2023.03.06
レポート
インドネシア個人データ保護法(PDPL)に関するレポート
JIPDEC 電子情報利活用研究部 主席研究員 水島 九十九
1.はじめに
インドネシアの個人データ保護法(PDPL、Personal Data Protection Law)が2022年10月17日に制定・施行された。インドネシアにはそれまで個人データ保護に特化した包括的な法律がなく、2016年から法案審議が行われていた。長い間その動向が注目されていたが、事業者による情報漏洩事案が増えてきたことから法整備が急がれていた。
インドネシアは、世界第4位で2.7億人の人口を抱えており、約5%のGDP成長率と共に、巨大な国内マーケットの更なる拡大が見込まれている。またインターネット普及率は全体で約50%(若者だけでは約70%)であるものの、モバイル普及率はほぼ100%となっている。2018年に教育省はICT教育への積極的な導入を発表し、今後IT人材の増加やITスキルの向上が見込まれ、インドネシアに拠点を設けるグローバル企業が増えている。
このようなインドネシア経済拡大の潮流が見られる中、個人データ保護の規制が大きく見直された。厳格化されることにより、インドネシアへの事業拡大を計画している日本企業に取ってビジネスモデルの見直しを迫られるリスクが懸念される。今回はPDPLの不明点について、インドネシア政府機関の担当者に確認する機会が得られたので、その内容も合わせて解説する。
2.インドネシア個人データ保護法(PDPL)の概要
これまでインドネシアでは、個人データ保護についてパッチワーク的に法制度が構築され、データプライバシーに関する規定がいくつかの異なる法律により規定されていた。複数の法律や規則で、個人データの定義が異なっていることも問題視されていた。
2008年の「電子情報法」で一定のデータプライバシー権が規定され、2016年の「電子システムにおける個人データ保護に関する規則」にて電子システム運用者に対する重要なデータ保護要件が示された。また2019年には、「電子システムおよびトランザクションの実装に関するガイドライン」が公開されている。
今回のPDPLは、16の章と76の条建てで構成されており、用語の定義やデータ主体の権利、データ管理者等の義務などが規定されている。現時点ではインドネシア語だけであるが、インドネシア政府の法務担当部署が英文翻訳して公開する予定であると伺っている。
|
第1章(第1~2条)一般的な要件 |
個人データなどの定義、適用範囲 |
|
第2章(第3条)原理 |
基本となる考え方 |
|
第3章(第4条)個人データの種類 |
個人データの構成要素 |
|
第4章(第5~15条)データ主体の権利 |
訂正、削除、同意撤回、異議申立等の権利 |
|
第5章(第16~18条)個人データの処理 |
利用目的内での処理、公共空間での画像処理など |
|
第6章(第19~54条)事業者の義務 |
1)データ管理者の義務(第19~50条) |
|
第7章(第55~56条)個人データの転送 |
国内及び域外へのデータ転送の義務など |
|
第8~17章(第57~76条) |
政府機関の役割や権限、行政処分など |
同法の適用範囲は、インドネシアに所在する個人や企業、公的機関や国際機関だけでなく、インドネシア国外でインドネシア市民の個人データに法的影響を与える外国の個人や企業等となっている。日本企業がECサイトなどインターネット事業を行っている場合には、同法の域外適用の対象に相当する。
また公布から2年間の猶予期間が与えられており、2024年10月17日までにPDPLへの対応が必要となる。
3.インドネシア個人データ保護法(PDPL)の主な特徴
PDPLはインドネシアで初めての包括的な個人データ保護法であり、新しい考え方や手続きが取り入れられている。
1)個人データの定義と分類
「個人データ」は、識別される個人、または他の情報と組み合わせることで識別できる個人に関する情報と定義されている 【第1条】。
個人データは「一般個人データ」と「特別個人データ」の2分類となっている 【第4条】。
|
一般個人データ |
a)氏名、b)性別、c)市民権、d)宗教、e)配偶者の有無、g)その他 |
|
特別個人データ |
a)健康データ、b)生体認証データ、c)遺伝子データ、d)犯罪記録データ、e)子供のデータ、f)財産データ、g)その他 |
更に特定個人データを取り扱う事業者に対して、データ保護影響評価 【第34条】、データ保護責任者(DPO)の設置 【第53条】、などが義務付けられている。
2)データ主体の主な権利
自らの個人データに関して、データ主体に様々な権利が与えられている。個人データ管理者が行うデータ処理において、データ主体が適切な情報提供を受ける権利を含め、データ主体の権利とその行使方法の主な内容は以下の通りである。
- 個人データの利用目的、法的根拠、処理方法などの説明を受ける権利 【第5条】
- 不正確な個人データを訂正する権利 【第6条】
- 個人データにアクセスし、コピーできる権利 【第7条】
- 個人データの取り扱いを中止させる、または削除・廃棄させる権利 【第8条】
- 個人データの取り扱いに関する同意を撤回する権利 【第9条】
- プロファイリングなど自動処理に基づく意思決定に異議を唱える権利 【第10条】
- 個人データの取り扱いを一時停止または制限する権利 【第11条】
- 個人データ取扱いの違法行為に対して訴訟を起こし補償を受ける権利 【第12条】
- いわゆるデータポータビリティ権(事業者等に提供した個人データを本人が再利用しやすい形式で受け取り、他の個人データ管理者に送信する権利) 【第13条】
3)個人データ管理者に係る主な義務
個人データの取り扱いに関して、個人データ管理者に対する主な義務が規定されている。データ主体の権利は、管理者側から見ればその権利に対する義務が生じる関係となる。
- 個人データを処理する根拠として、個人データを取得する際は利用目的を明示した上でデータ主体から同意を得なければならない 【第20条】
- 個人データを処理する場合に、処理の目的、保有期間、データ主体の権利などについてデータ主体に情報提供しなければならない 【第21条】
- 個人データ取得時に書面または記録された同意を得なければならない 【第22条】
- 子供や障害者の個人データを取得する際は、保護者の同意を得ること 【第25条】
- 個人データの全ての取扱い/処理について記録しなければならない 【第31条】
- 個人データの保管期間においては、データ主体からのアクセス要求に72時間以内に返答しなければならない 【第32条】
- 個人データの処理に関して、潜在的に高いリスクがある場合にはデータ保護影響評価を行わなければならない 【第34条】
- 個人データ管理者は管理下にある個人データ処理者を監督すること 【第37条】
- データ主体が同意を撤回した際は、個人データの処理を停止すること 【第40条】
- 個人データが不要になった場合や、データ主体から削除要求があった場合には、個人データを削除しなければならない 【第43条】。
さらにデータ主体に通知しなければならない 【第45条】
- 個人データの漏洩事故が発生した場合には、72時間以内にデータ主体やデータ保護当局に書面で通知する必要がある 【第46条】
注) 但し、一部例外として個人データ管理者が拒否できる、または免除される義務が規定されている 【第33条、第50条】
4)データ保護影響評価 【第34条】
個人データの処理がデータ主体に対し重大な影響の与えるリスクがある場合には、個人データ管理者はデータ保護影響評価を実施する義務がある。重大な影響の与えるリスクとしては、a)自動的な意思決定、b)特定個人データの処理、c)大規模な個人データの処理、d)体系的な評価・スコアリング・監視、e)データを照合または統合するなどの個人データの処理、f)新しい技術を利用する場合、g)データ主体の権利行使を制限する個人データの処理などが規定されている。
5)データ保護責任者の設置 【第53条、第54条】
個人データ管理者だけでなく個人データ処理者においても、以下の場合には法律の知識や個人データ保護のスキルを有する「データ保護責任者」を任命しなければならない。
a)公共サービスを目的として個人データを処理する場合
b)大規模な個人データを定期的かつ体系的に監視する場合
c)特定個人データや犯罪情報を大規模にデータ処理する場合
データ保護責任者の役割は、a)管理者や処理者への助言、b)プライバシーポリシー等の遵守状況の監視、c) データ保護影響評価への評価・助言、d)個人データの処理に関する課題解決の調整などであることが規定されている。
6)国外移転 【第56条】
個人データの越境移転について、以下の条件を満たす場合に認められる。
a)個人データの移転先の国がインドネシアと同等の保護レベルを備えている場合
又は b)移転先の管理者や処理者に関して、適切かつ拘束力のある個人データ保護が保証されている場合
又は c)データ主体の明示的な同意が得られている場合
またPDPLにおいては、いわゆるデータローカライゼーション(サーバーやデータ自体の国内設置・保存を求める規制等)に関する義務は規定されていない。
4.インドネシア政府機関 担当者からの関連情報
2022年12月の国際会議にてインドネシア情報通信省(Ministry of Communications and Information Technology)で個人データ保護を推進されている担当者から色々とお話を伺った。
また今回はご厚意により、PDPLの不明点について直接確認させていただく機会を得ることができた。以下の通り、当方の質問と担当者からの回答を記載する。
|
No |
質問 |
回答 |
|---|---|---|
|
1 |
【第1条】 |
本規定では、個人データとは識別された、または識別可能な個人に関するデータであり、個別にまたは他の情報と組み合わせて、電子的または非電子的システムを通じて直接的または間接的に提供されるものを明確化している。 |
|
2 |
【第16条】 |
本規定は、個人データの処理期間および保存期間について規定するものではない。各分野における法律において、各個人データ管理者は業務プロセスの個人データの管理方法に対応する必要がある。特に必要なことは、個人データの処理が終了、またはデータ処理が不要になったとき、個人データを削除・消去・廃棄することである。 |
|
3 |
【第21条】 |
個人データ処理活動が当初設定された処理目的に沿っている限り、再同意は必要ない。しかし、個人データ管理者が個人データの利用目的を変更した場合には、再同意を得る必要がある。 |
|
4 |
【第21条】 |
第21条は、個人データの処理に関する法的条件の一つとして、同意を求めるための条件を規定している。(1)項は、個人データ管理者がデータ主体の同意を得る際に、個人データ処理に関連する情報を提供することを要求している。特に、個人データ処理の同意について、インドネシア語を使用する義務のみを規定するものである。 |
|
5 |
施行規則は何時頃に公表されるか? |
まもなくインドネシア大統領によって設立されるPDP監督機関によって発行される予定。 |
|
6 |
SCCの標準フォーマットを公開する予定はあるか? |
関連する規則は、大統領によって設立されるPDP監督機関によって発行される予定。これには、インドネシア領の域外に個人データを転送するために使用できるメカニズムやツールに関するより技術的な取り決めも含まれる。 |
|
7 |
データ監督機関(個人データ保護法の主務官庁)は、いつ設立される見込みか? |
2023年にインドネシア大統領によってPDPの監督機関が設立することを目指している。 |
|
8 |
現時点で、参考となるガイドライン等の解説文書はあるか? |
現在、準備中である。 |
5.おわりに
インドネシアにおいて初めてとなる包括的な個人データ保護法(PDPL)は、情報漏洩時の72時間以内の報告義務など、GDPRに類似する規定が色々と盛り込まれている。罰則においても最大で売上の2%または約6000万円の行政処分の対象となるなど厳しい法規制となっている。
インドネシア企業だけでなく、インドネシアに事業展開している日本企業やインドネシアに子会社をもつ日本企業にとっても、法律の域外適用の影響は少なくない。ビジネスモデルによっては今後のカントリーリスクとして扱うべき経営課題となることが推測される。PDPLを十分に理解した上で、これから公表される政令や規則などを詳細に検討し、十分な対応を進めていく必要がある。コンプライアンスコストの増大にもつながる大きな問題と捉え、関連法規に詳しい現地の弁護士事務所と連携を図り、先んじて対処することが肝要であると考えている。
JIPDEC 電子情報利活用研究部 主席研究員 水島 九十九
- 個人データ保護法制等の国際動向調査、プライバシー対応の調査・研究など
- ISO/PC317「Privacy by Design」 日本国内審議委員会事務局長
- APEC CBPR認証審査、Global CBPR制度の立ち上げ
- 認定個人情報保護団体事務局メンバー
■協会外の主な活動
- OECD BIAC(経済産業諮問委員会)日本代表委員
- 経団連 「デジタルエコノミー推進委員会企画部会」 メンバー
- JEITA「個人データ保護専門委員会」 客員
- JISA 「国際委員会」 オブザーバー
- CFIEC 「DX推進事業」TF2委員
- 電子情報通信学会 「倫理綱領検討WG」 委員
- APEC CBPR認証審査員、 プライバシーマーク審査員、 ISO/IEC 27001審査員補