中国のデータプライバシー・セキュリティ規制が事業に与える影響

中国で新たに制定されたデータプライバシーとセキュリティを対象とする法令は、中国内外で事業を行う企業に対し、重大な問題を提起しました。2021年11月に施行された個人情報保護法（PIPL）は、個人データの不正利用の防止を図るため、中国のデータ主体に新たな権利を付与しています。この2カ月前には、データセキュリティ法（DSL）が施行されました。これにより、ビジネスデータを重要度に応じて分類することが義務付けられ、国境を越えたデータ移転に新たな制限が課されることになりました。これらの規制は、企業によるデータの収集、保存、利用、移転に多大な影響を及ぼすでしょう。

中国のデータ主体を対象とする新たな保護規定

PIPLは、EUの一般データ保護規則（GDPR）と同様に、中国の消費者に対し、企業が収集した個人データにアクセスし、これを修正および削除する権利を付与しています。また、中国国内で商品やサービスの販売や個人データの分析を行う中国国外のデータ処理業者も影響を受けます。同法には厳しい罰則が規定されています。罰金は最高5千万人民元、または前会計年度の売上高の最大5%になる可能性があります。企業は、法令を遵守していることを証明するまで事業を停止するよう求められる場合があります。さらに、個人にも影響が及びかねません。データ保護に直接責任を負う人は誰でも、最大100万元の罰金を科される可能性があります。

公共の利益に照らしてビジネスデータを分類

新たに制定されたDSLは、国家安全保障および公共の利益との関連性に応じてビジネスデータを分類するよう義務付けています。「重要な」データを中国国外に移転しようとする企業は、社内セキュリティレビューを実施した上で、中国サイバースペース管理局（CAC）などの関連当局に対し、セキュリティに関する評価と承認を申請する必要があります。DSLは、データの取り扱いを誤った企業に対し、厳しい罰則を科しています。

予測アルゴリズムに対する規制

中国は世界に先駆けて、アルゴリズムの利用による販売促進を規制しようとしています。2021年9月、CACはオンラインコンテンツプロバイダーが利用する予測アルゴリズムの規制に向けて3カ年計画を発表しました。規制草案では、中国で大きな問題となっているインターネット依存を助長するアルゴリズムを禁止しています。また、アルゴリズムによる推奨サービスについてユーザーに通知し、その機能を無効にする方法を提供するよう求めています。これらの規制はPIPLによって有効になるため、中国企業のみならず外国企業にも影響が及ぶ可能性があります。

ガイダンスの詳細の公表を待つ間に、企業がなすべきこと

中国企業やグローバルに事業を展開する企業の多くは、データコンプライアンスの成熟度評価とプロセス改善の取り組みを加速させています。GDPRやこれに類似する法規制下にある海外のデータ処理業者も、同様になすべきことがあります。それにとどまらず、分析、調整、補完されることによりさらに成熟度の高いプロセスが必要となるでしょう。多国籍企業は、どの国・地域で事業を展開しているかに関わりなく、データプライバシーとセキュリティに関して最も厳格な対策を採用するか、それとも許容範囲で最も制約の少ないガイドラインに従うかという二者択一のジレンマに直面しています。各企業は、現在のビジネスモデルと将来の成長プランを踏まえ、慎重にリスクを評価し、選択肢を検討しています。