ネットワークセキュリティ審査での滴滴(DiDi)への違反処分事例

国家インターネット情報弁公室は2022年7月21日、配車サービス「滴滴出行(DiDi)」などを運営する滴滴全球股份有限公司(DiDi Global)に対し、サイバーセキュリティ法、データセキュリティ法、個人情報保護法等の規定に違反したとして80億2,600万元(約1607億円)の罰金を科すと発表した。あわせて、同社の程維董事長兼CEOと柳青総裁にもそれぞれ100万元(約2,000万円)の罰金を科している。同弁公室は違反の状況について「情状は深刻で、性質は劣悪である」とコメントした。

処分の対象は上場会社

今回の処分の対象となった滴滴全球股份有限公司は、VIEスキームを活用してケイマン諸島に設立された企業で、ニューヨーク証券取引所に上場している。実際に中国国内で配車サービス等を運営しているのは北京小桔科技有限公司やそのグループ会社である。

https://www.didiglobal.com

指摘された違反内容

国家インターネット情報弁公室によると、2021年7月に同社に対し実施したネットワークセキュリティ審査において、8項目16件に及ぶ違法行為が見つかった。具体的には次の通りとなっている。

① ユーザーの携帯電話のアルバム内にあるスクリーンショットに関する情報1196万3900件を不正に収集

② ユーザーのクリップボード情報およびアプリケーションリスト情報83億2,300万件を過剰に収集

③ 乗客の顔認証情報1億700万件、年齢層情報5350万9200件、職業情報1633万5600件、家族関係情報138万2900件、自宅および会社の配車先住所情報1億5300万件を過剰に収集

④ 運転代行サービスの評価時およびアプリのバックグラウンド実行時に、携帯電話と桔視記録儀(同社が提供するドライブレコーダー用表示アプリ)を接続した際の正確な位置情報(緯度・経度)1億6700万件を過剰に収集

⑤ ドライバーの学歴情報14万2900件を過剰に収集。ドライバーの身分証情報5780万2600件を暗号化せずに保存

⑥ 乗客に明確に告知をすることなく移動目的情報539億7600万件、居住地情報15億3800万件、出張・観光情報3億400万件を分析

⑦ 乗客の順風車(同社が提供するライドシェアサービス)利用時に、サービスとは無関係である電話権限を頻繁に要求

⑧ ユーザーの端末情報等19項目について個人情報処理の目的を正確かつ明確に説明していない

さらに、同社が国家の安全に深刻な影響を及ぼすデータ処理活動を行っていたほか、当局からの要求に従わず、悪質な規制逃れを行っていたことも認められた。

なお、同社の違法行為は国家の重要インフラ施設の安全性に重大なリスクをもたらしたが、詳細については国家の安全保障に関わる事であり公にはしないとしている。

7年に渡る違反を是正せず

同社が違法行為を行った期間は、最初の違反行為が認められた2015年6月から現在までおよそ7年に及び、2017年6月にサイバーセキュリティ法、2021年9月にデータセキュリティ法、2021年11月に個人情報保護法がそれぞれ施行された後も違反行為が行われていた。

その間、監督部門が繰り返し是正を求めても従っておらず、膨大な量の個人情報を不正に扱っていること、ユーザーの個人情報の権益を著しく害していること、同社が運営する複数のアプリが違法行為を行っていることなどから、セキュリティ状況の全面的な見直しと併せて厳正な処分を行うべきとの判断に至り、同社および経営者に対し高額な罰金を科すことになったとしている。

個人への刑事罰は

7月21日までに程維董事長兼CEOと柳青総裁に刑事罰が科されたとの発表はなく、今後重ねて刑事罰を科すことはないと見られている。

インターネット上でもその理由が複数挙げられている。まず行政処分の決定は、司法機関が刑事罰を下すか判断した後に行われるものであること。

また行政処罰法等の規定では、刑事犯罪に関与していれば司法当局に移管されるが、適切なタイミングで移管されなければ行政当局が処分を受けることになるため、DiDiという誰もが知る大手サービスの事案で関係当局が手続き上のミスをするとは考えにくく、複数の関係当局の判断で刑事罰ではなく、行政罰を科すことになったと想像されること。

さらに、全国人民代表大会常務委員会が、行政罰の適用後にさらに刑事罰を科すことは可能な限り避けるべきとの見解を表明していること、などがある。

罰金の金額の根拠は

今回の罰金の額は、個人情報保護法66条で定められた営業収入の5%という計算によるものとみられる。同社の2021年の営業収入の総額は1738億元で、このうち中国国内の営業収入は92%を占める1605.21億元となっている。よって、1605.21億元の5%で80億2,600万元となる計算だ。

なお2021年のEBITA(利息・税引・無形固定資産減価償却前の当期純利利益)は61.29億元だったから、ごく大雑把にとらえても今回の罰金で2021年の利益はまるまる吹っ飛んでいる。

責任者個人への罰金も同66条で「10万元以上100万元以下」と定められていることから、程維董事長兼CEOと柳青総裁へはそれぞれ最高額が科されることになったと考えられる。

今後の取り締まりへの影響

国家インターネット情報弁公室は記者会見で、今後はネットワークセキュリティ、データセキュリティ、個人情報保護等の領域において、違法行為の取り締まりを強化すると発言している。さらに、本件のような典型的な事案を積極的に公表して抑止力とし、インターネット分野の健全で秩序ある発展を促進したい、との方針を明らかにしている。

サイバーセキュリティ法やその関連法への違反事例は度々インターネット上でも報道されている。施行から5年が経ち、実務に必要な関連法規も整ってきたことから、今後取り締まりが強化されることは間違いないだろう。今回の事案は、海外で設立され海外市場に上場する企業であっても法令違反があれば厳しく処罰するという前例になり、業界の引き締めにもつながると想像される。

国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定(中国語)
http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm


2021 DiDi ANNUAL REPORT(英語)
https://s28.q4cdn.com/896456191/files/doc_financials/2021/ar/22-8339-1_DiDi-Global-Inc._20-F-AsFiled.pdf

クララオンライン コンサルティング事業部

クララオンライン コンサルティング事業部

中国ビジネスをワンストップでご支援するクララオンラインコンサルティング事業部