ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催(続き)

先日のブログでご紹介した2021/09/18開催の「中華人民共和国個人情報保護法」プロモーション会議で、外資系企業に対する個人情報保護要求の強化について個別に言及があったらしいので補足。

先日のブログ todkm.hatenablog.com

《个人信息保护法》实施在即——企业须履职尽责合规经营 http://www.ce.cn/xwzx/gnsz/gdxw/202109/30/t20210930_36960085.shtml

中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏からは、外資系企業に対するアドバイスとして以下の点が取り上げられたとのこと。

  • 個人情報保護を法制度に適合させる作業の完成
  • 企業内部の管理制度と業務規則の制定
  • セキュリティ技術措置の実施
  • 指定した責任者による監督の実施
  • 定期的な監査の実施
  • 個人情報処理活動の全業務フロー管理の実現
  • センシティブ情報に対する特別な注意
  • 個人情報を利用した自動的な決定や、個人情報の外部への提供・公開等のハイリスクな活動にかんする事前影響評価の実施
  • 個人情報の本人開示や救済義務等の履行

また、個人情報の域外移転については、全国人代常務委員会法制工作委員会経済法室副主任・楊合慶から以下のようなアドバイスがなされたらしい。

  • 中国国内に個人情報の域外移転事務に関する代表責任者を設置すること
  • 国家サイバースペース管理部門の実施するセキュリティ評価を受けるとともに、専門機構が策定する予定の標準契約(GDPRのSCCにあたる契約)を締結すること
  • 域外の個人情報受領者の処理活動が法の規定する保護標準に達していることを保障すること

先日のブログで取り上げた中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)自体の記事には、外資系についてここまで詳細な内容が書かれていなかったので、補足としてご紹介した。

法律の内容そのままで、新しいことは何も言っていないが、政府関係者が外資系企業に明確に対応を求めていること自体が重要と思われる。