中国 人事労務

中国・個人情報保護法による企業の人的資源管理への影響について

情報爆発の時代において、クラウドコンピューティングやビッグデータの急速な発展に伴い、人々の生活や仕事が便利になる一方で、個人情報の使用、相互利用、越境移転が頻繁になり、個人情報が違法または過剰に収集され、悪意を持って利用される現状が深刻になっており、個人情報の保護は、人々にとって最も直接的で現実的な関心事の一つとなっています。

現状、個人のプライバシーに関する法的保護は非常に不完全で、具体的な法律もなく、個人情報保護に関する法令も断片的で体系化されておらず、個人情報保護制度の整備が待たれています。

このような背景の下、8月20日に開催された第13期全国人民代表大会常務委員会第30回会議で可決され、2021年11月1日から施行される個人情報保護法の公布が注目を集めています。個人情報保護法は、個人情報を保護するための基本的な法律として、個人情報に関する法令が断片的で体系化されない問題を解決するための画期的な法令です。個人情報保護法は、8章74条で構成され、個人情報の権利・利益の保護、個人情報保護の原則の確立、個人情報取扱活動の規範化、個人情報取扱活動における権利・義務の明確化を目的としています。同法の公布・施行に伴い、個人情報保護のための制度的な仕組みが改善される一方で、企業の人事管理に対する要求も高まっていくことが予想されます。

個人情報とは

個人情報保護法第4条:個人情報とは、電子的またはその他の手段によって記録された、識別された、または識別可能な自然人に関する様々な情報であり、匿名化後の情報を除きます。つまり、同法における個人情報の定義は、「識別+関連性」という基準を採用しており、個人情報の範囲がさらに拡大されています。

「個人情報法」 「民法典」 「個人情報安全規範」
個人情報 電子的またはその他の手段によって記録された、識別された、または識別可能な自然人に関する様々な情報であり、匿名化後の情報を除く。 電子的またはその他の手段によって記録された、単独または他の情報と組み合わせて特定の自然人を識別できる様々な情報をいい、自然人の氏名、生年月日、身分証明書番号、生体情報、住所、電話番号、電子メールアドレス、健康情報、所在情報などが含まれる。 電子的またはその他の手段によって記録された、単独または他の情報と組み合わせて特定の自然人を識別できる、または特定の自然人の活動を反映できる様々な情報
センシティブ個人情報 センシティブ個人情報とは、漏洩したり不正に利用されたりすると、自然人の人間としての尊厳や、その人や財産の安全を容易に脅かす可能性のある個人情報のことで、生体情報、宗教情報、特定の身分、医療・健康情報、金融口座、軌跡などの情報、及び満14歳未満の未成年者の個人情報が含まれる。 漏洩、不正な提供、悪用により、人や財産の安全を脅かしたり、人の名誉や心身の健康を損なったり、差別的な扱いを受けたりする可能性が高い個人情報など。 一般的に、14歳以下(14歳を含む)の子どもの個人情報や、自然人のプライバシーに関わる情報は、機微個人情報とみなされる。

人的資源の管理過程で、企業は必然的に従業員の個人情報を取り扱う必要があり、例えば、従業員は入社時に基本的な個人情報、学歴、職歴を提出しなければならず、休暇を取る際には結婚証明書や健康診断書などの補助書類を提出しなければならず、必要に応じて従業員の関連する業務用電子メール記録へのアクセスを確認し、職場に監視装置を設置するなど。したがって、企業が人的資源管理を行う際には、個人情報の定義と範囲を十分に理解した上で、個人情報を慎重に取り扱うことが重要です。

個人情報の取り扱いに関する注意事項

1、個人情報保護法では、「通知と同意」を個人情報の処理の適法性や処理ルールの根拠としています。

個人情報保護法第13条第2項から第7項までの規定により本人の「同意」を要しない場合を除き、個人情報の取扱いについては、事前に本人に十分な説明を行うことを前提とし、個人情報の取扱いに関する重要事項に変更が生じた場合には、改めて本人に説明し、かつ、同意を得るものとしています。例えば、企業が従業員を募集する際には、応募者に企業が個人情報を取得、使用、処理する目的、方法、範囲等を明確に伝え、本人の授権および同意を求めるべきであり、また、従業員が退職した場合や、当初取得した同意に対応する具体的なシナリオが変更された場合には、当該個人の同意を改めて取得することを検討する必要がある。また、同法は個人に同意を撤回する権利を与えており、同意が撤回された場合には、個人情報の処理者である企業は、自らの判断で速やかに個人情報の処理を中止し、削除しなければならないため、企業はインフォームド・コンセントだけを根拠に、個人情報を包括的に処理することはできず、潜在的なリスクがあると考えられる。

2、明確な目的と必要最小限の原則。個人情報保護法第6条では、個人情報の処理は、明確かつ合理的な目的を持ち、処理目的に直接関連し、個人の権利・利益に最も影響を与えない方法で行わなければならないと規定している。個人情報の収集は、処理の目的を達成するために必要な最小限のものに限定し、個人情報を過度に収集してはならない。つまり、企業は従業員から個人情報を収集する際、雇用関係に関連する情報に限定すべきであり、従業員の感情や結婚・出産の計画など、仕事に関係のない情報を取得してはならない。

3、第23条では、個人情報処理事業者がその処理する個人情報を他の個人情報処理事業者に提供する場合、提供先の名称または氏名、連絡先、処理目的、処理方法、個人情報の種類を本人に通知し、本人の個別的同意を得なければならないと規定している。受信側は、上記の処理目的、処理方法、個人情報の種類等の範囲内で個人情報を取り扱うものとする。受信側が当初の処理目的または方法を変更する場合は、本法の規定に従い、改めて本人の同意を得るものとする。

したがって、企業は、第三者(人事アウトソーシング会社、旅行代理店、商業保険会社など)に、その取り扱う個人情報を提供する際には、従業員の個人情報保護に同等の注意を払い、本人の個別的同意を得た上で、不要な従業員情報を第三者に提供しないという必要最小限の原則を守る必要があります。

4、個人情報の越境移転の規範化。外商投資企業は、日常の運営・管理における業務上の必要性から、従業員の個人情報を海外親会社や関連会社に報告・提供することがある。このような場合のために、「個人情報法」第39条では、個人情報処理業者が個人情報を海外に提供する場合、海外の受信側の名称または氏名、連絡先、処理目的、処理方法、個人情報の種類、本人が海外の受信側に権利を主張するための方法および手続き等を本人に通知し、かつ、本人の個別的同意を得ることを明確に定めています。

同時に、第55条および第56条によれば、企業が従業員の個人情報を海外に提供しようとする場合には、個人情報保護の影響について事前に評価を行い、その取り扱いを記録し、評価報告書および取り扱いの記録を少なくとも3年間保存しなければならない。その内容は、越境移転目的や越境移転方法等が適法・正当・必要なものであるかどうか、関係する従業員の個人的な権利・利益への影響やセキュリティ上のリスクがあるかどうか、会社や海外の受信側が取った保護措置が適法・効果的でリスクのレベルに見合ったものであるかどうか、などが含まれます。

企業の対応に関する提案

このような状況の下、個人情報保護法は、企業による個人情報の取り扱いに、より高いコンプライアンスを要求しており、人的資源管理におけるコンプライアンスコストやコンプライアンス違反のリスクを増大させていることは間違いありません。したがって、企業は、それぞれの状況に応じて管理体制をさらに改善し、従業員の個人情報を規定に従って合法的に取り扱い、法的リスクを効果的に防止する必要があります。

個人情報の識別と取り扱い活動を規範化するための企業の内部管理体制の構築と改善

企業が従業員の募集、雇用、退職などの一連の人的資源管理プロセスでは、従業員の個人情報を取り扱う必要があります。従業員の個人情報の管理を強化するために、企業は、従業員の個人情報の識別と取り扱いに関する管理方針と標準プロセスを作成し、個人情報の取り扱い活動におけるコンプライアンス違反リスクを組織レベルから防止・管理するとともに、従業員のデータ・コンプライアンスに対する意識の構築と強化に役立てるべきであると考えられます。

個人情報を合法的に、規定に従って処理

個人情報の収集、保管、使用、送信等の取り扱いは、社内の管理体制や標準的なプロセスに基づき、個人情報取り扱いの原則に則って従業員の正当な権利や利益を適切に保護し、法令遵守と最低限の必要性の範囲内で、従業員のプライバシーに関わる特に機微個人情報を慎重に取り扱わなければなりません。

個人情報について、従業員から個別に同意を得る

「個人保護法」では、個人情報の処理について、個人の同意、あるいは個人の「個別的同意」を得ることが必要とされています。個人の同意または個別的同意をどのように理解するか、具体的な説明や定義はありません。実際には、従業員ハンドブックや管理規定などの社内規定に、「当社は、『合法性、適正性、必要性』の原則に従って貴殿の個人情報を使用、保管、処理し、必要に応じて、提供された個人データや情報を当社の従業員、董事、顧客、サプライヤー、政府部門、関連会社、及び関連する第三者向けに共有、移転、開示することがある。個人は、自身の情報の管理、修正、削除について随時当社に通知する権利がある。」という内容を記載することができ、かつ、従業員の署名によって当該規定への包括的同意を得ることで、リスクをある程度軽減することができ、但し、「個別的同意」または「書面による同意」が明示的に要求される場合は、会社はより慎重に、従業員が署名した個別の同意書を取得することを提案します。

匿名化処理によってリスクを可能な限り軽減

個人情報保護法第4条では、個人情報には、匿名化処理された情報は含まれないと規定されています。匿名化とは、「個人情報を特定の自然人を識別できないように処理し、かつ、復元できないようにするプロセスをさす。」しかし、「識別+関連性」の基準で定義される個人情報の範囲は非常に広く、当該個人を特定できる情報であれば個人情報に該当する可能性があるため、実際には従業員の情報を匿名化処理することは非常に難しいと思われます。とはいえ、会社は可能な限りリスク回避の目的で個人情報の高度な非識別化を実現することを検討することができます。例えば、個人情報保護に関する関連法令の要求を守りつつ、会社が作成する個人情報取り扱い作業手順を十分に活用すると同時に、必要に応じて個人情報の非識別化のための特別な社内文書審査員を設置したり、外部の第三者を利用したりすることができます。

従業員の個人情報の海外への提供を最小化

前述のとおり、新たに制定された個人情報保護法では、中国の個人情報の海外への提供が厳しく規制されており、海外での個人情報の保護がますます厳しくなる傾向を反映し、会社は従業員の個人情報の海外への提供を最小化し、必要性がない場合、会社は従業員の個人情報の海外への提供を最小化し、業務上または経営上の理由で必要な場合は、情報の越境移転時のコンプライアンス違反のリスクを軽減するために、資料を簡略化したり、言い換えたりする方法で、匿名化処理または高度な非識別化を行い、個人情報を特定するデータの開示を可能な限り避けるべきです。

個人情報保護法の施行は、個人にも会社にも大きな影響を与えるものであり、企業の人的資源管理における重要なテーマとして、今後も注意が必要です。