この文章を読んで思い込まないで下さい
タイトルにもあるようにまだ「調査中」です。「こうなるかもしれない」とは書いてありますが、「今後はこうなる」と言い切ってはいません。調べていくうちに状況が好転する可能性もあります。なので、注意深くお読み下さい。詳報は分かり次第出します。
こんにちは。ジェイグラブの横川です。
先々週の8月20日、日本のマスメディアでも報じられたので既にご存じの方も多いと思いますが、中国で個人情報保護法が全人代で可決され成立しました。8月20日に成立し、11月1日には施行されるとのことです。この周知期間の短さがいかにも中国という感じがします(ヨーロッパの非常に厳しい個人情報保護法であるGDPRの周知期間は2年間でした)。
まだ成立して2週間なので内容の精査に時間がかかっており、しっかりと正式にお伝えできる段階ではないのですが、すこし漏れ伝わる話を聞くだけでも、中国ECは厳しくなっていくような感想を持ちます。
今回成立した中国の個人情報保護法はEUのGDPRやアメリカのカリフォルニア州のCCPAを手本に作られている印象はあります。この3つの法律に共通しているのは、たとえ会社の本拠地が中国、EU、カリフォルニア州になくても、影響力を及ぼすことができるという点です。つまり、日本にいても外国の法律で裁かれる可能性があるのです。
EUのGDPRやカリフォルニア州のCCPAについては、対策の仕方がしっかりあって、それをしておけば、まずそれほど問題になりません。ジェイグラブが構築・納品する越境ECサイトはこれらの外国の法律には準拠していますので、この点でのご心配はいりません。
しかし、現時点では今回の中国の個人情報保護法には、どう対策すればいいのかわからない部分が多いのです。
なぜなら「中国に差別的な対応をとる国には断固とした強い対応をとる」という一文があるからです。おそらくアメリカあたりを念頭に入れているのでしょうけど、日本だって、中国チームかアメリカチームかと言えば、アメリカチームですから、国際情勢によっては(今は問題なくても、将来場合によっては)強い対応を取られる可能性があります。つまり、「中国政府の気分次第でいかようにもできるぞ」と言っているようなものです(そんなの法律と言えるのかと我々の常識では思ってしまうんですが、中国ではまかり通ります。以前のブログでも書いていますが、越境ECは国内ECと異なり、政治が思い切り影響することもあるので、新聞の経済欄だけでなく国際欄も見る必要があります)。
先程申し上げたとおり、今回の個人情報保護法はEUのGDPRが手本になっていると思われます。このGDPRは個人情報の保護において、どういう点を注視しているかというと、「個人情報の移動という現象のみ」を見ているということです。
例えば、EU圏内に住んでいる人が、御社の製品が欲しくてアクセスし、送り先など個人情報を書き込んだという場合、相手の意志で情報を書き込んでいるわけですが、GDPRは消費者の意思や店舗の考えなど全く考慮しません。相手が勝手に提供した個人情報でも「個人情報の移動という現象」が起きているので法の対象になるのです。なので、しっかり対策を打っておかないと、みなさんが「勝手に個人情報を盗んだ」と解釈されるのです。この対策がGDPRやCCPAはわかっているんですが、今回の中国の場合は現時点ではわかりません。
中国の個人情報保護法で現時点でわかっていることは
・取得には本人同意が必要で国家機関のデータ処理は中国国内(GDPRと同じ)
・罰金は8億円(これはGDPRの20億円前後よりは優しい)
・プラットフォーム事業者は実質的に中国政府が指定した社外機構の監視が必要
・個人情報保護に関連する具体的規則や標準の制定は中華国家インターネット情報機関が追って決定
・それ以外は、まだ曖昧ではっきりせず。
中国へECで何かを販売する場合、中国の巨大ECモール(天猫(T-mall)、亰東(ジンドン)など)で販売するか、Shopifyなどで自社サイトを構築し、中国語サイトを作って、そこへ中国人バイヤーを誘導して買ってもらうかの二通りがあります。
中国のECモールへの自力進出は非常にコストがかかることは覚悟しておく必要があります。そこで中国向け自社ECサイトを作ろうと判断した企業も多かったと思います。
しかし、この個人情報保護法を考えると、中国語対応の自社サイトは、状況によっては怪しくなる可能性があります。中国から個人情報の移動という現象が起きるので、法に何らかの理由で抵触していると指摘され、罰せられる可能性が出てきます。
そうすると、中国ECモールだけしか選択肢がなくなるかもしれません。
でも、中国ECモールだけにしても、日本からの閲覧は難しくなるかもしれません。管理画面の閲覧だけなら情報の移動は起きていませんが、管理画面が閲覧できるということは、コピペなどで個人情報を日本側に保存することもできるだろ?と言われる可能性もあり、それを言われたらたしかにその通りなんです。閲覧はしたが、コピーはしていないと主張したところで、その証明はできるかと問い詰められたらできませんね。いわゆる「悪魔の証明」というやつにハマります。そう考えると、将来的には現地法人を作らないと難しくなるのかもしれません(10年近く前、多くの企業が現地法人を作りに行って失敗したという話が頭をよぎりますね)。
ただし、この文章を読んで思い込まないで下さい
タイトルにもあるようにまだ「調査中」です。こうなるかもしれないとは書いてありますが、今後はこうなると言い切ってはいません。調べていくうちに状況が好転する可能性もあります。なので、注意深くお読み下さい。詳報は分かり次第出します。