2025年2月12日に、国家インターネット情報弁公室は「個人情報保護コンプライアンス監査管理弁法」（2024年国家インターネット情報弁公室令第18号、以下「弁法」という）を公表した。「弁法」は2025年5月1日から施行する。

「弁法」の目的は、個人情報の取り扱い行為を規範化し、コンプライアンス監査の要件を明確化することである。具体的な内容は以下の通りである。

1. 強制監査の範囲の明確化

1000万人以上の個人情報を処理する機関は、2年に1回以上のコンプライアンス監査を実施しなければならない。100万件以上の個人情報もしくは10万件以上の機微な情報の漏洩、改ざんなどセキュリティを脅かす重大な事故が発生した場合、または多数の個人の権益が侵害されるリスクのある場合、インターネット情報部門は企業に対し専門機関による監査を委託することを強制することができる。

2. 専門機関の資格と責任

監査機関は、必要な人員、技術、資金力を備える必要があり、再委託または同一対象に対し3回連続で監査を実施することも禁止される。監査機関の担当者が監査報告書に署名し、公印を捺印しなければならない。違法行為が発見された場合、個人情報取扱事業者は一定期限内で是正し、その結果を報告しなければならない。

3. 重要なプラットフォームに対する特別監査

業務が複雑で、非常に多いユーザーを有するプラットフォーム企業は、外部メンバーを主体とする独立の監査機関を設立し、個人情報保護に関する社会責任報告書を定期的に公開し、セキュリティ対策、事件対応及びユーザー権利保障の状況を開示しなければならない。

なお、100万件以上の個人情報を取り扱う機関は、監査業務を統括する専任の担当者を指定しなければならない。

4. 監査内容の詳細化

合法性に関する審査において、ユーザーによる許可の真実性、取扱目的が変更される時の再許可の有無や、機微な情報に対する個別的な許可の取得などが監査の重点である。

技術的措置の評価について、企業は、データの安全性を保障するために、暗号化や非識別化などの技術措置を講じ、これらの措置の有効性を検証することが求められる。

データの越境移転への規制について、海外へ提供するデータに関する審査、承認、届出及び安全性評価の要件を明確にし、制限リスト内の主体への情報提供は禁止される。

5. ユーザー権利の強化

企業は、個人情報に関する照会、削除、同意撤回などの権利行使に係る便利なアクセスを設置し、請求を拒否する場合はその理由を説明しなければならない。意思決定自動化の場合で拒否の選択肢を提供し、「ビッグデータ殺熟（常連客だけ値上げして搾り取る）」を禁止し、アルゴリズムの透明性と公正性を確保しなければならない。

6. 違反に対する責任追及の仕組み

法に違反した機関や個人に対しては、法に基づき処理し、刑事犯罪に該当する場合はその刑事責任を追及する。監査中に発見された違法行為について、一般公衆は監督機関に対し苦情を申し立てることができる。