中国では、銀行以外の他の業種が提供する決済サービスを「第三者決済」と呼び、利用者がスマートフォン上のQRコードを読み取る方法で支払いが完了します。Alipay、WeChat Payといった代表的な第三者決済は、既に中国人の日常生活から切り離せない存在になっています。
一方で、中国サイバーセキュリティ法が2017年6月1日に、中国個人情報保護法が2021年11月1日にそれぞれ施行されて以降、関連する法令、基準、ガイドラインが続々と制定されており、日系企業が第三者決済を導入する際にも注意が必要です。
特に日系企業の中国進出において、中国側の消費者および取引先の利便性を考えて第三者決済での支払いに対応する場合、以下のような懸念が想定されます。
- 第三者決済で支払われた場合、決済履歴の情報は個人情報に該当するか。
- 消費者が紐付けている銀行口座やクレジットカードの情報は、売り手側の会社に提供されるのか。
- 決済情報はセンシティブ個人情報に該当するか。
本稿ではこれらの疑問を解決するために、中国個人情報保護法の重要なポイントを整理したうえで、日系企業が注意すべき点について解説します。
1.第三者決済とは
(1)法令に基づく定義
2015年12月28日、中国人民銀行は「非銀行決済機関ネットワーク決済業務管理弁法」を公布しています(2016年7月1日施行)。同弁法第2条によれば、非銀行決済機関とは、「決済業務許可証を取得し、インターネット決済、モバイル決済、固定電話決済、デジタルテレビ決済等のネットワーク支払業務を行う機関」です。また「ネットワーク決済業務」とは、「受取人または支払人が、コンピューター、モバイル端末などの電子機器を通じ、公共ネットワークの情報システムにより、遠隔から決済指示を出し、同時に、支払人の電子機器が受取人の専用機器と通信されておらず、決済機関が支払人・受取人のために資金の移動サービスを行う」ことを指します。
(2)代表的な第三者決済
中国国内で代表的なものは、EC引取大手のアリババが提供するAlipay(「支付宝」、アリペイ)及び、SNS大手のテンセントが開発したWeChat Pay(「微信支付」、ウィーチャットペイ)です。これらの第三者決済に銀行口座情報を登録した利用者は、QRコードを使って、商品・サービスの支払いや他の人への送金ができます。また、アリババなどのネット通販サイトで支払いすることもできます。
2.個人情報にかかる規制
中国個人情報保護法第40条によると、重要情報インフラ運営者及び処理する個人情報が国家インターネット情報部門の規定数量に達する個人情報処理者は、中華人民共和国域内で收集及び発生した個人情報を域内で保存しなければなりません。
この「規定数量」の判定根拠については、2022年9月1日から施行されている「データ越境移転セキュリティ評価弁法」第4条により、「100万人以上の個人情報を取り扱うデータ処理者」及び「前年の1月1日以降の累計で10万人の個人情報または1万人のセンシティブ個人情報を国外に提供しているデータ処理者」が規則対象になります。
3.第三者決済を使用する場合の個人情報の取扱い
(1)個人情報の定義
「個人情報保護法」における「個人情報」とは、匿名化処理した情報を除き、電子的又はその他の方法で記録され、既に識別されたか、もしくは識別可能な自然人に関する各種情報を指すと定義されています(第4条第1項)。「個人情報」の範囲は、「民法典」の定義に比べて広いことに注意が必要です。
この「既に識別された自然人にかかわる各種の情報」とは、特定の自然人が既に知られており、位置情報や通話記録など自然人の自らの活動から生ずる情報を指し、「識別可能な自然人にかかわる各種の情報」とは、身分証明書番号などの情報自体から特定の自然人を識別することができる情報を指します。
また「情報安全技術個人情報安全規範」(GB/T 35273-2017、以下「個人情報安全規範」という)では、次の表のように具体的に個人情報の範囲を定義しています。
「個人情報安全規範」表A.1:個人情報例示(一部)
| 個人基本情報 | 氏名、生年月日、性別、民族、国籍、家庭情報、住所、電話番号、メールアドレス等 |
| 個人身分情報 | 身分証明書、士官証、パスポート、運転免許証、社員証、社会保険証、居住証等 |
(2)センシティブ個人情報の定義
「個人情報保護法」第28条第1項では、「センシティブ個人情報」について、漏洩したり不正に使用されたりすると、自然人の人格の尊厳を侵害したり、又は人身や財産の安全を脅かしたりする可能性が高い個人情報と定義しています。具体的には、生体情報、宗教信仰、特定の身分、医療健康、金融口座、移動軌跡等の情報、及び14歳未満の未成年者の個人情報を指します。
また「個人情報安全規範」でもセンシティブ個人情報の識別基準や範囲などを定めており、個人の身分証番号、生物識別情報、銀行口座番号、通信記録および通信内容、財産情報、行動追跡情報、健康生理情報、取引情報等は、いずれもセンシティブ個人情報に該当します。
「個人情報安全規範」表B.1:センシティブ個人情報例示(一部)
| 個人財産情報 | 銀行口座、識別情報(パスワード)、預金情報(残高、支払い、収入記録などを含む)、不動産情報、与信記録、クレジット情報、取引および消費記録、通帳記録など、仮想通貨、仮想取引、ゲーム類のコードなどの仮想財産情報 |
| 通信情報 | 通信記録および通信内容 |
| ネットワーク利用情報 | ログを通じて保存された個人情報主体の取扱い記録(ウェブサイトの閲覧記録、ソフトウェア使用記録、クリック記録、お気に入り追加リストなどを含む |
(3)例示
中国で第三者決済を利用する場合、第三者決済の使用状況によって、データの処理、個人情報の取扱い状況が違います。例えば、Alipayの「プライバシーポリシー」によると、支払者(消費者)に関する決済履歴の情報として、ユーザー名もしくは匿名化処理した名前、取引金額、取引番号、注文番号といった一般的な情報が表示されています。
Alipayのプライバシーポリシー(《支付宝隐私权政策》、2021年11月30日発効)
(4)日系企業が注意すべきポイント
特に中国国内に拠点を持つ日系企業が、中国で収集・生成したデータを日本本社へ越境移転する場合、データ越境移転に関する法規制を遵守しなければなりません。。その場合、データの数量と種類によって、越境移転する経路と要求・義務が異なります。
例えば、越境移転するデータに重要データまたは一定数量に達する個人情報・センシティブ個人情報が含まれる場合、越境移転する前に、越境移転で生じるリスクの自己評価を行い、管轄当局にセキュリティ評価を申請しなければなりません。
またセンシティブ個人情報は、収集する前に個人情報主体から単独での同意を得ることが必要です。保存の際には、暗号化などの措置を講じなければなりません。また、経営を目的として、センシティブ個人情報を直接収集するか、または第三者から間接的に収集する場合、所在地のインターネット情報部門へ届出を行う事が義務付けられています。
4.まとめ
4の(2)に掲載した表によると、取引および消費記録といった決済に関わる財産情報はセンシティブ個人情報に含まれるため、決済履歴の中の取引金額、取引対象、取引商品、取引時間、配達情報などの情報もセンシティブ個人情報に該当する可能性が高いと考えられます。つまり、第三者決済を利用する場合、センシティブ個人情報の取扱いに該当する可能性があります。
しかし、第三者決済が顧客の銀行口座やクレジットカードの情報を売り手側の企業に渡さず、企業も顧客の財産情報を収集・処理していなければ、その企業はセンシティブ個人情報の処理者に該当しないと考えられます。
以上のように、中国で事業を展開する日系企業が第三者決済を利用する場合、まずは第三者決済から取得するデータを明確にする必要があります。そして、「サイバーセキュリティ法」、「データ越境移転セキュリティ評価弁法」、「個人情報保護法」などの法令に照らし合わせたうえで、規制に対応することが望ましいと考えます。
