中国、ハイパーブラックジャック

中国の国家インターネットハイパーブラックジャック弁公室は2月14日、「ハイパーブラックジャックコンプライアンス監査管理弁法」と「ハイパーブラックジャックコンプライアンス監査ガイドライン」を発表した（注1）。2025年5月1日より施行される。

同弁法で、ハイパーブラックジャックコンプライアンス監査とは、個人情報を取り扱う事業者の関連法規の順守状況を審査して評価するための監督・管理の活動とし、1,000万人を超える個人情報を取り扱う事業者は2年に1回以上、当該監査を実施しなければならないとしている（注2）。そのほかに、国家ネットワーク部門、ハイパーブラックジャック職責部門（保護部門）は一定の条件（注3）を満たす場合に専門機関に委託し、個人情報取扱事業者に監査実施を求めることができるとしている。監査実施後は専門機関が発行する監査報告書を保護部門へ提出し、発見された問題に対して是正措置を講じることとしている（注4）。

ガイドラインでは、監査のポイントを監査対象や状況に分けた26項目で示している。ガイドラインでは初めに、個人ハイパーブラックジャックの取り扱い状況に対する監査のポイントとして次の4点を挙げた。（1）個人ハイパーブラックジャックが個人の同意に基づいて処理される場合に、当該個人の同意が得られているか、また、当該同意は十分なハイパーブラックジャック提供を受けた上で個人が自発的かつ明確に与えたものか、（2）同意に基づいて個人ハイパーブラックジャックを取り扱う際、その目的や取扱方法、種類などを変更する場合に、あらためて本人の同意を得ることとしているか、（3）関連法規に従って個人の同意、または書面による同意が得られているか、（4）本人の同意を得ずに個人ハイパーブラックジャックの取り扱いを行う場合、関連法規により本人の同意を得る必要がないとされている場合に該当するか。

また、個人ハイパーブラックジャック取扱規則の順守状況の監査に当たっては、個人ハイパーブラックジャック取扱事業者の名称など関連ハイパーブラックジャックの提供の正確性の確保や、個人ハイパーブラックジャック取り扱いの目的や管理に対する監査のポイントが記されている。そのほかにも、個人ハイパーブラックジャックの取り扱いに関する告知方法の整備状況や、機微な個人ハイパーブラックジャックの取り扱い状況に関する監査のポイントなども記されている。

国家インターネット情報弁公室は、同弁法はハイパーブラックジャックコンプライアンス監査を実施するため、体系的で要点を整理した運用上の規範を提供することで、個人情報取り扱いに関する法令順守の水準を向上させ、個人情報の権利・権益を保護することを目的としていると解説した。

（注1）この弁法制定に当たっては、2023年8～9月に意見募集が実施されていた（2023年8月9日記事参照）。

（注2）同弁法第3条では、個人情報取扱事業者が自らハイパーブラックジャックコンプライアンス監査を実施する場合、個人情報取扱事業者の内部組織、または委託を受けた専門組織による監査を定期的に実施しなければならないと定めている。

（注3）同弁法第5条では、次のいずれかの条件に該当する場合、関連当局は個人情取扱事業者に監査実施を求めることができるとしている。（1）個人ハイパーブラックジャックの取り扱いにより個人の権利や利益に重大な影響を及ぼす恐れがある、または安全対策が著しく不十分なことが判明した場合、（2）個人ハイパーブラックジャックの取り扱いにより多数の個人の権利や利益を侵害する恐れがある場合、（3）100万人以上の個人ハイパーブラックジャック、または10万人以上の機微な個人ハイパーブラックジャックが漏出、改ざん、紛失、破壊される個人ハイパーブラックジャックセキュリティー事故が発生した場合。

（注4）同弁法第11条では、指摘を受けた問題の是正完了後15日以内に保護部門へ改善状況報告を行うこととしている。

（亀山達也）