National Cybersecurity Standardization Technical Committee は、 2025 年 5 月 26 日、個人情報保護監査を実施するための 2 つのガイドを発表しました。
2025 年 5 月 1 日以降、中国で特定の量の PI を処理する企業は、個人情報保護法( PIPL )やネットワークデータセキュリティ管理規制など、中国のデータおよび PI 保護規制に準拠しているかどうかを評価するために定期的な監査を実施する必要があります。
最初のガイド である『サイバーセキュリティ標準プラクティスガイド』の「個人情報保護コンプライアンス監査要件 」では、コンプライアンス監査を実施するための一般的な原則を提案し、監査の必要頻度、実地棚卸監査の担当者の任命、証拠の収集と文書の保守などのさまざまな事項を明確にします。 また ' 監査前の準備作業から監査の実装およびアーカイブ管理まで ' 監査プロセスの詳細なステップ・バイ・ステップ・ガイドも提供します
2 番目のガイド『 Cybersecurity Standard Practice Guide – Service Capability Requirements for Professional Institutions for Personal Information Protection Compliance Audits 』は 、企業のために監査を実施するために採用された専門機関を対象としています。
この記事では、 PI コンプライアンス監査を実施する企業の要件を概説した、以前のガイドに焦点を当てています。
背景 : 必須の PI 保護監査
PIPL 第 54 条では、 PI プロセッサが PI の取り扱いが中国の PI 保護法および規制に準拠しているかどうかを判断するために、定期的な監査を実施する必要があると規定しています。 2025 年 5 月 1 日に、これらの監査を実施するための要件を示す一連の新しい措置が施行されました。
これらの措置( 個人情報保護に関するコンプライアンス監査の管理のための措置) により、企業は、内部部門または第三者機関を指名して監査を実施することができます。 また、コンプライアンス監査を実施するために必要な企業の詳細、実施頻度、監査の必要範囲も提供します。 特定の状況下では、サイバーセキュリティ当局は、企業に代わって監査を実施する専門機関を任命するよう求める場合もあります。
この施策は、監査の実施方法に関する追加情報を提供するガイドラインとともに公表されました。これには、 PI 処理、 PI 処理規則、 および境界を越えたデータ転送に関するルール。
新しいガイドラインでは、コンプライアンス監査のためのより詳細な要件が示されています。たとえば、少数の PI を処理する企業の監査頻度、指定された経験レベルを持つ認定コンプライアンス監査官の強制任命、包括的な証拠および文書基準などが含まれます。
コンプライアンス監査を実施するための一般的な要件
コンプライアンス監査を独自に実施することを選択した企業は、監査を実施する前に、特定の基本要件を満たす必要があります。 これらの要件は、企業が大量の PI を処理する場合、または大規模であると見なされる場合、または国の利益活動に関与する場合に高くなります。
まず、 100 万人以上の従業員の PI を処理する場合、コンプライアンス監査の責任者として PI 保護担当者を指定する必要があります。
第 2 に、「大規模ネットワークプラットフォーム」と見なされる企業(登録ユーザが 5,000 万人以上、月間アクティブユーザが 1,000 万人以上のインターネットプラットフォーム、複雑なビジネスタイプ、国内のセキュリティ、経済運営、国民経済に大きな影響を与えるインターネットデータ処理アクティビティを実行するインターネットプラットフォーム) また、人々の生活)は、コンプライアンス監査を実施するために、主に外部メンバーで構成される独立した組織を確立する必要があります。
また、自己監査を行う企業は、組織、人事、方法、コンテンツの基盤、範囲を明確にするために、コンプライアンス監査管理システムを策定する必要があります。 また、保護コンプライアンス監査の頻度、コンプライアンス監査担当者の責任と権限も含まれます。
企業のその他の一般的な要件を以下の表にまとめます。
一般要件(すべての自己監査会社に適用) |
|
カテゴリ |
要件 |
個人の独立性 |
監査人は監査対象物の管理や意思決定に関与してはなりません。報告書は、取締役会またはコンプライアンス委員会に直接提出する必要があります。 |
内部システム |
監査担当者、方法、頻度、内容、責任、責任を指定する PI 保護監査システムを確立する必要があります。 など |
リソース |
監査活動に必要な予算、人員計画、設備、システム、機器を確保します。 |
監査証拠 |
システムログ、アクセス記録、技術レポート、認定書、および実際の運用を反映するその他の文書を含む、効果的な監査証拠を維持する必要があります。 |
ドキュメント |
詳細な監査計画、ワーキングペーパー、監査レポートを、明確な結論、観察、推奨事項とともに維持する必要があります。 付録 B および C のテンプレートを参照できます。 |
監査の頻度と人事の予約
また、このガイドでは、企業がコンプライアンス監査を実施する頻度も規定しています。 この措置では、中国で 1,000 万人以上の個人の PI を処理する企業は、少なくとも 2 年に 1 回はコンプライアンス監査を実施する必要があると規定されていますが、このガイドでは、処理される PI の量に基づいて、必要な頻度の詳細を示します。
- 大規模な事業体( 1,000 万人以上の PI を処理する事業体):少なくとも 2 年に 1 回。
- 中規模の企業( 100 万人から 1,000 万人の PI を処理する企業):少なくとも 3 ~ 4 年に 1 回、 PI コンプライアンスリスク、 PI の量、ビジネス規模などに基づいて、適切に頻度を決定します。
- 小規模な事業体(最大 100 万人の PI を処理する事業体):少なくとも 5 年に 1 回、 PI コンプライアンスリスク、 PI の量、ビジネス規模などに基づいて、適切に頻度を決定します。
また、特定の規模の PI を処理する企業は、さまざまな経験レベルの担当者をコンプライアンス監査役として任命する必要があります。
経験レベルは、ジュニア、中級、シニアの 3 つです。 企業が監査を単独で実施する場合、コンプライアンス監査担当者は次の基準を満たす必要があります。
- 1,000 万人以上の PI を処理する企業の場合:少なくとも 10 人の PI コンプライアンス監査人。そのうち少なくとも 1 人は上級レベルで、少なくとも 3 人は中間レベルでなければなりません。
- 100 万人から 1,000 万人の PI を処理する企業の場合:少なくとも 5 人の PI 保護コンプライアンス監査人。そのうち少なくとも 2 人は中間レベル以上にする必要があります。
会社規模および PI ボリューム別のコンプライアンス監査要件 |
|||||
カテゴリ |
ユーザー /PI ボリューム |
サービスタイプ |
監査担当者 の要件 |
監査頻度 |
その他の要件 |
小規模なエンティティ |
100 万人以下 |
一般( General ) |
指定なし |
リスクに基づき、少なくとも 5 年に 1 回 |
監査の独立性、監査システム、ツール、およびドキュメントが必要です |
中間スケールエンティティ |
100 万人以上 1,000 万人以下 |
一般( General ) |
監査担当者 5 名以上、中間資格または上級資格のある従業員 2 名以上 * |
少なくとも 3 ~ 4 年に 1 回、リスクベース |
PI 保護リードが必要です。内部システムと監査ツールが必要です |
大規模なエンティティ |
1,000 万人以上の個人 |
一般( General ) |
監査担当者 10 人以上、上級者 1 人以上、中間者 3 人以上 |
少なくとも 2 年に 1 回 |
PI 保護リードが必要です。厳格な制御、リソース割り当て、および独立した監査が必要です |
重要なインターネットプラットフォーム |
登録ユーザーが 5,000 万人以上、 MAU が 1,000 万人以上 |
複雑なビジネス、国内での影響が大きい |
大規模と同じ(最小) + 独立した外部監視機関が必要 |
少なくとも 2 年に 1 回 |
社外委員を中心とした独立監視委員会。内部統制と監査独立性は同じ |
また、 3 つのエクスペリエンスレベルのそれぞれの基準の詳細な内訳も説明します。
コンプライアンス監査担当者の能力要件の概要 |
|||
基準 |
ジュニア |
中間 |
シニア |
作業経験 |
PI 保護関連作業で 2 年以上 |
PI 保護関連作業で 3 年以上、および 5 つ以上の主要な監査プロジェクトでの最近の経験 |
4 年以上の PI 保護関連作業を実施しており、 1,000 万人以上の個人 PI を処理する事業体の監査を 5 回以上実施しているプロジェクトリーダーです |
法的および規制に関する知識 |
法律および規格の基本的な理解。ガイダンスに従って一般的なリスクを特定できる |
法律文書および標準に精通している。ギャップ分析を実施し、一般的なシナリオのコンプライアンスを判断できる |
エキスパートレベルの専門知識。複雑な法律を解釈し、さまざまなシナリオでのコンプライアンスを個別に評価できます |
専門的なスキルを監査する |
ガイダンスに従って、データ収集、基本的なドキュメントレビュー、および証拠照合を支援します |
監査の実施、タスクの管理、問題の分析、初期修正のアドバイスなどを独立して行う |
完全な監査プロセスの設計と最適化、複雑なコンテキストの分析、実用的で将来を見据えた推奨事項の提案 |
コミュニケーションと調整 |
基本的なコミュニケーションを行い、チームと協力して割り当てられたタスクを完了できます |
ビジネスチームや技術チームとのコミュニケーションが良好で、シニアスタッフの連携をサポートします |
経営陣とのコミュニケーションを含め、優れた部門間コミュニケーションを実現し、監査中に紛争を解決します |
チームリーダーシップ |
該当なし |
プロジェクトのタスク割り当てと時間管理 |
チームを統率、指導、監督し、チーム全体の能力を高める |
レポートとドキュメント |
ドラフト作業用紙の補助、監視下で基本報告パーツを作成 |
構造化された作業文書とレポートを作成し、文書の品質を管理します |
明確な発見事項と提案を含む高品質のレポートを作成し、最終レポートをレビューして承認し、トレーサビリティを確保します |
プロジェクトの経験 |
該当なし |
1,000 万以上の PI のメインメンバーまたは 1 ~ 1,000 万人のリーダーとして、 5 回以上の監査( 3 年間)に関与している |
5 回以上の監査( 3 年間)で主導的役割を果たす 1,000 万件を超える PI レコードを持つエンティティの場合 |
必要なドキュメント
企業は、特定の要件を満たす必要がある監査プロセスの文書レコードを保持する必要があります。 これらのドキュメントは次のとおりです。
- 監査計画:監査の範囲、基準、内容、方法論、組織、 人員、スケジュール、作業要件。
- 監査作業報告書 : 監査プロセス中に作成され、各監査項目について、実施された手順、使用された方法、調査結果、証拠、および根拠を文書化する必要があります。 記録は、完全で正確、客観的で、整理されている必要があります。
- 監査レポート : ワーキングペーパーに基づいて、最終的な監査レポートに監査の概要、基礎、結論、調査結果、意見を含める必要があります。 推奨事項を参照してください
- 内部監査の署名:内部チームが発行したレポートは、監査チームリーダーが署名する必要があります。 組織が 100 万人を超える個人のデータを処理する場合、個人情報保護の責任者も報告書に署名する必要があります。
コンプライアンス監査を実施するプロセス
このガイドでは ' コンプライアンス監査を実施するための 5 つのステップ(準備 ' 導入 ' レポート作成 ' 問題の修正 ' アーカイブ管理)について説明します
ステップ 1 :監査の準備。 これには、次の 5 つの主要な手順が
- 範囲と基準を定義する : 目的と組織のデータプラクティスに基づいて監査の範囲を設定し、関連する法律と基準を参照します。
- 監査チームの形成:組織の規模、データの複雑さ、内部または外部リソースに基づいて、資格のあるチームを構築します。 プロセスを管理するチームリーダーを任命する。
- 監査前調査:アンケート、インタビュー、文書レビューを通じて背景情報を収集し、組織の個人情報保護の実践を理解します。
- 監査方法の選択:必要な監査と証拠の性質に基づいて、適切な監査方法(オンサイト、オフサイト、電子)を選択します。
- 監査計画の作成とレビュー : 範囲、方法、スケジュール、チームの役割、リスク管理を含む詳細な計画を作成します。 実行前に、必要に応じて確認および調整します。
ステップ 2: 監査の実装。 この手順には、次のタスクが含まれます。
- 通知の送信 : 監査対象者に事前に通知し、監査参加者、責任、範囲、方法、 コミュニケーションチャネル、セキュリティおよび機密性の対策、必要なリソース、フィードバックおよび緊急時の対応手順。
- 証拠の収集:複数のソースから関連性のある客観的な証拠を収集し、監査結果をサポートします。 証拠が適切に整理され、安全に保管され、監査作業用文書にまとめられていることを確認します。
- 証拠の確認と受け入れ:サイバーセキュリティまたはデータ保護に関連する最近の内部評価や認定など、信頼できる証拠のみを受け入れます。 監査結果を作成する前に、必要に応じて分析またはテスト方法を使用して証拠を検証します。
- 監査作業報告書の作成:方法、証拠、調査結果、結論など、監査プロセス全体を詳細に文書化します。 チーム名、監査日、手順、サポート資料やインタビューなどの情報を含める。
- 調査結果の確認:証拠を分析してコンプライアンスの問題を特定し、監査ベースに対して調査結果を検証します。 監査対象組織の管理職に調査結果を提示し、確認します。 不一致が発生した場合は、話し合い、未解決の場合は記録する必要があります。 また、影響と改善の難易度に基づいて、調査結果に優先順位を付けることもできます。
ステップ 3: 監査レポート。 この手順には、次の主要なアクティビティが含まれます。
- 紛争解決:監査レポートを作成する前に、異議を申し立てるためのメカニズムを用意する必要があります。 監査対象組織が何らかの所見に対して異議を申し立てた場合、監査担当者は、これらの結果を速やかに伝えて解決し、最終的な結論と解決プロセスの両方を文書化する必要があります。
- 監査レポートの作成:監査人は、監査プロセス、調査結果、推奨事項をまとめた正式なレポートを作成します。
- レポートの提出:合意された期間内に監査対象組織に提出します。
ステップ 4: 問題の修正。 監査レポートが提出されたら、監査担当者は特定された非コンプライアンスの問題をフォローアップする必要があります。 監査対象組織は、指定された期間内に是正措置を実施することが求められます。 監査役は、必要に応じてフォローアップ監査を実施し、是正措置が完了して効果的であるかどうかを確認することができます。
ステップ 5 :アーカイブ管理。 ワーキングペーパー、監査レポート、サポートドキュメントなど、監査関連のすべての資料は、将来の参照やレビューのトレーサビリティとアカウンタビリティを確保するために、適切にアーカイブする必要があります。
