中国の個人情報保護法(PIPL)の第2草案が2021年4月末に発表され、同年11月1日に施行されます。
企業が中国居住者の個人情報を収集、使用、保存、および転送することを規制する規制することを目的とした法律です。
株式会社Silkdriveのオンライン・グロース・マーケティング最高責任者であるPatric Sawadaが、PIPL・個人情報保護法が日本企業と中国での海外展開や、マーケティング活動に与える影響について詳しく解説します。
中国のPIPL・個人情報保護法とは
中国の個人情報保護法(PIPL)とは、個人情報の処理と利用を規制するデータ保護法です。
これには、特定された、または個人を特定することが出来るような(特定可能な自然人)に関する個人情報の収集、使用、保管、転送、提供、開示が含まれます。
さまざまな国で政府がデータ保護とデータプライバシーに関する法律を発表するようになったことと、特に2016年に施行された欧州連合の「EU一般データ保護規則」(GDPR)の影響を受け、中国も独自の個人情報保護法を発表したのではないかと思われます。
PIPLはGDPRと共通している部分が多々ありますが、やはり発表している国が違えば法律にも違いも少しあるようです。
ここからは具体的にPIPLの注意点を伝えます。
PIPLに従う必要がある企業とは
中国国内に存在する個人情報を取り扱う全ての企業は、PIPLに従う必要があります。
中国の中に存在する企業だけでなく、日系や外資系であっても中国国内を対象に製品やサービスを提供したり、個人を分析し評価する国際機関等も対象です。
PIPLの主な原則とは
GDPR(EU一般データ保護規則)と同様に、原則があります。
個人は自らの、1)各企業やサイトでの個人情報処理プロセスについて知り、決定を下す権利を持つ。2)撤回または拒否する権利を持つ。3)訂正または削除を要求する権利を持つ。
情報の収集のためには、PIPL法に沿っている必要があり、最も一般的であり重要なことは、個人の同意を得ていることです。
また、あわせて、契約上の義務・法的義務・公衆衛生上の緊急事態時の対応方法・その他の法令および行政規制に定められている事柄を理解しておくことが大切です。
重要な原則には、企業が中国居住者の個人情報を収集、使用、保存、および転送するためには、①「目的をはっきり示すこと」、②「最低限の情報に留めること」③「目的の透明性をしっかり行う」などがあります。
それでは、上記をもう少し簡単に解説します。
- 「目的をはっきり示すこと」とは、個人情報の収集、保管、処理がその目的にのみ使用することを意味します。
- 「最低限の情報に留めること」とは、個人情報が必要でない場合、または収集、保管、処理の目的をはっきり示していない場合、情報が保持されないことを意味します。
- 「目的の透明性をしっかり行う」とは、個人情報の収集、保管、処理が必要でないと判断された場合、または目的をはっきり示していない場合は、データが保持されない可能性があります。
個人情報保護法(PIPL)と目的に沿って、今までのように必要以上に個人情報が長く保持することができなくなる可能性が高いです。
企業を円滑に動かす上で、中国ならではの法律に強い方、または中国のマーケットに強い方(例えば中国に強いビジネス・デベロッパーやマーケター)と業務を行うが今後は更に重要となります。
GDPRやPIPLに違反した場合の企業のリスク
2020年には、GDPR(EU一般データ保護規則)の罰金は40%近く上昇し、合計1億5,850万ユーロとなりました。
衣料品小売業者H&Mは3,500万ユーロの罰金を受け、過去2番目に大きいGDPRの罰金の事例となりました。
では、GDPRと比べ、PIPLを違反した際に起こることとは何でしょうか。
PIPLに違反した場合、違法所得の訂正または没収、警告および最大100万元の罰金、より深刻なケースの場合、5,000万元または前年度の5%を占める売上高の罰金を科す可能性があります。
また、違法所得の訂正を拒否したビジネスのライセンスを停止または取り消すことができます。
GDPR(EU一般データ保護規則)と異なる点は、経営者やデータ保護担当者など、直接の責任者が10万元まで、またはより深刻なケースで100万元までの罰金を科せられることです。
GDPRにはない、刑事責任を問われる可能性もあります。
PIPLが与える中国でのマーケティング活動への影響
現在の草案では、PIPLが実際にマーケティング活動にどのような影響を与えるかは、まだ完全に明確ではありません。
しかし、GDPR (EU一般データ保護規則)の場合と同じく、マーケティング担当者の方は、個人情報のプロファイリングや保存、コンタクトフォーム、ニュースレター、リードジェネレーションキャンペーン、CRM、その他マーケティング分析に使用されるクッキーに特に注意を払う必要があります。
また、①アルゴリズムの使用、②位置追跡、③第三者データの取り扱い方法、およびデータの中国間との処理を慎重に検討する必要があります。
それでは次に、上記の項目①~③をさらに詳しくご説明します。
マーケティング用アルゴリズムの設定
PIPL法が発令されましたので、マーケティングにおけるアルゴリズムを使用する企業は、Webサイト等に訪問したカスタマーや企業担当者の意思決定プロセスのため、「アルゴリズムを使用する目的をはっきり示すこと」が必要です。
個人は、アルゴリズムが特定の検索結果を表示したのか知る権利があり、Web上でのカスタマーの意思決定プロセスのアルゴリズムすべてを拒否することができます。
また、ウェブサイトのパーソナライズ、パーソナライズされたカスタマーへの特典、広告などの個人情報の分析を行う時は注意してください。
上記のように自動またはプログラム的にカスタマーやWebサイトでのビジターの意思決定を行うアルゴリズムは、個人の同意が前提条件です。
位置追跡機能のカスタマイズを厳しく制限
PIPLでは、個人の位置追跡は機密性の高い個人情報とみなされ、厳しく制限されます。
このため、リマーケティングやリターゲティング・キャンペーンで使用するために、オフラインでの店舗訪問を追跡することは制限されます。
サードパーティクッキー(3rd party cookie)の制限
今までは多くのWebマーケティング担当者はコンテンツや広告をパーソナライズするため、自らのプラットフォームへのアクセス権と膨大な顧客データを、ハイテク大手企業の広告担当者へ提供しているかもしれません。
今後は、第三者(サードパーティ)への顧客データの共有と使用について、PIPL法の下で再検討することをオススメします。
第三者(サードパーティ)のデータ提供者、マーケティング・プラットフォーム、広告ネットワークや広告企業は、個人情報の取得方法と処理方法についても精査されます。
中国からの個人情報を日本や海外で使用する際の注意
国境を越えて中国内の個人情報を処理する企業は、中国の専任団体または代表者を任命する必要があります。
また、中国国家インターネット情報弁公室(CAC)によるセキュリティ評価または認定要件を受ける対象となる場合があります。
PIPLに違反しないマーケティングを行うために
今回のPIPL法の施行により、それぞれの企業にどのような影響を与えるかを理解するためには、専門の法律顧問や法律事務所を見ることをオススメします。
または、企業の現在のプロセスとソフトウェアのデータマッピングを実施することにより、企業内・各部署すべての個人情報の取り扱いを確認することができます。
IT、人事、マーケティング、営業等、中国内部の個人情報を取り扱うすべての部門と協力し、PIPLの原則に従ってポリシーと手順を実施します。
広告代理店、ソフトウェアサービス会社、外部委託・カスタマーサービスなど、外部の第三者が関与している場合は、適切な契約書に署名をすれば今後どこにどのような責任があるのかなど、明確にすることが出来ます。
その後、プライバシーに関する声明、クッキー通知、利用規約を更新・最新にし、すべての連絡先にPIPL法について連絡をします。
各担当者に意図された使用の目的について明確な同意と署名を求めます。
最後に、PIPL法に基づく個人情報を取り扱う全従業員に、PIPLの基礎知識に関する社内セミナーを実施します。
また、基本的なセキュリティ対策が整っていることをあわせて確認します。
定期的に監査および確認する計画を立てるためにも、これから実施されているすべてのポリシー、手順を文書化し社内文書として各部署で保管することをオススメします。
※この記事はPIPL法的助言を表すものではありません。
これらの問題に関する法的助言が必要な場合は、専門の法律顧問に支援を求めてください。
まとめ
中国の個人情報保護法(PIPL)の基準を満たすには、必要な変更を行うために多くの時間とリソースが必要になります。
PIPL法は2021年11月1日から適応されるので、準備がまだ進んでいない企業やマーケティング担当者は、今すぐ準備を始めることをオススメします。
まずは、中国のマーケット市場について知りたい、または中国での事業展開を考えている、引き続きマーケティング業務を行いたいが心配がある方は、下記から引き続きご相談にお乗りします。