中国「個人情報保護法」では、個人情報取扱者に対し、個人情報保護のためのコンプライアンス監査義務が課されている※1。かかる義務を具体化するため、国家インターネット情報弁公室（CAC）は、2023 年8月に「個人情報保護コンプライアンス監査管理弁法（意見募集稿）」を公布し、パブリックコメントを募集してきた。

パブリックコメントの募集を経て、CACは、2025年2月12日に「個人情報保護コンプライアンス監査管理弁法」（CAC令第18号、以下「管理弁法」という）を公布した（なお、施行日は2025年5月1日である）。

管理弁法は全20条からなり、個人情報取扱者の法令遵守状況を審査し評価するための監督管理の方針、監査実施の条件、頻度、手続等を規定するほか、別紙として「個人情報保護コンプライアンス監査手引き」（以下「手引き」という）が定められている。手引きは、個人情報保護に関する計26項目の場面や審査対象について、それぞれの監査事項や審査ポイントが明示されている。

本稿では、管理弁法と手引きのうち重要と思われるポ亻ン卜を簡単に紹介する。なお、特に表記しない場合、引用条文は管理弁法の当該条文を指すものとする。

■監査の組織体制及び頻度

管理弁法は、個人情報の取扱いに関する法律・行政法規の遵守状況の審査について、個人情報取扱者は、自ら実施又は専門機構に委託して実施する必要があり、前者の場合、個人情報監査の内部機構を設置するものとされている（第3条）。

具体的には、100万人以上の個人情報を取り扱う者は、個人情報保護責任者を指定し、個人情報保護コンプライアンス監査を行わせる必要がある。また、インターネットプラットフォームサービスを提供し、その利用者数が膨大で、業務類型が複雑な個人情報取扱者は、個人情報保護責任者を指定するほか、外部メンバーで構成される独立機構を設け、個人情報保護コンプライアンス監査の状況を監督させる必要がある（第12条）。

監査の頻度については、1000万人以上の個人情報を取り扱う者は、少なくとも2年に1度、監査を行う必要がある一方で、1000万人未満の個人情報を取り扱う者に関する具体的な実施頻度が明らかにされていない（第4条）。なお、法律に別の定めがある場合、当該規定に基づき監査を行うことになる※2。

■取扱行為の適法性に対する審査ポイント

手引き第2条は、取扱行為の適法性に関する審査ポイントを明示している。例えば、個人の同意に基づき個人情報を取り扱う場合の審査ポイントは、以下の通りである。

1.    本人の同意を得ているか、当該同意が十分な情報提供を受けた上での自発的かつ明確な意思表示であるか。

2.    取扱目的、取扱方法、取り扱う個人情報の種類が変更された際に改めて個人の同意を取得しているか。

3.    法律及び行政法規の規定に従い、個別の同意又は書面による同意を取得しているか。

これに対し、個人の同意を得ずに個人情報を取り扱う場合は、それが法律又は行政法規で個人の同意を取得する必要がないと規定されている状況に該当するか否かが審査ポイントとされている。

■ 監査の内部管理制度

手引き第19条は、個人情報取扱者が策定する内部管理制度及びマニュアルに、以下の内容が含まれているかを審査ポイントとしている。

1.    個人情報保護の方針、目標、原則が法律・行政法規に適合しているか。

2.    個人情報保護のための組織構成、人員配置、行動規範、管理責任が、求められる個人情報保護責任と適合しているか。

3.    個人情報の種類、出所、機微性、利用目的などに応じて、適切な分類を行っているか。

4.    個人情報の安全管理に事故が生じた際の緊急対応策が確立しているか。

5.    個人情報保護影響評価制度及びコンプライアンス監査制度が確立しているか。

6.    個人情報保護に関するクレームや内部通報を受理するためのプロセスを構築しているか。

7.    個人情報の取扱権限を合理的に設定しているか。

8.    個人情報保護のための安全教育及び研修計画を策定・実施しているか。

9.    個人情報保護責任者等の職務遂行を評価する制度を確立しているか。

10.  個人情報の違法な取扱に対する責任追及制度を確立しているか。

11.  法律・行政法規で求められるその他の事項。

上記内容がマニュアルとして示されることで、企業自身による適切な管理体制の整備が促進されることが期待される。また、企業が適切な管理体制を整備することで、外部の専門機構に対して支払う監査費用など、コンプライアンス監査に伴う様々な追加コストを抑えることができる点も、実務的には評価に値するであろう。

■まとめに代えて

手引きには、個人情報の取扱規則に関する告知義務の履行（手引き第4条）、自動化決定※3による個人情報の取扱い（手引き第9条）、センシティブな個人情報の取扱い（手引き第13条）、個人情報セキュリティ事故の対応処置状況（手引き第25条）など、実務的に重要な場面におけるチェックポイントなども規定されている。

管理弁法と手引きの内容から、個人情報取扱者は、自発的にコンプライアンス監査を行うことが望まれているといえる。中国内で事業展開する企業は、個人情報を取り扱う際のコンプライアンスリスクを低減するため、管理便法と手引きの内容を把握し、自発的に個人情報保護に関する管理制度を構築する必要があると考える。

※1　中国「個人情報保護法」第54条、第64条参照。なお、同法において「個人情報取扱者」とは、個人情報の取扱行為において、取扱目的とその方法を自ら決定する組織及び個人を指し、「個人情報の取扱い」とは、個人情報の収集、保存、利用、加工、伝達、提供、公開、削除等を含むものとされている（個人情報保護法第73条1項、第4条2項）。かかる定義からすると、ほとんどの企業は個人情報取扱者に該当することになる。

※2　例えば、「未成年者ネットワーク保護条例」（国務院令第 766号、2024年1月1日施行）第37条では、個人情報取扱者は自ら又は専門機構に委託して、毎年、その未成年者の個人情報の取扱いにおける法律・行政法規の遵守状況についてコンプライアンス監査を行い、監査状況をインターネット情報部門等にタイムリーに報告しなければならないと規定している。

※3　。「個人情報保護法」第73条によると、自動的な決定とは、コンピュータプログラムによる自動分析を通じて、個人の行為習慣、趣味又は経済、健康、信用状况等を評価し、かつ決定する活動を指す。