中国ビジネスを展開する際、データマーケティングは非常に重要です。
一方、中国の消費者は自らのデータ権利に対して非常に敏感であり、中国政府からの監督も日増しに強化されています。
PIPL・データ規制への違反は、ブランドイメージの失墜、場合によっては中国市場からの撤退を意味する重大な罰則もあります。
少し難しいトピックではありますが、本記事では、PIPL・データ規制を理解できるように中国現地の最新情報も入れながら、わかりやすく紹介します。
PIPL・データ規制の概要~基本原則
中国ビジネスにおける情報管理規制として、PIPL・データ規制があります。
ここでは、PIPL及びデータ規制の概要~基本原則まで一挙に紹介します。
PIPL及びデータ規制とは
まず、PIPL(Personal Information Protection Law)とは、中国個人情報保護法を指します。
2021年6月に中国政府により制定され、2021年11月1日に施行された中国の個人情報保護に関する法律です。
PIPLは、個人情報の収集・使用・処理・転送・公開などについて、企業や組織に対し、明確なルールを設けており、個人情報の保護を強化することを目的としています。
次に、中国のデータ規制は、PIPLを含む中国の「ネットワークセキュリティ法」、「データ安全法」などの中国データガバナンス関連法律全体を指します。
PIPL制定の背景とその他重要な規定の位置付け
中国ビジネスでデータガバナンスのリスク管理を行う際は、中国政府のルール制定の流れや今後動向を把握したうえで、規制全体を理解することが大切です。
ここでは簡単に、重要な規定の施行年度や概要を紹介しましょう。
〇ネットワークセキュリティ法(CSL, 2017年施行): 主にネットワーク運営者に対する義務を規定し、重要データの国内保存、サイバーセキュリティの確保などを求める。ネットワークインフラに焦点を当てた法律。
〇データ安全法(DSL, 2021年施行): データそのものを国家の安全や公共利益の観点から規制。データの分類分級、重要データの定義、国家間のデータクロスボーダー移転への規制を強化。
〇個人情報保護法(PIPL, 2021年施行): 欧州のGDPRに倣い、個人の権利保護を最前面に掲げた法律。個人情報の取り扱い全般(収集、利用、保存、移転、削除)について、厳格なルールを定める。
歴史的な流れから察するに、ネットワークインフラ整備から、重要データの管理、個人情報に関するルールという流れで、徐々に細分化され、厳しく管理されていることが読み取れます。
また、PIPLは、中国データガバナンス関連法律の中で「個人情報」という特定のデータカテゴリーに特化し、個人の権利保護を究極の目的としています。
つまり、日本ブランドが中国で消費者データを扱う全ての活動(会員登録、購買履歴の分析、SNSマーケティング、CRMなど)は、このPIPLの厳しい監視下にあると理解できます。
PIPLの核心となる5つの基本原则
ここからは、日本ブランドが中国ビジネス展開する際に密接に関わってくるPIPLの基本原則について、詳しく紹介しましょう。
PIPLは、その第5条から第9条において、個人情報処理の基本原則を定めています。
①合法性・正当性・必要性・誠実性原则
情報処理活動は合法で、正当な目的に限り、達成に必要な最小限の範囲で、誠実に行わなければなりません。
「とりあえず集めておく」という発想は完全に否定されます。
②目的の明確化と制限原則
情報を収集する前に、その利用目的を明確にし、告知しなければなりません。
その後、目的の変更なく流用することは禁止されています。
③同意取得原則
本人の自発的かつ明確な同意が、多くの処理活動の法的根拠となります。
特に、第三者提供などにおいては、別途の同意が必要です。
④個人情報の品質確保原則
取り扱う個人情報は正確かつ可能な限り完全であるよう努めなければなりません。
不正確な情報に基づくマーケティングは、顧客不信を招くだけでなく、違反の可能性もあります。
⑤説明責任の原則
処理者は本法で定められた義務を履行したことを証明する責任を負います。
つまり、「どのように遵守しているかを証明できる」状態が求められます。
実際の法律原文のリンクもありますので、興味のある方はご覧ください。
中华人民共和国个人信息保护法_滚动新闻_中国政府网 (www.gov.cn)
「同意」の重要性と取得方法の厳格化
個人情報に関する「同意」のハードルが最大の関門です。
みなさんも新しいサイトやアプリを見ようとしたときに、個人情報に関する同意を求められることがあると思います。
その同意の取得方法について、日本と同様に中国でも厳格に定められています。
具体的に、PIPLが求める同意は、以下の条件を満たす必要があります。
ユーザーの自発性を尊重やわかりやすさを重視
・デフォルトでチェックが入っている
・同意しなければサービスが利用できない
などの行為は違反と見なされます。
完全に告知された上での同意: 利用目的、処理方法、保存期間、個人の権利行使方法などを、明確で分かりやすい言葉で、別途の形式で告知しなければなりません。
長く複雑な利用規約に埋め込む方式はリスクが高いでしょう。
撤回の容易さ
同意の撤回は、同意を与えることと同じくらい簡単でなければなりません。
特に、マーケティングプロファイリングや第三者への個人情報提供については、明確な別途の同意が必要です。
例えば、ECサイトでの購買履歴を分析して趣味嗜好を推測し、広告配信に利用する行為や、提携企業に顧客リストを提供する行為は注意が必要です。
単なるサービス利用規約への同意では不十分であり、その行為自体に対する個別の同意が必須です。
外資系ブランドが守るべき5つのリスク管理ポイント
日本ブランドが中国市場で活動する際に、特に注意すべき現実的なリスク管理のポイント5つを紹介します。
ポイント1:越境データ移転(クロスボーダー転送)
日本本社や海外のクラウドサーバーに中国消費者データを持ち出そうとする行為は、PIPLおよびデータ安全法において最も規制が厳しい領域の一つです。
データの国外提供には、以下のいずれかの方法を厳格に遵守する必要があります。
セキュリティ評価
国家網信辦による事前の安全評価を受けて承認を得る(一定規模以上のデータ処理者や機微情報を扱う場合等が対象)必要があります。
個人情報保護認証
認定機関による認証を取得する必要があります。
標準契約
中国当局が制定する標準契約條款(SCC)を締結しなければなりません。
上記が求められている法的対応です。
実務上のリスクとして、多くの日本企業が「グローバルCRMシステム」を前提に事業を展開していますが、中国消費者データを安易に日本に移転することはできません。
中国国内にデータセンターを構えるクラウドサービス(例:AWS China、Azure China、Alicloud)の利用や、データの中国ローカル処理が現実的な選択肢となるでしょう。
ポイント2:第三者委託・提供における管理責任
広告代理店、SNS運営会社、分析会社など、外部のベンダーにデータ処理を委託しているブランドも多いです。
この場合、委託元である日本ブランドは、委託先の活動を監督する責任を負います(PIPL第21条)。
これは「委託すれば終わり」ではないことを意味します。
具体的な責任としては、下記があります。
委託先の評価:
委託先のデータ保護能力を事前に評価しなければなりません。
委託契約の厳格化
処理目的、期限、保護措置、二次委託の条件などについて、法律で要求される事項を盛り込んだ契約が必須です。
継続的監視
契約締結後も、委託先が適切にデータを管理しているかを監視する義務があります。
ポイント3:顧客データ扱いに関する「同意」
現在、ホームページやアプリ上から、顧客データを収集・分析して、マーケティングを活動をしているブランドが多くいます。
それらのマーケティング活動にも同意が求められます。
具体的なケースを見ていきましょう。
SNSマーケティング:
WeChatオフィシャルアカウントやミニアプリからデータを収集・分析する活動は全てPIPLの対象です。
ユーザーへの告知と同意取得フローが適切か、再点検が必要です。
ビッグデータ分析・プロファイリング
購買履歴やブラウジングデータからユーザータグを作成し、パーソナライズされた推薦を行う行為は、自動化された意思決定として、ユーザーに対して説明を拒否する権利が与えられています。
リターゲティング広告
ユーザーが閲覧した商品の広告を他サイトで表示する行為も、広告配信事業者を通じた「第三者提供」と見なされる可能性が高く、厳格な同意が必要です。
ポイント4:個人の権利対応とインフラ整備
PIPLは個人に対し、自らのデータについて強い権利を付与しています。
これらの権利要求に対応する窓口とプロセスを整備していないことは今後、重大なリスクとなり得ます。
ユーザーから「自分たちが保有しているデータを開示してほしい」「削除してほしい」という要求が来た場合、15営業日以内に対応することが原則として義務付けられています。
また、これらの要求を受け付けるための窓口(多くの場合はコールセンターやオンラインフォーム)を設置し、その連絡方法をユーザーに明確に告知する必要があります。
ポイント5:違反時の制裁とブランド毀損リスク
違反時の制裁は極めて重く、以下の2段階で考えなければなりません。
法的制裁
是正措置、没収所得、5000万元人民元(約10億円)以下、または前年度売上高の5%以下の過料があります。
さらに、営業停止、事業許可の取消しなど、事業継続そのものを脅かす可能性もあります。
ブランド毀損
中国では「信用スコア」社会が構築されつつあります。
企業に対しても監督当局が違反情報を社会に公表し、企業の信用を毀損する措置を取ります。
一度失った消費者の信頼とブランドイメージは、巨額の広告費を投じても簡単には戻りませんので大きな損失と言えるでしょう。
実践的リスク管理戦略
PIPL・データ規制の全体像と外資が守るべきリスク管理ポイントが分かったと思います。
ここからは、リスク管理だけではなく、適切なデータガバナンスを競争力に変えるための実践的なアプローチを4つのポイントから紹介しましょう。
①ガバナンス体制の構築:人・組織・規程
まずは土台となる体制づくりから始めましょう。
責任者の明確化
中国現地法人の代表者または最高責任者が、データ保護の最終責任者となりますので、責任者としての心構えや準備が大切です。
実務担当者の配置
法務、IT、マーケティング部門からなる実務チームを結成し、継続的に規制動向をチェックし、内部規程の整備と実行を担当させます。
内部規程の整備
「個人情報保護規程」、「データ越境移転管理規程」、「インシデント対応マニュアル」など、一連の内部規則を整備し、従業員教育を徹底します。
②データマッピングと全ライフサイクルの管理
自社が「どのデータを」、「どこで」、「何のために」、「どのように」扱っているかを可視化(データマッピング)することが大切です。
収集
収集元、収集方法、同意の取得状態を明確にします。
保存・利用
保存場所(国内/国外)、アクセス権限管理、利用目的の範囲内での利用を担保します。
破棄
保存期間を設定し、期限が来たら確実に削除・匿名化するプロセスを構築します。
この情報の全ライフサイクルにおいて、PIPLの要求事項が満たされているかをチェックしましょう。
③ローカル対応の徹底
日本の常識は中国では通用しません。
現地の専門家の力を借りることが必須です。
法律顧問の起用
中国のデータ保護法に精通した現地の法律事務所と契約し、定期的にコンプライアンス状態を監査してもらいましょう。
現地ITベンダーの活用
クラウドサービス、CRMシステム、同意管理プラットフォーム(CMP)は、中国の規制環境に適合した現地のソリューションを優先して検討すべきです。
④透明性の高いコミュニケーションによる信頼構築
リスク管理は防御だけではありません。
積極的な情報開示は、消費者の信頼を獲得する最大のマーケティングツールとなり得ます。
プライバシーポリシーの見直し
分かりやすく、詳細なプライバシーポリシーを中国語で提供しましょう。
オプトインのデザイン
ユーザーが自らの選択権があると感じるような、明解で使いやすい同意インターフェースを設計するのがお勧めです。
信頼を得るブランドメッセージ
「お客様のデータとプライバシーを最重要視しています」というメッセージをブランドコミュニケーションに組み込むことで、差別化を図ることができます。
データ保護はもはやコストセンターではなく、中国市場で成功するための最も重要なインフラ投資です。
PIPLを単なる「縛り」と捉えるのではなく、消費者との信頼関係を構築し、真に価値のあるマーケティングを実現するためのツールとして捉え直すと良いでしょう。
最後に
今回の記事でご案内した内容は、あくまで現時点の弊社の分析に基づくものです。
実際に自社ブランド商品を売り込みたい場合は、自社ブランドの特徴や中国市場状況に合わせて、マーケティングを行うことがおススメです。
弊社は現在、中国版TikTok抖音(Douyin)・RED(小紅書)を活用した中国SNSの運用代行や、中国への越境ECの支援などのサービスを展開しております。
ぜひご気軽にご相談ください。
