個人情報保護コンプライアンス監査の管理措置（意見案）

指導し標準化する個人情報保護コンプライアンス監査「中華人民共和国」によると、個人情報保護法」などの法令を踏まえ、中国サイバースペース局は「個人情報保護コンプライアンス監査管理措置（意見募集草案）」を策定し、現在コメントを募集している。一般の人々は、次のチャネルと方法を通じてフィードバックを提供できます。

1. 中華人民共和国法務部中国政府法律情報ネットワーク (www.moj.gov.cn、www.chinalaw.gov.cn) にログインし、「立法意見収集」欄に入力します。ホームページのメインメニューからご意見をお寄せください。

2.shujuju@cac.gov.cn に電子メールで送信します。

3. ご意見は、郵便番号 100048、北京市海淀区府城路 15 号、中国サイバースペース管理局ネットワークデータ管理局宛に書面にて送付し、封筒に「個人情報保護コンプライアンス監査に関する意見募集」と明記してください。管理措置。」

フィードバックの締め切りは 2023 年 9 月 2 日です。

別紙：個人情報保護遵守監査管理措置（意見案）

州インターネット情報局

2023 年 8 月 3 日
個人情報保護コンプライアンス監査の管理措置

 

(コメント草案)

 

第1条は、個人情報保護コンプライアンス監査活動を指導および標準化し、個人情報処理活動のコンプライアンスレベルを向上させるために、「中華人民共和国個人情報保護法」およびその他の法律、行政法規および関連する国内法規に従って制定されます。 、個人情報の権利利益を保護するこの方法。

第2条 個人情報処理事業者は、個人情報保護責任を遂行する部門の要求に従い、定期的に個人情報保護遵守監査を実施し、または専門機関に個人情報保護責任を遂行する部門の要求に従って個人情報処理活動の遵守監査を委託し、個人情報保護活動の遵守監査を実施します。これらの措置は監督と管理に適用されます。

第３条 本措置において「個人情報保護遵守監査」とは、個人情報処理業者の個人情報処理活動が法令及び行政法規に適合しているかどうかを審査及び評価する監督活動をいう。

第4条 100万人以上の個人情報を取り扱う個人情報処理事業者は少なくとも1年に1回、その他の個人情報処理事業者は少なくとも2年に1回、個人情報保護遵守監査を実施しなければならない。

第 5 条 個人情報処理者は、個人情報保護遵守監査を自ら実施することができ、実際の状況に基づいて本措置の要件に従って、組織の内部機関または委託された専門機関が実施する場合があります。

第6条 個人情報保護の責任を負う部門は、その職務を遂行する際に、個人情報処理活動に大きなリスクがあること、または個人情報が発生することを発見します。情報セキュリティー事件が発生した場合、個人情報処理者は、個人情報処理活動のコンプライアンス監査を専門機関に委託することが求められる場合があります。

第7条 個人情報処理業者は、個人情報保護責任を行う部門の要求に従って個人情報保護遵守監査を実施する場合、その通知を受け取った後できるだけ早く個人情報保護遵守監査を実施する専門機関を選定しなければならない。 。

第 8 条 個人情報処理業者が個人情報保護責任を担う部門の要求に従って専門機関に個人情報保護遵守監査の実施を委託する場合、専門機関が次の権限を正常に行使できることを確保しなければならない。

(1) 関連する文書または情報の提供またはアクセスの支援の要求。

(2) 個人情報処理活動に関連する場所への立ち入り

(3) 施設内で行われる個人情報処理活動を観察する。

(4) 関連する事業活動とそれらが依存する情報システムを調査する。

(5) 個人情報の処理活動に関連する設備および施設を検査および試験する。

(6) 個人情報処理活動に関連するデータまたは情報を取得および確認する。

(7) 個人情報処理活動に係る担当者への面接

(8) 関連問題に関する調査、調査、証拠収集を実施する。

(9) その他コンプライアンス監査業務を実施するために必要な権限。

第9条 個人情報処理業者が個人情報保護責任を担う部門の要求に従って専門機関に個人情報保護遵守監査の実施を委託する場合、90営業日以内に個人情報保護遵守監査を完了しなければならない。内容が複雑な場合には、個人情報処理者は実行者に報告するものとします。情報保護担当部門の承認を得て、適切に延長することができます。

第10条 個人情報処理業者が個人情報保護責任を遂行する部門の要求に従って専門機関に個人情報保護遵守監査の実施を委託する場合、個人情報処理業者は、個人情報保護責任を遂行する部門の要求に従って個人情報保護遵守監査を組織し、実施しなければならない。当社は、必要な遵守監査手続きを実施した後、専門機関が発行する個人情報保護遵守監査報告書を個人情報保護責任を担う部門に適時提出します。個人情報保護遵守監査報告書には、遵守監査責任者及び専門機関の責任者が署名し、専門機関の公印を押印するものとします。

第11条 個人情報処理事業者は、個人情報保護責任を担う部門の要求に従って専門機関に個人情報保護遵守監査を委託する場合、専門機関の是正提案に従って是正し、報告しなければならない。専門機関による審査を経て是正状況を個人情報保護業務を行う部門に送付します。

第12条 個人情報保護遵守監査を行う専門機関は、独立性と客観性を保持しなければならず、同一の監査対象について連続3回を超えて個人情報保護遵守監査を実施してはならない。

第 13 条 国家サイバーセキュリティ・情報化部門は、公安機関および国務院のその他の関連部門と協力し、全体計画、合理的配置、計画の原則に従い、個人情報保護コンプライアンス監査のための専門機関の推奨ディレクトリを設立するものとする。個人情報保護コンプライアンス監査の専門機関の年次評価を組織し、評価し、評価に基づいて個人情報保護コンプライアンス監査の専門機関の推奨ディレクトリを動的に調整します。

個人情報処理者は、推奨ディレクトリにある専門機関を優先して個人情報保護コンプライアンス監査活動を実施することが推奨されます。

第14条 専門機関が個人情報保護遵守監査活動に従事する場合、誠実かつ公正であり、公正かつ客観的に専門的な遵守監査の判断を下さなければならない。

専門機関は、個人情報保護遵守監査を第三者に委託・委託することはできません。

個人情報保護コンプライアンス監査の責任を遂行する際に専門機関が取得した情報は、個人情報保護コンプライアンス監査の必要性のみに使用することができ、他の目的には使用しません;専門機関は、取得した情報について機密保持の責任を負います;専門機関は、次のことを行います。確実にするために、対応する技術的措置およびその他の必要な措置を講じます。データセキュリティ。

専門機関は、個人情報保護遵守監査業務を遂行するにあたり、個人情報処理者の正常な業務活動を悪意を持って妨害してはならない。

専門機関が虚偽または不正確な報告書を発行した場合、またはその他の違反行為があった場合、個人情報処理者および関係者は個人情報保護責任を負う部門に苦情を申し立てることができ、個人情報保護責任を負う部門によって確認された場合、個人情報処理者および関係者は、個人情報保護責任を負う部門への掲載が永久に禁止されます。個人情報保護 専門的なコンプライアンス監査組織の推奨ディレクトリ。

第 15 条 本措置の規定に違反した場合は、「中華人民共和国個人情報保護法」およびその他の法令に従って対処し、犯罪が構成された場合には、法に基づき刑事責任を追及する。法。

第 16 条 本措置は中国サイバースペース局によって解釈され、その年の日付から発効するものとする。

別紙：個人情報保護遵守監査の基準点

 

個人情報保護遵守監査の基準点

第1条 これらの要点は、法律、行政法規、および「中華人民共和国個人情報保護法」などの国家基準の必須要件に従って策定され、個人情報保護コンプライアンス監査を実施する際の参考となります。

第２条 個人情報保護遵守監査では、まず、以下の事項を中心に、個人情報処理活動の適法性に関する基本的条件を審査するものとします。

(1) 個人情報の処理について本人の同意を得ているかどうか、また、その同意は個人情報主体を十分に承知した上で自発的かつ明確に行われたかどうか。

(2) ご本人の同意に基づいて個人情報を処理する場合、個人情報の処理目的、処理方法、処理する個人情報の種類が変更となった場合、再度ご本人の同意を得る必要があるかどうか。

(3) 本人の同意に基づいて個人情報を処理する場合、本人に同意を撤回するための便利な方法が提供されているかどうか。

(4) 本人の同意に基づいて個人情報を処理する場合、本人の同意を得た操作が記録されているか。

(5) ご本人の同意に基づいて個人情報を処理する場合において、ご本人が個人情報の処理に同意しないこと、または同意を撤回することを理由として商品やサービスの提供を拒否する場合がある場合を除きます。製品またはサービスを提供するために個人情報の処理が必要である場合。

(6) 本人の同意を得ることなく個人情報を処理する場合は、法令及び行政法規に基づき、本人の同意を必要としない場合に該当するかどうか。

第３条 個人情報処理規程を監査する場合には、次の事項に重点を置いて監査するものとする。

(1) 個人情報処理者の氏名または名称および連絡先情報が真実、正確かつ完全に通知されているかどうか。

(2) 収集した個人情報とその利用目的、方法及び範囲が一覧表形式で記載されているか。

(3) 個人情報の保存期間又は保存期間の決定方法、保存期間経過後の処理方法及び処理目的を達成するために必要な保存期間を確保するために必要な最小限の期間が定められているかどうか。

(4) 個人が個人情報にアクセス、コピー、処理、転送、修正、補足、削除、開示、処理の制限、アカウントのキャンセル、同意の撤回を行うための経路および方法が明確に定義されているかどうか。

(5) 個人情報を第三者に提供する場合、提供先の氏名、連絡先、個人情報の利用目的、処理方法、個人情報の種類等を本人に明示し、別途ご本人の同意を得ているか。

(6) その他法律及び行政法規に定める事項。

第4条 個人情報処理者は、個人情報を取り扱う際には通知義務を履行し、監査においては次の事項に重点を置くものとする。

(1) 個人情報を処理する前に、個人情報処理者が、個人情報の処理規則を、目立つ方法で、明確でわかりやすい言葉で、真に、正確かつ完全に個人に通知しているかどうか。

(2) 通知テキストのサイズ、フォント、色は、個人が通知を完全に読むのに便利かどうか。

(3) オフライン通知は、ラベルや説明などのさまざまな方法を通じて個人への通知義務を果たしているか。

(4) オンライン通知において文字情報を提供するか、適切な手段により個人への通知義務を履行するか。

(5) 個人情報処理規程が変更された場合、適時に変更内容が本人に通知されるか。

第5条 個人情報処理者は、個人情報を他人と共同して処理する場合には、次の事項を重点的に検討しなければならない。

(1) それぞれの権利と義務が合意されているかどうか。

(2) 関係者全員による個人情報保護措置。

(3) 個人情報の権利保護の仕組み。

(4) 個人情報セキュリティインシデント報告メカニズム。

(5) 個人情報の権利侵害により損害が生じた場合の当事者全員の責任。

(6) その他の法律および行政法規で合意が必要な権利および義務。

第6条 個人情報処理業者は、個人情報の取扱いを委託される場合には、以下の事項を重点的に検討しなければならない。

(1) 個人情報処理事業者は、個人情報の処理を委託する前に、個人情報保護影響評価を実施しているか。

(2) 個人情報処理事業者と受託者との間で締結される契約には、個人情報の処理を委託する目的、期間、方法、種類、受託者が講じるべき技術的・管理的措置、双方の権利義務等が定められているか。等。;

(3) 個人情報処理事業者は、受託者の個人情報の取扱いが法令に適合しているかどうかを定期的に検査する等の監督を行っているか。

(4) 受託者は、委託契約の内容を厳守して個人情報を取り扱うか、また、合意された処理目的・方法を超えて個人情報が処理されていないか。

(5) 委託契約が失効、無効、解除または終了した場合、受託者が個人情報を個人情報処理者に返却するか削除するか。

(6) 受託者が個人情報の処理を他人に委託しているかどうか、及び個人情報処理者の同意を得ているかどうか。

第7条 個人情報処理者は、合併、再編、分割、解散、破産等により個人情報の移転が必要となった場合には、以下の事項を重点的に検討しなければなりません。

(1) 個人情報処理者が、受取人の氏名又は名称及び連絡先をご本人に通知しているかどうか。

(2) 受領者が個人情報処理者としての義務を引き続き履行するかどうか。

(3) 受領当事者が当初の処理目的および処理方法を変更する場合、法律および行政法規の関連規定に従って、再度本人の同意を得る必要があるかどうか。

第8条 個人情報処理者は、自らが取り扱う個人情報を他の個人情報処理者に提供する場合には、次の事項を重点的に検討しなければならない。

(1) 別途ご本人の同意を得ているかどうか。

(2) 個人情報の受取人の氏名、連絡先、処理の目的、処理の方法、種類を本人に通知するかどうか。

(3) 受領者は、双方が合意した処理目的、処理方法、個人情報の種類の範囲内で個人情報を処理しているかどうか。

(4) 処理の目的または方法を変更する場合、法律および行政法規に従って再度本人の同意を取得するかどうか。

(5) 事前に個人情報保護影響評価を実施しているか。

第 9 条 個人情報処理業者が個人情報を処理するために自動化された意思決定を使用する場合、監査は自動化された意思決定の透明性と結果の公平性および公平性を評価することに焦点を当てなければなりません。

(1) 自動化された意思決定によって処理される個人情報の種類と考えられる影響について、事前に個人に積極的に通知されているかどうか。

(2) 自動化された意思決定アルゴリズム モデルの欠陥を最小限に抑えるために、アルゴリズム モデルが事前に安全性評価され、関連する国内規制に従って提出されているかどうか、アプリケーション シナリオや主要機能が変更された場合、アルゴリズム モデルが再構築されているかどうか-評価済み;

(3) アルゴリズムモデルは科学技術倫理に関して事前に審査されているか。

(4) 事前に個人情報保護影響評価を実施しているか。

(5) 自動意思決定により個人の権利に重大な影響を与える意思決定を利用者が都合よく拒否できる保護の仕組みを利用者に提供するか、あるいは個人情報処理業者に重大な影響を与える意思決定を要求するか自動化された意思決定を通じてユーザーの個人的権利を保護し、その決定を説明する。

(6) 自動意思決定サービスに使用される個人特性に応じたユーザータグを削除または変更する機能をユーザーに提供するかどうか。

(7) アルゴリズムおよびパラメータモデルを保護するために必要な措置が講じられているかどうか。

(8) 自動化された意思決定の情報と結果の悪意のある操作を防ぐために、個人情報の処理、ラベル管理、モデルのトレーニングなどの自動化された意思決定プロセスにおける手動操作が記録されているかどうか。

(9) 個人に情報や商業マーケティングを推進する場合、個人の特性を対象としないオプションも提供するか、あるいは自動意思決定サービスを拒否する便利な方法を提供するかどうか。

(10) 自動化された意思決定により、消費者の嗜好や取引習慣等に基づく取引条件に関して個人に不当な差別的取扱いが課されることを防止するための実効的な措置が講じられているか。

(11) その他、自動化された意思決定の透明性、結果の公平性、公正性に影響を及ぼす可能性のある事項。

第10条 個人情報処理者は、自らが取り扱う個人情報を開示する場合には、以下の事項を重点的に検討しなければならない。

(1) 個人情報処理者が自ら取り扱う個人情報を開示する際に、本人の同意を得ているか、その権限が真実かつ有効であるか、また、本人の意思に反して個人情報が開示されるか否か。

(2) 個人情報処理者は、個人情報を開示する前に、個人情報保護影響評価を実施しているか。

第11条 個人情報処理業者は、公共の場所に画像収集又は個人情報識別装置を設置する場合には、画像収集又は個人情報識別装置の設置の適法性及び収集した個人情報の目的を重点的に審査しなければならない。レビューの内容には次のものが含まれますが、これらに限定されません。

(1) 公共の安全を維持する必要があるかどうか、収集した情報が営利目的で処理されるかどうか。

(2) 目立つ注意喚起の標識の有無。

(3) 個人情報処理業者が収集した個人画像および識別情報を公共の安全の維持以外の目的で利用する場合には、別途ご本人の同意を得ているかどうか。

第12条 個人情報処理者が開示個人情報を取り扱う場合には、以下の違反行為がないかどうかを重点的に監査しなければならない。

(1) 開示する個人情報のうち、電子メールアドレス、携帯電話番号等に開示目的と関係のない情報を送信する行為。

(2) 開示された個人情報を利用してサイバー暴力を行うこと。

(3) 個人が明示的に処理を拒否した公開個人情報を処理する。

(4) 開示された個人情報を本人の同意を得ることなく取り扱うことは、個人の権利利益に重大な影響を及ぼします。

第 13 条 個人情報処理業者が要配慮個人情報を取り扱う場合には、次の事項を重点的に監査しなければならない。

(1) 生体認証、宗教的信念、特定のアイデンティティ、医療健康、金融口座、居場所などの機密性の高い個人情報を処理する際に、事前に個人の個別の同意を得ているかどうか。

(2) 14歳未満の未成年者の個人情報を取り扱う場合には、事前に親権者その他の保護者の同意を得ているかどうか。

(3) 機密性の高い個人情報を処理する目的および方法が合法的、正当かつ必要なものであるかどうか。

(4) 機密性の高い個人情報の処理が、商品やサービスの提供、法的義務や義務の履行などの特定の目的と密接に関連しているかどうか、またその処理が必須ではないかどうか。

(5) 個人情報保護影響評価が事前に実施され、機密個人情報の処理の必要性および個人の権利利益への影響について個人に通知されているかどうか。

(6) 法律および行政法規により書面による同意が必要な場合、書面による同意の有無。

(7) 機密個人情報の取り扱いプロセスが合法かつ準拠していることを保証するために、機密個人情報の取り扱いプロセスが記録されているかどうか。

第 14 条 個人情報処理業者の業務が 14 歳未満の未成年者の個人情報を処理するものである場合、監査では次の事項に重点を置くものとする。

(1) 未成年者の個人情報の取扱いに関する特段の規定の策定の有無

(2) 未成年者及びその保護者に対し、未成年者の個人情報の処理の目的、処理の方法、処理の必要性、処理される個人情報の種類、及び講じられる保護措置について周知されているかどうか。

(3) 未成年者又はその保護者に対し、不必要な個人情報の取扱いへの同意を強要する行為の有無。

第15条 個人情報処理事業者は、個人情報を海外に提供する場合には、次の事項を重点的に検討しなければならない。

(1) 100万人以上の個人情報を取り扱う重要情報インフラ事業者や個人情報処理業者が海外に提供する個人情報は、国家サイバーセキュリティ情報化部門が組織する安全性評価を受けているかどうか。

(2) 前年1月1日以降、10万人の個人情報または1万人の機密個人情報を海外に提供した個人情報処理業者は、国家サイバースペース部門が主催する安全性評価を受けているかどうか。

(3) 中華人民共和国の領域内に保管されている個人情報を外国の司法機関または法執行機関に提供するかどうか、また提供する場合には中華人民共和国の管轄当局の承認があるかどうか。

(4) 中華人民共和国が締結または加入する国際条約または協定に中華人民共和国領域外での個人情報の提供条件が定められている場合、その規定に従うかどうか。

(5) 国家サイバースペース部門の規定に基づく専門機関による個人情報保護の認証を受けているか、または国家サイバースペース部門が策定した標準契約書に従って海外受領者と契約を締結しているか、または法律、行政規制、または国家サイバースペース部門の規定を遵守していること。

(6) 海外受取人が所在する国や地域の個人情報保護方針や方針を理解しているかサイバーセキュリティ外部への個人情報に対する環境の影響。

(7) 個人情報提供の制限又は禁止の対象となる団体又は個人への個人情報の提供に関する違反行為の有無。

第 16 条 海外で個人情報を提供する個人情報処理業者は、海外での受領者の個人情報処理活動が中華人民共和国個人情報保護法に定められた個人情報保護基準を満たすことを確保するために必要な措置を講じなければならない。監査は、個人情報処理業者が海外の受信者に対して講じた監督措置の有効性を調査することに重点を置く必要があります。これには以下が含まれますが、これらに限定されません。

(1) 海外受取人の状況を把握・理解しているか、特に受取人が必要な個人情報保護能力を備えているかどうか。

(2) 海外の受信者に個人情報保護に関する我が国の法律および行政規制の要件が通知されているかどうか、また海外の受信者が対応する保護措置を講じる必要があるかどうか。

(3) 海外受領者に対し、協定の締結、定期的な検査等により個人情報保護義務の効果的な履行を促しているか。

第 17 条 個人情報の削除の権利の保護を監査する場合、次の状況における個人情報の削除に焦点を当てなければなりません。

(1) 個人情報の処理目的が達成された、達成できなくなった、またはその必要がなくなった場合。

(2) 商品やサービスの提供を停止、またはアカウントをキャンセルする。

(3) ご本人と合意した保管期間に達した場合。

(4) ご本人による同意の撤回。

(5) 自動収集技術等の利用により、不要な個人情報や同意のない個人情報の収集を避けることができない場合

(6) 個人情報処理業者が法律、行政法規、協定に違反して個人情報を処理する場合。

個人情報処理事業者は、法令及び行政法規に定められた保存期間が経過していない場合、又は個人情報の削除が技術的に困難な場合には、保存以外の処理を停止し、必要な安全対策を講じなければなりません。

第18条 個人情報処理者は、個人の個人情報に関する権利を行使する権利を保護し、監査においては次の事項に重点を置かなければならない。

(1) 個人が権利を行使するための申請受理の仕組みが確立されているか。

(2) 個人情報へのアクセス、コピー、転送、修正、補足、削除のための便利な方法を個人に提供しているかどうか。

(3) 本人からの権利行使の申込みに適時対応し、意見の処理や実行結果を適時、完全かつ正確に通知しているか。

第19条 個人情報処理者は、個別の申請に応じ、個人情報処理規程を説明し、監査の際には以下の内容を重点的に評価するものとする。

(1) 個人情報処理者は、個人からの個人情報処理規程の説明要求を受け付け、処理するための便宜的な方法及び手段を提供しているかどうか。

(2) 個人情報処理者は、ご本人からの求めを受けた後、合理的な時間内に、個人情報の取扱い規則を分かりやすい言葉で説明しているか。

第 20 条 個人情報の保護については個人情報処理者が主な責任を負い、監査では、以下の事項を含むがこれらに限定されない、個人情報処理者の主な責任の履行を評価することに焦点を当てるべきである。

(1) 個人情報保護システムの策定、組織構造、および管理手順の、個人情報処理の性質、規模、複雑さ、およびリスクへの適合性。

(2) 個人情報保護に関する責任分担は合理的か、責任は明確か、報告関係は明確か。

(3) 個人情報保護のために個人情報処理事業者が提供する人的、経済的、物的保護と、企業の事業規模、業務計画及び個人情報コンプライアンスのリスク管理との適合性。

第21条 個人情報処理者は、法令及び行政法規の規定に従って内部管理体制及び業務手順を策定し、組織構造及び職務責任を明確にし、業務プロセスを確立し、内部統制システムを整備し、個人情報処理のコンプライアンス及び安全性を確保しなければならない。監査では、個人情報処理業者の内部管理システムと個人情報保護のための運用手順のレビューに重点を置く必要があります。これには以下が含まれますが、これらに限定されません。

(1) 個人情報保護業務の方針、目的、原則が法令及び行政法規に適合しているか。

(2) 個人情報保護の組織体制、人員配置、行動規範及び管理責任が果たすべき個人情報保護の責任と整合しているか。

(3) 個人情報の種類、出所、機密性、目的等に応じて個人情報を分類し、目的を持った管理またはセキュリティ技術的措置を講じているか。

(4) 個人情報セキュリティ事故に対する緊急対応体制が確立されているか。

(5) 個人情報保護影響評価及び遵守監査体制が整備されているか。

(6) 個人情報保護に関する苦情及び報告の円滑な受付体制が整備されているか。

(7) 個人情報保護セキュリティ教育訓練計画の策定及び実施の有無。

(8) 個人情報保護責任者及び関係者の業績評価制度が整備されているか。

(9) 個人情報に関する違反行為への対応及び個人情報の処理に携わる者の違反責任体制が確立され、有効に実施されているか。

(10) その他法律、行政法規で定める内容。

第22条 個人情報処理事業者は、取り扱う個人情報の規模及び種類に応じたセキュリティ技術措置を講じ、個人情報処理事業者が講じる技術的措置の有効性を評価しなければならない。

(1) 個人情報の機密性、完全性、可用性を達成するために、関連する国家規格または技術的要件を参照し、対応するセキュリティ技術的対策を採用しているかどうか。

(2) 追加情報を使用せずに個人情報の識別可能性を確実に排除または軽減するために、暗号化や匿名化などのセキュリティ技術的手段が採用されているかどうか。

(3) 採用されたセキュリティ技術対策が、個人情報へのアクセス、コピー、送信などに対する関係者の操作許可を合理的に決定し、処理プロセス中の個人情報の不正アクセスや悪用のリスクを軽減できるかどうか。

第23条 個人情報処理者に対する教育訓練計画の策定及び実施を監査する場合には、次の事項について重点的に評価しなければならない。

(1) 管理者、技術者、オペレーター、全従業員に対して、該当する安全教育・訓練が計画通り実施されているか、また、該当者の個人情報保護意識とスキルが評価されているか。

(2) 研修内容、研修方法、研修対象、研修頻度等が個人情報保護のニーズを満たすものであるかどうか。

第 24 条 国家サイバーセキュリティ情報化部門が要求する量の個人情報を取り扱う個人情報処理業者は、個人情報処理活動の遵守に責任を負う個人情報保護責任者を任命しなければならない。監査中は、次の事項に焦点を当てる必要があります。

(1) 個人情報保護責任者は、適切な職歴及び専門的知識を有し、個人情報保護に関する法令及び行政法規に精通しているか。

(2) 個人情報保護責任者は明確かつ明確な責任を有しており、組織内の個人情報の処理に係る関係部門及び関係者を調整するための十分な権限が与えられているか。

(3) 個人情報保護責任者は、個人情報保護チームの責任者を指名し、円滑な意思疎通及び連絡を維持する権利を有しているか。

(4) 個人情報保護責任者は、個人情報の処理に関する重要な事項を決定する前に、適切な意見や提案を行う権利を有しているか。

(5) 個人情報保護責任者は、組織内の個人情報の処理における不適合な業務を停止し、必要な是正措置を講じることができる権限を有しているか。

(6) 個人情報処理者は、個人情報保護責任者の連絡先を開示するとともに、個人情報保護責任者の氏名、連絡先等を個人情報保護責任を担う部門に報告しているか。 。

第 25 条 個人情報処理業者が実施する個人情報保護影響評価を監査する場合には、影響評価の実施と内容に焦点を当てて審査しなければならない。

(1) 個人の権利利益に重大な影響を与える個人情報処理活動を実施する前に、法律および行政法規の規定に従って個人情報保護影響評価に合格しているかどうか。

(2)個人情報処理活動の合法性、正当性、必要性が分析・評価されているか、また過剰な個人情報の収集がないか。

(3) 個人の独立した意思決定の権利の制限、差別的取扱いの原因、個人の評判の毀損や精神的ストレスの原因、個人の財産の損傷などの安全リスクの分析と評価が行われているかどうか。

(4) 講じられた保護措置の合法性、有効性及び適応性が分析及び評価されているか。

(5) 個人情報保護影響評価報告書及び処理記録は少なくとも 3 年間保存されているか。

第26条 個人情報処理者は、個人情報セキュリティ事故に対する緊急計画を策定しなければならない。監査中には、緊急対応計画の包括性、有効性、強制可能性が評価されます。これには以下が含まれますが、これらに限定されません。

(1) 自社が直面する個人情報セキュリティリスクについて、経営実態を踏まえ体系的に評価・予測を行っているか。

(2) 指導理念、基本戦略、組織構造、人員、技術、物的支援、指揮・処理手順、緊急・支援措置等が、予測されるリスクに対処するのに十分であるかどうか。

(3) 関係者に対する緊急時対応訓練が実施されており、定期的に緊急時対応訓練が実施されているか。

第 27 条 個人情報処理業者による個人情報セキュリティ事故への緊急対応と対応を評価する際には、主に次の要素を考慮する必要があります。

(1) 個人情報セキュリティインシデントの影響、範囲、被害の可能性を緊急時計画及び運用手順に従って速やかに特定し、インシデントの原因を分析・特定し、被害の拡大を防止するための措置を提案しているか。 ;

(2) 通知チャネルが確立されているか、またインシデント発生後 72 時間以内に個人情報保護の責任を負う部門および個人に通知できるかどうか。

(3) 個人情報セキュリティ事故によって引き起こされる損失および起こり得る危害のリスクを最小限に抑えるために、対応する措置が講じられているかどうか。

第28条 大規模インターネットプラットフォーマーは、個人情報の保護を監督するため、外部の委員を主体とする独立した組織を設立しなければならない。監査においては、独立機関の独立性、職務遂行能力、監督的役割等が評価されるべきである。

(1) 個人情報保護を監督する独立機関の独立性を、外部委員が個人情報処理者及びその大株主と独立的かつ客観的な判断を妨げるおそれのある関係を有しているかどうかを中心に評価する。

(2) 社外委員が相応の専門的知識、能力及び経験を有し、個人情報処理業者の個人情報保護について監督・指導し、客観的かつ公平な意見を述べられるかどうかを中心に、社外委員の職務遂行能力を評価します。そして提案。

(3) 個人情報処理業者のコンプライアンス体制の構築、プラットフォームルールの策定、重大な個人情報セキュリティ事故への対応、企業の社会的規範の遵守の促進等における独立機関の役割を中心に、独立機関の監督上の役割を評価する。責任。

第 29 条 大規模インターネット プラットフォームの規則に関しては、次の事項を重点的に監査する必要があります。

(1) プラットフォーム規則の合法性と遵守性、および法律や行政規制に抵触するかどうかを評価します。

(2) プラットフォームのルールの公平性と公平性、悪意のある競争、消費者の権利への影響、および公正な競争、信義則、公序良俗の原則に違反するその他のコンテンツの有無を評価する。

(3) プラットフォーム規約の個人情報保護規定の実効性、プラットフォーム、プラットフォーム上の製品やサービスプロバイダーの個人情報保護の権利と義務が合理的に定義されているか、プラットフォーム運営者による個人情報の取り扱いが適切であるかどうかを評価する。プラットフォームが規制されているかどうか、運営者の個人情報保護義務が明確かどうか。

(4) プラットフォームルールの実施状況を確認し、プラットフォームルールが効果的に実装されているかどうかをサンプリングなどの方法で検証します。

第 30 条 大規模インターネット プラットフォーム運営者は、自社のプラットフォーム上での製品またはサービスのプロバイダーの個人情報処理活動を監督しなければなりません。監査中は、次の事項に焦点を当てる必要があります。

(1) プラットフォーム上の製品またはサービスプロバイダーの個人情報処理ルールの合法性および合理性が定期的にレビューされているかどうか。

(2) プラットフォームの製品またはサービスプロバイダーの個人情報の取り扱いに関する法令および行政規制の遵守が定期的にレビューされているかどうか。

(3) 個人情報の取扱いに関して法令や行政法規に重大な違反をする商品やサービスの提供者に対しては、速やかにサービスの提供を停止するかどうか。

第 31 条 大規模インターネットプラットフォーマーは、個人情報保護の社会的責任報告書を毎年公表しなければならない。監査では、社会的責任報告書の以下の内容の開示に重点を置く必要があります。

(1) 個人情報保護の組織体制及び内部管理

(2) 個人情報保護機能の構築

(3) 個人情報保護対策及び実効性

(4) 個人による権利行使の申請の受理。

(5) 独立監督機関の職務の遂行。

(6) 重大な個人情報セキュリティ事故への対応

(7) その他法律および行政法規で定められた場合。