中国の法律
- ビジネス記事
- 中国の法律
北京市安理律師事務所
強まる監督管理体制下での企業の データコンプライアンス対応策(二)
現在、中国では、ネットワークの安全とデータ保護に関して、すでに多層的な法律と監督管理の体系が形成されている。企業はリスク差別化管理に基づく監督管理のロジックを深く理解し、監督管理上の要求に動態的に適合するデータコンプライアンス体系を構築する必要がある。
2.業務の現状とデータの整理。主に、データ資産の点検、整理と分類及び目録作成を行う。主たる任務には、データのデューデリジェンス報告、資産目録、等級別分類状況のリスト、コンプライアンスギャップ報告、特別改善案などが含まれる。
3.ポリシーの策定と執行。主に、法律規定及び企業の実情に基づき、相応の管理ポリシーを策定または拡充する。法律に定められた制度や規範・細則などに合致させ、かつ行政管理を含む複数の部署で共に進めていく。ポリシー策定のレベルでの主な任務には、企業の全業務分野をカバーし、実行可能性を備えたデータ管理制度の制定または拡充などが含まれる。ポリシー執行のレベルでは、通常、企業内部のデータコンプライアンスに関する常設作業機関が管理部門となり、監督制度が実際に執行されているか監督することに責任を負う。
4.法律文書体系の確立。主に、すべての対外的(利用者と提携者を含む)及び対内的(従業員)な法律文書体系の系統的設計と拡充を行う。主たる任務には、プライバシー協定、利用者同意書、対外的に公示する法的文書、業務契約、労働契約、各種業務のフォームの作成または拡充などが含まれる。
5.技術管理措置。人工知能、ブロックチェーン、IoT、ビッグデータ、クラウドコンピューティングなどの発展し続ける新たな技術環境に対して、主な任務は、データの全ライフサイクルの技術措置案、データの安全保護と検査・内部統制制度、データの安全対応と緊急処置制度及び管理統制措置の制定または拡充などが含まれる。
6.意思疎通と研修。企業内部で啓発業務を行い、一般従業員、データ処理の中心的部署、情報技術部門、管理経営陣などを対象にカスタマイズされた研修課程を策定して実施し、全体的なデータコンプライアンスの意識を高める。主たる任務には、研修プラン、研修教材、啓発資料の作成又は拡充、研修活動の組織・実施などが含まれる。
7.監査、評価と監督。主に、データコンプライアンス監査の要求、個人情報影響評価及び受託者に対するデータ処理者の監督等の制度・メカニズムに対して相応の設定を行う。主たる任務には、監査制度と評価制度の制定又は拡充、各種監査報告と評価報告の作成などが含まれる。
8.振り返りと改善。データコンプライアンス体系に対して法律法規の変化に応じて改善作業を続け、且つ監督管理上の要求に動態的に適応する。主たる任務には、体系に関する検査報告、問題のフィードバックリスト、プランと計画の改良/拡充などが含まれる。
特別プロジェクト実施の足がかり
体系構築における主たる内容
2.業務の現状とデータの整理。主に、データ資産の点検、整理と分類及び目録作成を行う。主たる任務には、データのデューデリジェンス報告、資産目録、等級別分類状況のリスト、コンプライアンスギャップ報告、特別改善案などが含まれる。
3.ポリシーの策定と執行。主に、法律規定及び企業の実情に基づき、相応の管理ポリシーを策定または拡充する。法律に定められた制度や規範・細則などに合致させ、かつ行政管理を含む複数の部署で共に進めていく。ポリシー策定のレベルでの主な任務には、企業の全業務分野をカバーし、実行可能性を備えたデータ管理制度の制定または拡充などが含まれる。ポリシー執行のレベルでは、通常、企業内部のデータコンプライアンスに関する常設作業機関が管理部門となり、監督制度が実際に執行されているか監督することに責任を負う。
4.法律文書体系の確立。主に、すべての対外的(利用者と提携者を含む)及び対内的(従業員)な法律文書体系の系統的設計と拡充を行う。主たる任務には、プライバシー協定、利用者同意書、対外的に公示する法的文書、業務契約、労働契約、各種業務のフォームの作成または拡充などが含まれる。
5.技術管理措置。人工知能、ブロックチェーン、IoT、ビッグデータ、クラウドコンピューティングなどの発展し続ける新たな技術環境に対して、主な任務は、データの全ライフサイクルの技術措置案、データの安全保護と検査・内部統制制度、データの安全対応と緊急処置制度及び管理統制措置の制定または拡充などが含まれる。
6.意思疎通と研修。企業内部で啓発業務を行い、一般従業員、データ処理の中心的部署、情報技術部門、管理経営陣などを対象にカスタマイズされた研修課程を策定して実施し、全体的なデータコンプライアンスの意識を高める。主たる任務には、研修プラン、研修教材、啓発資料の作成又は拡充、研修活動の組織・実施などが含まれる。
7.監査、評価と監督。主に、データコンプライアンス監査の要求、個人情報影響評価及び受託者に対するデータ処理者の監督等の制度・メカニズムに対して相応の設定を行う。主たる任務には、監査制度と評価制度の制定又は拡充、各種監査報告と評価報告の作成などが含まれる。
8.振り返りと改善。データコンプライアンス体系に対して法律法規の変化に応じて改善作業を続け、且つ監督管理上の要求に動態的に適応する。主たる任務には、体系に関する検査報告、問題のフィードバックリスト、プランと計画の改良/拡充などが含まれる。
注意すべきは、多くの多国籍企業が中国法に基づきデータコンプライアンス体系を構築するにあたって、GDPRの実践を参考にしている点である。中国における現地化プロセスでの注意点については、次回にご紹介する。
