データに基づく運用における最高かつ最も重要なレベルは、（個人情報のセキュリティを確保するための公開データ認証運用システムの改善）を指します。

個人情報の安全性確保のため、公的データ認証運用システムの改善

【行政フォー​​ラム】

著者：李暁慧（中国政法大学比較法研究所教授）

データはデジタル経済の中核要素であり、デジタル時代の「石油」として知られています。社会統治のデジタル化が進むにつれて、公的データの量も増加し続けています。法律や規則によって公共事務を管理する権限を持つ国家機関、公的機関、社会団体、医療、教育、水道、電力、暖房、公共交通、文化観光などの公益事業事業者は、多種多様なデータリソースを収集、生成しています。公共データリソースを統合し、活性化することで、管理効率が向上し、公共データの本質的な価値が発揮されます。

公認操作は、公共データの社会的発展にとって重要な仕組みです。公共データの許可された運用とは、特定のレベルの政府が、法人または非法人に、法定の手続きに従って許可された公共データを処理および開発し、データ製品およびサービスを形成して社会に公開することを指します。中国共産党中央委員会と国務院が発行した「より完全な市場ベースの要素配分システムとメカニズムの構築に関する意見」と「データ要素の役割をよりよく果たすためのデータインフラストラクチャの構築に関する意見」（いわゆる「データに関する20か条」）は、公共データの認可された運用の基礎を提供します。現在、北京市や上海市を含む20以上の省、自治区、直轄市が規範文書を発行し、公共データ認可業務に関する業務を積極的に実施している。

公開データには、個人情報、個人のプライバシー、その他の個人の権利が含まれます。公共データの許可された運用は、国民の個人情報の権利と公共情報のセキュリティを保護するという前提の下で実行され、効率とセキュリティのウィンウィンの関係を追求する必要があります。適切な制度的準備により、公的データの認可された運用に関する懸念を解消し、データ供給者の熱意を喚起し、より幅広い国民の支持を得ることができます。その中でも、以下の制度的連携の改善が特に重要です。

許可された操作に対する公開データの範囲を合理的に定義します。公開データは適切に分類し、最も有効かつより安全なデータを認可された運用の最初のパイロットとして使用し、これに基づいて範囲を徐々に拡大する必要があります。データを入力することもできます。たとえば、北京では、集中管理と分類された政策の実施を容易にするために、データを分野別、地域別、総合的な基本カテゴリーに分類しています。また、広東省の実践を参考にして、公開データのセキュリティを分類し、さまざまなセキュリティ レベルに異なるセキュリティ標準を実装し、データ カタログを編集し、重要なデータ領域と優先データ領域を強調表示することもできます。

情報セキュリティの観点から、教育データ、健康データ、財務データなど、個人情報との相関性が高いデータ種別については、より高いリスク管理レベルを設定できます。これらの公開データは、許可された操作リンクに入る前に、感度を下げ、匿名化し、暗号化する必要があり、「利用可能だが表示できないデータ」と「計算可能だが識別できないデータ」というより厳格な原則に従って、許可の範囲と操作に特定の制限を課す必要があります。法律や法規により公開が明示的に禁止されている、個人情報を含む、公共の安全に影響を与える、匿名化や感度低下が不可能な、セキュリティ処理基準を満たさない公開データは、許可された操作範囲に入ることを禁止する必要があります。

承認プロセスへのエントリを厳密に制御し、承認操作プロセスを標準化します。一方で、認可主体をさらに明確にし、行政管理プロセスで生成される公共管理データは、特定レベルのデータ管理部門によって統一的に認可されるべきである。医療、教育などの公共機関、国有企業、公共サービス機関などの公共サービス機関によって生成された公共サービスデータについては、データ管理部門によるセキュリティ審査とファイル提出に合格した後に運用を許可する必要があります。一方、認定運営単位の資格要件を明確にする必要がある。資格のある認定運用ユニットは、公開情報と個人情報のセキュリティを効果的に保護し、「データが見えにくい」運用を確保するために十分な技術的および人的資源条件を備えている必要があります。認定運営単位の資格審査においては、個人情報漏洩や不正使用の履歴がある単位を除外するための個人情報セキュリティ保護のためのブラックリスト拒否メカニズムを確立する必要がある。認定運用契約を通じて個人情報保護に関する厳格な義務と責任を確立します。現在、公的データ運用の認可を受けているのは主に地元のデータ企業であり、十分な市場競争メカニズムが欠如しています。認可された操作のプロセス仕様を改良し、コンプライアンス監視を強化するための努力を払う必要があります。データのソースを追跡でき、送信先を確認でき、動作を記録し、責任を調査できることを確認します。データ認証業務のエクスポートは、データ分析レポート、インデックスレポートなどのさまざまなデータ製品です。オリジナルデータは第三者に提供されず、オリジナルデータの取引も行われません。

予防、早期警告、緊急対応のメカニズムを確立する。公共データの認可には、公共の利益に関連する膨大な量の関連情報とデータが関係します。これらのデータはさまざまなテクノロジーを通じて復元され、相互接続されるため、識別可能な個人情報が生成される場合があります。特に、公的データや個人情報のセキュリティインシデントに対する効果的なリスク予防と早期警告のメカニズム、および緊急対応のメカニズムが必要です。各レベルの政府はこれを重視すべきであり、データ管理部門、インターネットセキュリティ、公安、国家安全保障などの部門の関係者と技術専門家の支援で構成された早期警報および緊急対応メカニズムを確立すべきである。すべての規制部門は協力して、政府の最高データ責任者とデータコミッショナーの役割を十分に発揮し、年次データ運用報告、データリスク評価などを通じて監督を実施する必要があります。認可された事業単位は、リスクの予防と管理の技術とシステムを改善し、緊急事態に対処するために、利益からリスク資金を引き出すことが推奨されます。

著者は、堅固で効果的な制度的保証に基づいて個人情報保護のセキュリティ上の考慮事項を確立することによってのみ、技術、市場、公共管理が効果的にリンクされ、公共データの安全で準拠した効率的な開発と利用が実現され、データ要素業界の持続可能で健全な発展のニーズを満たすことができると考えています。

光明日報（2024年1月27日5面）

出典：光明日報