個人情報主体は賠償を得る権利を有する。このことは個人情報処理者が関連する法律法規の条項の下負うべき責任に影響しない。

(四)個人情報処理者と域外受領者は、本契約に違反したことにより共同で個人情報主体に対して生じたいかなる物質的あるいは非物質的損害についても連帯責任を負う。

(五)一方(「賠償側」)がもう一方(「賠償請求される側」)の本契約に対する違反行為によって、個人情報主体に対する連帯責任を負い、かつ、賠償側が負う連帯責任がその負うべき責任の部分を超える場合、賠償側は賠償請求される側に追加の賠償請求を行う権利を有することに、双方は同意する。

(六)第八条(三)と第八条(四)の規定にかかわらず、個人情報処理者は域外受領者が本契約に違反し、個人情報主体にいかなる物質的、非物質的損失を生じた場合でも、個人情報主体に責任を負い、個人情報主体はそれに対して損害賠償責任を主張する権利を有する。

(七)個人情報処理者が第八条(六)に基づき域外受領者が生じさせた損害によって責任を負った場合、域外受領者に損害賠償を請求する権利を有することに、双方は同意する。

第九条 その他

(略)

付録一

個人情報越境説明

本契約に基づき域外提供する個人情報の詳細を以下のとおり定める。

(一)伝送する個人情報は以下の種類の個人情報主体に属する。

(二)伝送は以下の目的による

(三)伝送する個人情報の数量

(四)越境する個人情報の種別(参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準)

(五)越境する機微個人情報の種別(参考 GB/T 35273『情報セキュリティ技術 個人情報セキュリティ規範』と関連する標準)

(六)域外受領者が伝送する個人情報は以下の受領者にのみ提供する

(七)伝送方式

(八)越境後の保存期間

(九)越境後の保存場所

(十)その他の事項(状況を見て追記)

付録二

双方が約定するその他条項(必要に応じて)

中国政府が個人情報の域外移転について中国版SCC法案のパブコメ開始

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転(越境)について中国版SCC(標準契約)規定のパブコメ稿を公開した。

国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

以下、試訳する。筆者は法律の専門家ではないので、例によってこの試訳をゆめゆめ実務に利用されぬようお願いいたします。

個人情報越境標準契約規定(パブコメ稿)

第一条 個人情報の越境活動を規制し、個人情報の権益を保護し、個人情報の国境を越えたセキュリティ、フリーフローを促進するため、『中華人民共和国個人情報保護法』に基づいて本規定を制定する。

第二条 個人情報処理者は『中華人民共和国個人情報保護法』第三十八条一(三)項に基づき、域外受領者と国外に提供する個人情報に関する契約を締結する場合、本規定に基づいて個人情報越境標準契約(以下「標準契約」と略称)を締結しなければならない。

個人情報処理者は域外受領者と個人情報越境活動に関するその他の契約を締結する場合、標準契約と衝突してはならない。

第三条 標準契約に基づいて個人情報の越境活動を展開する際は、自主的な契約の締結と登録申請による管理を組み合わせて堅持し、個人情報越境のセキュリティリスクから防護し、個人情報の法に基づく秩序あるフリーフローを保障しなければならない。

第四条 個人情報処理者は以下の状況を同時に満たす場合、標準契約の締結の方式で個人情報を域外に提供することができる

(一)重要情報インフラ施設運用者ではないこと

(二)処理する個人情報が100万人に満たないこと

(三)毎年1月1日以降に域外提供する個人情報が累計で10万人に達しないこと

(四)毎年1月1日以降に域外提供する機微な個人情報が累計で1万人に達しないこと

第五条 個人情報処理者は個人情報を域外提供する前に、個人情報保護の事前影響評価を行い、以下の内容を重点的に評価しなければならない

(一)個人情報処理者と域外受領者の個人情報処理の目的、範囲、方式等の合法性、正当性、必要性

(二)越境する個人情報の数量、範囲、類型、機微の程度、個人情報の越境が個人情報の権益にもたらす可能性のあるリスク

(三)域外受領者が負うべき責任と義務、および責任と義務を履行するための管理と技術的措置、能力等が越境個人情報のセキュリティを保障できるかどうか

(四)個人情報の越境後の漏えい、毀損、改ざん、濫用等のリスク、個人が個人情報の権益を維持するための手段が明確になっているか

(五)域外受領者の存在する国家あるいは地区の個人情報保護政策法規の標準契約の履行に対する影響

(六)その他個人情報の越境のセキュリティに影響する可能性のある事項

第六条 標準契約は以下の主要な内容を含むこと

(一)個人情報処理者と域外受領者の基本情報、名称、住所、連絡先氏名、連絡方式などを含むがこれらに限定されない

(二)個人情報の越境目的、範囲、類型、機微の程度、数量、方式、保存期限、保存場所等

(三)個人情報処理者と域外受領者の個人情報保護の責任と義務、および個人情報の越境がもたらす可能性のあるセキュリティリスクからの防護のために採用する技術と管理措置等

(四)域外受領者の存在する国家あるいは地区の個人情報保護政策法規の、本契約条項に対する影響

(五)個人情報主体の権利、および個人情報主体の権利を保障する方法と方式

(六)救済、契約解除、違約責任、紛争解決等

第七条 個人情報処理者は標準契約の発効後10営業日以内に、所在地の省級の通信情報部門に登録申請しなければならない。登録申請には以下の資料を提出しなければならない

(一)標準契約

(二)個人情報保護影響評価報告

個人情報処理者は登録申請資料の真実性に対して責任を持つ。標準契約の発効後個人情報処理者は直ちに個人情報の越境活動を実施してよい。

第八条 標準契約の有効期限内に以下の状況が一つでも発生した場合、個人情報処理者は標準契約の締結ならびに登録申請を再び実施しなければならない

(一)域外に個人情報を提供する目的、範囲、類型、機微の程度、数量、方式、保存期限、保存場所と域外受領者の個人情報処理用途、方式に変化が発生した場合、あるいは、個人情報の域外保存期限を延長する場合

(二)域外受領者の存在する国家あるいは地区の個人情報保護政策法規に変化が発生する等、個人情報の権益に影響する可能性がある場合

(三)個人情報の権益に影響する可能性があるその他の状況

第九条 標準契約の登録申請に参与する機構と人員は職責履行中に知り得た個人のプライバシー、個人情報、取引機密、業務機密情報等を法に基づいて保護し、漏えいあるいは不法に他者に提供、不法に使用してはならない。

第十条 いかなる組織と個人も個人情報処理者が本規定に違反するのを発見した場合、権限のある省級以上の通信情報部門に苦情を申し立て、通報すること。

第十一条 省級以上の通信情報部門が標準契約の締結による個人情報越境活動について、実際の処理の過程で個人情報の越境セキュリティ管理の要求に符合しないことを発見した場合、個人情報処理者に書面をもって個人情報の越境活動の中止を通知しなければならない。個人情報処理者は通知を受領後、直ちに個人情報の越境活動を中止しなければならない。

第十二条 個人情報処理者が本規定に基づき、域外受領者と標準契約を締結し個人情報を域外提供する際、以下の状況が一つでも発生した場合、省級以上の通信情報部門は『中華人民共和国個人情報保護法』の規定に基づき、期限を決めて改正を命じる。改正を拒否あるいは個人情報の権益に損害を与えた場合、個人情報の越境活動を中止するよう命じ、法に基づいて処罰する。犯罪を構成する場合、法に基づいて刑事責任を追及する。

(一)登録申請手順の未履行あるいは虚偽の資料を提出して登録申請した場合

(二)標準契約に定める責任義務の未履行により、個人情報の権益に損害を生じた場合

(三)個人情報の権益に影響するその他の状況が発生した場合

十三条 本規定は__年__月__日より施行する。

試訳は以上。

台湾の軍事オタク大学生が公開情報だけから人民解放軍の基地地図を作った件

台湾東呉大学音楽学科の温約瑟さんが、公開情報だけで中国大陸にある人民解放軍基地の地図を作り上げ、ネットに公開したという件。

台湾メディアでは大々的に取り上げられているが、日本で取り上げたのは台湾中央通訊社の日本語版サイトくらいだったようだ。後追いで日本メディアも取り上げる可能性はあるが。

japan.focustaiwan.tw

こちらが同じ中央通訊社の現地記事。

www.cna.com.tw

ちなみに温約瑟さんの「約瑟」は中国語でJoseph(ジョゼフ)の音訳。

中央通訊社の日本語版記事は要約されすぎているので、その他台湾メディアの記事で補足すると以下のようになる。

news.ttv.com.tw

www.setn.com

  • 温さんは今回の地図について、汪浩が司会を務め、産経新聞台北支局長・矢板明夫氏が出演する中華電視の番組『三国演義』に招かれて経緯を語った。
  • 2020年発行の中国の軍事雑誌『艦船知識』が「台湾兵力部署概略図」を公開し、「攻台必備(台湾攻撃に必携)」としていたことから、軍事オタクとして解放軍基地の地図を作ろうと思い立ったとのこと。昨年6月にネットに公開した。

  • 着手したときは空軍基地だけにするつもりだった。

  • 基地の所在地の確認は大きく二種類の方法。

  • 一つは、ウィキペディアの公開資料、中国掲示板「百度」のネット民の書き込みなどによるもの。

  • もう一つは、軍用車両、標語、建築物の配置など軍用施設の特徴から衛星写真などを使って肉眼で判読したもの。

  • その他、海外や台湾軍の軍事大学の論文も参照。

  • 例えば「百度」をヒントにした中では、対台湾第一線集団軍について、軍営のそばに貯水池があるという書き込みから、アモイ市全体で軍営に隣接するの貯水池は坂頭水庫だけだったため、軍部の所在地を確認できた。(ちなみに「百度」で検索するとアモイ市バス909番線に乗ると坂頭軍部まで行けるらしい)

  • その他、中国中央電視台が公式にリークした(官泄)写真で、建築物の上に二筋の天窓があり、これが信陽基地の特徴と一致したため666旅団の位置が特定できた。

(注: 「官泄」とは中国のネットスラングで、各種メディアや中国国外の軍事関連刊行物に意図的に軍事情報を漏らし、実力を示すことで国外からの脅威に対抗する手法)

baike.baidu.com

  • ただしこの種の方法は誤認率が高く、以前、刑務所を軍営と誤認したときにはネット民に指摘を受けたこともある。

  • 温さん曰く、作成した資料は自力で一つひとつ確認したものだが、全世界のインテリジェンス部門はもっと正確な情報を持っているはずなので、一般に公開することにした。台湾の若い学生たちは、情報の質を識別し、何が本当に有用な情報かを判断する能力を高めるべきだ。

以上が中央通訊社の日本語記事を、台湾現地メディアの記事で補足した内容になる。

ところで、この件について大陸側の反応はほぼ皆無。中国版ツイッター「ウェイボー(微博)」で直接言及したツイートは3つだけで、コメント数も無視できる数だった。季節的に大学入試の結果発表の方がはるかに重要らしい。

3つのツイートのうち最もまともなのはこちら。それでもコメントは7つしかついていない。

台湾での報道がほぼそのまま要約されている。軍営のそばの貯水池をヒントにした件や、衛星写真から肉眼で判別したエピソードの大筋も引用されている。

ただ、最後の締めとしてツイート主が付けている感想は、台湾のニュースとは違ってこうなっている。

この台湾の学生が作った地図が正確かどうかにかかわらず、スパイ行為をされないよう機密を守るのは一人ひとりに責任があり、軍にかかわる情報を決してネット上に無暗に公開してはいけない(訳注:「防奸」は「防間」の誤記と思われる)

また、このツイートには温さんが今回の地図を作るきっかけになった、中国の軍事雑誌の台湾軍所在地図も貼られている。

個人的に注意すべきだと思ったのは、台湾メディアが反中・対独観点で煽りすぎている部分は差し引く必要があること。例えばこの件にかかわらずくれぐれも『大紀元』を真面目に読まないように。

そして中国から見るとこの件はあくまで同じ中国国内の一人の軍事オタク大学生のエピソードであって、台湾独立派大学生による反体制運動という話にはならないということだ。

以上、今回の件に関する追加情報と個人的感想でした。誤りのご指摘は大歓迎です。

中国「インターネットコメントサービス管理規定」2022年改正パブコメ草案は2017年からどう変わったのか

中国サイバースペース管理局(互联网信息办公室 CAC)が、2017年に制定された「インターネットコメントサービス管理規定(互联网跟帖评论服务管理规定)」について、2022/6/17に改定のパブコメ草案を公開した。パブコメとはいえおそらく大きな変更なく施行されるだろう。

2017/10/01施行版 互联网跟帖评论服务管理规定-中共中央网络安全和信息化委员会办公室

2022/06/17 パブコメ国家互联网信息办公室关于《互联网跟帖评论服务管理规定(修订草案征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室

Twitterでとある技術系の中国人レポーターの方が旧第五条、新第四条の中にある「前审后发(先に審査してから公開する)」という言葉に注目していた。

コメントは検閲が済むまで公開してはならないという意味だが、じつはこの言葉は2017年版にすでに存在する。

では2017年版に対して2022年パブコメ版では何が変わったのか、例によってWinMergeで検証してみた。

記事の最後に比較対照のしやすさを優先してあえて条文の前後を入れ替えた対比図を貼っておく。

結論から言うと「前审后发(前審後発)」という言葉は2017年版にすでに存在するが、2022年版では「新闻信息(ニュース情報)」を提供するサイトのコメント欄について、という限定がなくなっている。

そして2017年版にあった「新闻信息」という言葉は2022年版からは消えている。

逆に2017年に一つもなかった「公众账号」という言葉が2022年版には複数回あらわれ、これを規制する条文が増えている(第七条、第十条、第十一条、第十二条)。この言葉はWeChatなどSNSの公式アカウントを指している。

世論への影響力で2017年段階ではニュース情報サイトが大きかったが、今はWeChatなどSNSの公式アカウントがより重要な言論規制の対象になったということだろう。

したがってポイントは「前审后发(前審後発)」自体ではなく、検閲の対象がニュースサイトからSNSに変わったことなのだ。

参考までにその他の点を見てみると、「后台实名、前台自愿」、つまり、ユーザー登録時は実名申告が必須だが、サービスの表側ではハンドルネームでもいいという実名制はすでに2017年版で導入されており、今回も変化はない。表側でも実名の公表を強制してしまうと個人情報保護法と矛盾するためと思われる。

また、冒頭で「中国サイバーセキュリティ法」など2017年以降に成立した法律が参照されているのも当然だろう。

そして、2017年にはなかった「社会主义核心价值观(社会主義の核心的価値観)」という言葉が2022年版で追加さているのはいかにも習近平政権といったところ。

それ以外にとくに本質的な違いは見つけられなかったが、筆者が見落としている点があればご指摘歓迎いたします。

もちろん法律が大きく変化していなくても、実際に運用されるときに2017年当時より恣意的になり、検閲がより厳しくなることはあるだろうし、現にそうなっているはずだ。

中国のネット検閲は言論の自由の観点から論外なわけだが、5年前と比べて何が変化しているかについては正確に把握すべき、というお話でした。

富山県による情報漏えい事案まとめ(2021/10~2022/5)

2022/05/24富山県が2022年に入って6回目の個人情報漏えいを起したという報道があった。

newsdig.tbs.co.jp

こちらの記事にその6件の一覧表がある。

www.chunichi.co.jp

県が発表した対策は「ダブルチェックを徹底し再発防止に努める」とのことだが、対策としてダブルチェックが妥当なのか、漏えい事案をまとめてみた。

以下、富山県の公式サイトの「報道発表」コーナーと、そこにないものは各種報道のリンクを張る。なお、漏えい事案は今年に入ってからに限らないことが分かる。

2021/10/13 「T-Messe2021富山県ものづくり総合見本市バーチャル展示場」における個人情報の漏洩について

富山県/「T-Messe2021富山県ものづくり総合見本市バーチャル展示場」における個人情報の漏洩について

  • オンラインのバーチャルイベント会場で事前登録者の個人情報が取得できる状態にあった。
  • 委託先事業者による設定ミス。

2021/11/26 とやまのライチョウサポート隊における個人情報の漏洩について(メールアドレス誤送信)

富山県/とやまのライチョウサポート隊における個人情報の漏洩について(メールアドレス誤送信)

  • イベント参加者75名へのメールで、他の受信者のメールアドレスが見える状態で送信。
  • 県職員によるミス。

(おそらくBCCで送信すべきところをTOかCCで送信したと思われる)

2021/12/17 「OB・OGカフェ」における個人情報の漏洩

富山県/「OB・OGカフェ」における個人情報の漏洩について

  • 学生61名にメールを送信する際、その61名の個人情報が記載されたパスワード付きファイルを誤って添付。
  • 委託事業者による送信時の作業ミス。

2022/01/24 製薬会社の監督課が公益通報メールを誤送信 富山県「くすり政策課」

製薬会社の監督課が公益通報メールを誤送信 富山県「くすり政策課」:朝日新聞デジタル

富山県、メール誤送信で通報者情報漏洩 医薬品関係者へ: 日本経済新聞

通報メール、アクセス制限 告発漏えいで新ルール 富山県薬事審議会(北國新聞社) - Yahoo!ニュース

  • 製薬企業の監督部署にとどいた公益情報(内部告発情報)の通報者の個人情報を業界関係者240人に誤って送信。
  • 県職員によるミス。

書類をスキャンしてPDF化する際に、通報者の個人情報を含む書類が紛れ込んでPDF化されてしまったとのこと。

2022/02/01 冊子「とやまの国際交流 2022」作成における個人情報の漏洩について

富山県/冊子「とやまの国際交流 2022」作成における個人情報の漏洩について

  • 県が発行する冊子の作成依頼を250団体へ送信する際、誤って各団体の「住所」「メールアドレス」「担当者名」記載の表を添付
  • 県職員によるミス。

2022/03/04 「保護者向け富山県職員採用説明会」参加申込者へのメール誤送信について

富山県/「保護者向け富山県職員採用説明会」参加申込者へのメール誤送信について

  • 参加申込者あてにメールを送信する際、BCCにすべきところTOにしてしまった。
  • 県職員によるミス。

2022/04/19 富山県看護学生修学資金の返還案内の誤送付について

富山県/定例記者会見[令和4年4月20日(水曜日)]

  • 看護学生の修学資金返還について本人と異なる書類を誤って郵送(メールではなく紙の書類)
  • 県職員によるミス。

別報道によれば223人が対象。

2022/05/13 医療用麻薬の取り扱い免許 県が誤送付 医師の勤務先とは別の医療機関

医療用麻薬の取り扱い免許 県が誤送付 医師の勤務先とは別の医療機関に | 富山県のニュース|チューリップテレビ

  • 医療用麻薬の取扱い免許証手続きで、医師1名の免許証を別の医療機関に誤って送付(メールではなく紙の書類)
  • 県職員によるミス。

2022/05/24 なぜ続く?県の情報漏えい今年6件目 事業所の非公表情報を191社にメール誤送信・富山県

富山県、今月2件目情報漏えい メールに書類を誤添付:北陸中日新聞Web

なぜ続く?県の情報漏えい今年6件目 事業所の非公表情報を191社にメール誤送信・富山県 | 富山県のニュース|チューリップテレビ

  • 県内法人191社に抗原検査キットに関する文書をメール送信した際、無関係な事業所1社の非公開情報を誤って添付(個人情報の漏えいではない)
  • 県職員によるミス。

本件は、職員が作成した圧縮形式の添付ファイル内に誤ったファイルがあることに上司が気づき、再作成を指示した。ところが、再作成する前に当の上司が無関係なファイルを誤って紛れ込ませ、職員は上司がチェック済みとしてそのまま圧縮、送信した。

つまり、ダブルチェックが機能しなかった事例ということになる。

以上