マレーシア個人情報保護における新しい実務指針~General Code of Practice~
マレーシア個人情報保護における新しい実務指針についてニュースレターを発行いたしました。 PDF版は以下のリンクからご確認ください。
→マレーシア個人情報保護における新しい実務指針~General Code of Practice~
マレーシア個人情報保護における新しい実務指針
~General Code of Practice~
2023年8月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝
マレーシア法弁護士 Clarence Chua Min Shieh
1.はじめに
マレーシアでは、2010年に個人情報保護法(PDPA)が制定され、個人情報保護に関する統一規範として機能している。
その後、下位法令や規則が定められて来たところ、本稿では、そのような規則の一つである、新しく発行された一般的実務指針(General Code of Practice。以下GCOP)を取り上げる。
GCOPは、実務指針ではあるものの、法律と同様の効果があるとされており、違反した場合にはPDPA29条に基づく罰則の対象となるとされており[1]対象となる業種の企業にとっては、決して軽視することが出来ないものである点に留意が必要である。
2.GCOP制定の背景・適用される企業
一部の個人情報使用者は[2]、個人情報の処理に先立ち、「登録情報使用者」として個人情報保護部門に登録する必要がある。現在、登録が必要な情報使用者のクラスは、通信、銀行・金融機関、保険、健康、観光・ホスピタリティ、運輸、教育、サービス(法律、監査、エンジニアリングなど)、不動産、公益事業、質屋[3]がこれに該当する。
また、以上のクラスについては、PDPAにおいて、実務指針の策定が要求されているところ、実際、特定の情報使用者クラスについては、実務指針が随時発行されている[4]。実務指針の目的は、各情報使用者のクラスに固有の状況乃至ビジネス環境に対応するための具体的な実務上の枠組みを提供することである。
しかし、PDPAの要求に関わらず、情報使用者の中には独自の実務指針を策定しないものがあった。GCOPはこの事態に対処するために構築され、2022年12月15日に発行されたものである。つまり、GCOPは、PDPAに基づき実務指針が要求されているものの、いまだ実務指針を策定していない情報使用者クラスの企業に適用されることになる。
具体的には、以下のクラスに適用されることになるとされている。
| 業種 | 詳細 |
| 通信事業 | Postal Services Act 2012に基づくライセンス保有業者 |
| 健康 | Private Healthcare Facilities and Services Act 1998に基づくライセンス保有業者 |
| 観光 | Tourism Industry Act 1992に基づき、観光研修機関、認可ツアーバス運行業者、旅行代理店、ツアーガイドを経営または運営する者 |
| Tourism Industry Act 1992に基づき、登録された観光宿泊施設を運営する者 | |
| 教育 | Private Higher Education Institutions Act 1996に基づき登録されている私立高等教育機関 |
| Education Act 1996に基づき登録されている私立学校または私立教育機関 | |
| ダイレクト販売業 | Direct Sales and Anti-Pyramid Scheme Act 1993に基づくライセンス保有者 |
| サービス業 | 監査、会計、エンジニアリング、建築設計を行う会社又はパートナーシップ |
| Control Supplies Act 1961に基づく小売業・卸売業を行う会社又はパートナーシップ | |
| Private Employment Agencies Act 1981に基づく人材紹介業を行う会社又はパートナーシップ | |
| 不動産 | Housing Development (Control and Licensing) Act 1966に基づくライセンスを保有する住宅開発業者 |
| Housing Development (Control and Licensing) Enactment 1978 Sabahに基づくライセンスを保有する住宅開発業者 | |
| Housing Developers (Control and Licensing) Ordinance 1993, Sarawakに基づくライセンスを保有する住宅開発業者 | |
| 質屋 | Pawnbrokers Act 1972に基づくライセンスを保有する質屋 |
| 貸金業 | Moneylenders Act 1951に基づくライセンスを保有する貸金業者 |
GCOPには全部で12のパラグラフがあるが、ここでは、個人情報収集時の規制、個人情報保有時の規制、情報主体の権利に関する規制、そして最後にエンフォースメントに関する規制の4つに分けて説明する。
3.個人情報を収集する際の規制
3.1. 同意取得
情報処理者が情報処理を行う前に、情報主体による同意の要件に目を向け、同意を求める際に必要な情報を提供する必要がある。
GCOPは、PDPAのメカニズムを変えるものではない。しかし、同意は情報使用者によって適切に記録され、維持されなければならないとしている[5]。当該同意はまた、情報主体が当該個人情報の収集、処理、および/または開示の目的に同意したことを最も明確に示すものでなければならない[6]。
同意のための書式は、GCOPにもひな型が添付されているため、情報使用者は、これに依拠することができる[7]。
また、書面同意がない場合については、情報対象者が自発的に個人情報を提供する行為[8]、記録された口頭による同意[9] など、「行為による同意」とみなされる情報主体の行為についても本GCOPが規定しているので参考となる。
3.2. 個人情報保護に関する通知
個人情報保護に関する通知については、個人情報の収集前または収集後できる限り速やかに、情報主体に提供されるべきである[10]。この点に関するGCOPの内容は、ほとんどPDPA第7条の繰り返しである。
ただし、通知書に記載すべき事項が具体的に記載されているため[11]、このような通知を作成していない情報使用者は、 GCOPが提供するテンプレート[12]を参照することができる。
また、GCOPは、通知の伝達方法(物理的なコピーの交付、電子メール、情報使用者のウェブサイトなど)[13]についてのガイダンスを提供している。なお、何が最も適切な通知方法であるかは、情報使用者自身が決定するものとされている[14]。
4.情報保有時の規制
元々、個人情報保護基準2015(「2015年基準」)は、「安全性原則」、「保持原則」、「完全性原則」を満たすためのガイダンスを提供していた。GCOPは、第6項から第8項において、2015年基準をベースとし、それを若干敷衍している。
個人情報の安全性に関して、GCOPは、個人情報の性質や機密性の度合いによって、実務的な措置がケースによって異なる可能性があることに言及している[15]。このことを念頭に置いて、GCOPは、スタッフのアクセス管理について、電子情報[16]と物理的なコピー[17]の両方について、登録簿の作成、雇用の決定によるアクセスの停止、制限の設定、アクセスシステムの構築などの措置を取ることを推奨している。情報処理者が任命された場合、その情報処理者は任命された情報使用者と同様のセキュリティ基準を遵守することが求められる[18]。GCOPは廃棄制度についても規定している。すなわち、個人情報を削除または破棄する場合、その削除および/または破棄は永続的なものでなければならず、その旨記録する必要がある[19]。
5.情報主体の権利に関する規則
これは、GCOPの第9項および第10項に規定されている。情報へのアクセスや訂正の要請を21日以内[20]に対応することなどが盛り込まれている。また、GCOPはダイレクト・マーケティングに関する「オプトアウト」オプションを以下の通り改善した[21]。
特に、第 10.6.4 項は、情報使用者がダイレクト・マーケティングのために情報を処理できる場合を明確にしている。ここでは、同意の取得がある場合に加え、情報主体がダイレクトマーケティング組織の身元および収集・開示の目的を知らされる場合、または情報使用者が個人情報収集時に情報主体にオプトアウトの選択肢を提供することを約束する場合などに、ダイレクト・マーケティング目的で個人情報を使用することができる[22]。これに対し、情報主体は、リクエスト・フォームによるオプトアウトが可能である[23](情報使用者は、GCOP添付のテンプレートを使用することが推奨される[24])。
6.施行規則
これはGCOPの第11項および第12項に規定されている。
情報使用者は情報保護管理に関して社内体制を整備する義務がある。特に、内部監査体制を整備し、従業員に必要な研修を実施し、法律や規制の進展に注意を払う必要がある[25]。
最後に、第12項では、個人情報保護委員会が、指定された日から2年以内に、特定クラスの情報使用者のためのCOPを作成する機関を指定する権限を与えられている。情報使用者の特定のクラスについてCOPが発行されると、GCOPは適用されなくなることに留意すべきである。
7.結論
総じてGCOPは、従前の個人情報の在り方を大きく変更するものではないが、実践的かつ網羅的なガイダンスを提供するものであって、情報使用者はこれを真剣に受け止める必要がある。また、情報使用者に適用される規定の遵守を怠った情報使用者は犯罪を犯し、有罪判決を受 けた場合、10万リンギ以下の罰金もしくは1年以下の禁固刑、またはその両方が科される[26]。
そのため、影響を受ける情報主体は、GCOPを遵守することが強く推奨されます。GCOPの遵守に関するオーダーメイドのサポートをご希望の場合、またはGCOPのトピックについてご質問がある場合は、遠慮なく弊社までご連絡ください。
[1] GCOP 1.2.1
[2]PDPA第14条、第15条、第16条
[3]Personal Data Protection (Class of Data Users) Order 2013の別表およびPDPA第29条
[4] 実務指針を定めたクラスとして、以下がある。
・the private hospitals of the healthcare sector;
・the utilities sector, water and electricity;
・the financial sector;
・the communications sector;
・the insurance sector; and
・the aviation sector.
[5] 3.3.1 GCOP
[6] 3.3.2 GCOP
[7] 3.3.3(a) GCOP
[8] 3.3.3(b) GCOP
[9]3.3.3(c) GCOP
[10]4.1 GCOP、セクション7(2) PDPA
[11]4.4 GCOP
[12]Appendix1 GCOP
[13] 4.6.1 GCOP
[14] 4.6.2 GCOP
[15] 6.2 GCOP
[16] 6.3 GCOP
[17] 4 GCOP
[18] 6.5 GCOP
[19] 7.4 GCOP
[20]10.2.3(c)および(d)、10.3.4 GCOP、PDPA第31条(1)および第35条(1)
[21] PDPA第43条
[22]10.6.4 GCOP
[23]当初はPDPA第43条(2)に規定されていたが、現在はGCOP第10.6.1項に規定されている。
[24] Appendix2、3、4 GCOP
[25] 11.3、11.4、11.5、11.6 GCOP
[26]1.2.1 GCOP
