• Instgram
  • LinkeIn
  • Lexologoy

インドネシア個人データ保護法 施行規則の発出に向けて(1)

2023年10月13日(金)

インドネシア個人データ保護法 施行規則の発出に関するニューズレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

インドネシア個人データ保護法 施行規則の発出に向けて(1)

 

インドネシア個人データ保護法 施行規則の発出に向けて(1)

2023年10月
One Asia Lawyers Indonesia Office
日本法弁護士 馬居 光二
NY州法弁護士 友藤 雄介
インドネシア法弁護士 プリシリア・シトンプル

1.はじめに

インドネシアでは、2022年10月17日に個人データの保護に関する初の包括的な法律として、個人データの保護に関する法律2022年27号(以下、「PDP法」)が施行されました[1]。従来インドネシアでは、いわゆるEIT法(電子情報及び取引に関する法律2008年第11号(及びその改正法(2016年第19号)を含む))およびその施行規則によって、電子システムで扱われる個人情報のみが規制されていましたが、PDP法の施行により、全ての分野における個人データの保護を規定する初めての法律が制定されたこととなります。もっとも、PDP法は、2年間の移行期間を定め、さらに多くの条項に詳細は施行規則によって定める旨の規定を置いておりました。そのため、各企業が当該施行規則の発行を待つ状況が続いておりました。

このような状況で、PDP法の制定から約1年を目前とした2023年8月30日に、 PDP法の施行規則案(以下「本規則案」)が公表されました[2]

本規則案は245の条文と10の章から構成され、データ処理(第9条~第36条)、権利と義務(第37条~第180条)、国境を越えた移転(第181条~第196条)、PDP委員会(Lembaga PDP)の権限(第199条~第212条)、行政処分(第213条-第226条)、紛争解決と手続法(第227条~第244条)など、データ保護の様々な側面を広範囲にカバーしています。

本規則案については、今後広く議論が行われる予定であり、最終化されるまでに内容が大きく変更される可能性があります。しかしながら、インドネシアで事業を行う企業、特に国際的なデータの移転を行う可能性のある日系企業においては、上記移行期間内にPDP法およびその施行規則を遵守する体制を整えるために、本規則案の内容及び動向に注意を払うことが不可欠となります。

このため、One Asia Lawyersでは数回に分けて、PDP法及び本規則案の詳細について議論していきたいと思います。

今月は以下のトピックを取り上げております。

2.個人データ保護管理責任者(Personal Data Protection Official

(1)PDP法の規定

他の国の個人情報保護関連法と同様に、インドネシアのPDP法においても、個人データ管理者及び個人データ処理者は、個人データ保護管理責任を負う責任者を任命しなければなりません。

PDP法第53条では、以下の場合に上記の責任者を任命する義務が発生すると規定しています。

  1. 個人データが公共サービスのために利用される場合
  2. 個人データ管理者の中核業務が、大規模な個人データの定期的かつ体系的なモニタリングを必要とする場合であって、当該必要性が当該中核業務の性質、範囲および/または目的から生じる場合
  3. 個人データ管理者の中核業務が、特定個人データおよび/または犯罪に関連する個人データの大規模な処理である場合

PDP法第54条1項はさらに、この責任者の義務を情報提供、助言、監視、調整と規定しています。しかし、このような責任者の任命時に、任命者であるPersonal Data Controllerがどの様な義務を負うべきなのか等の詳細はPDP法には規定されていないため、施行規則が待ち望まれていました。

(2)本規則案

本規則案では、このような責任者を「個人データ保護管理責任者(Personal Data Protection Official)」と定義しています(第1条24項)。

本規則案第165条から第169条には、個人データ保護管理責任者に関する条文が規定されております。

まず、求められる能力については、PDP法第53条2項の規定内容とほぼ同一の内容が第165条2項にて規定されており、ここでは、専門性、法律、個人データ保護実務に関する知識、職務を遂行する能力に基づいて、個人データ保護管理責任者は任命されるものとすると規定されています。なお、ここで求められる能力の程度としてはPDP委員会が今後公表する旨を規定しています。(第165条3項)

・第165条3項:  個人データ保護の職務を遂行する個人データ保護管理責任者の専門性と能力に関する規定は、PDP委員会規則にて追って規定される。

また、第167条~第169条には、個人データ保護管理責任者とその任命者(個人データ管理者および個人データ処理者)の双方の義務が規定されております。この中で、個人データ管理者および個人データ処理者は、個人データ保護管理責任者がその職務を適切に遂行できる環境を整備しなければならないこと(第168条)、個人データ保護管理責任者は、個人データ保護の技術的および運用的措置を実施できるように、個人データ保護を担当する部門と協力する義務があること(第169条)が追加されています。

3.GDPR[3]との類似性

PDP法はGDPRの影響を強く受けており、多くの条項で共通点や類似点を見出すことができます。

前述のPDP法第53条で定める個人データ保護管理責任者の任命義務が生じる3種の要件は、GDPR第37条1項が定めるData Protection Officer (“DPO”) の選任義務の要件と近似しております。

また、データ保護影響評価(Personal Data Protection Impact Assessment)[4]の実施時には、PDP法では、個人データ保護管理者は助言の提供と遂行の監視を役割として与えられおり(本規則案第167条1項(c))、GDPRにも同種の内容[5]が規定されています(GDPR第39条1項(c))。

さらに、個人データ保護管理責任者は、個人データの処理に関連する問題について窓口(narahubung)としての役割を果たす義務が規定されております (本規則案第167条1項(d)) が、GDPRにおいても同種の内容が規定されています(GDPR第37条7項)[6]

前述の個人データ保護管理責任者に求められる能力について、GDPR第37条2項は、DPOは専門家としての資質、特にデータ保護法および実務の専門知識ならびにDPOとしての任務を遂行する能力に基づいて選任される必要がある旨規定されています。本レター3.(2)で述べたPDP法第53条3項及び本規則案165条2項は上記GDPRの規定を踏まえて規定されているものと考えられます。

上記のように、本規則案を踏まえても個人データ保護管理者について明確になっていない点も多くあるところ、これらについてPDP委員会規則の動向を確認するともに、GDPRにおける取扱いを踏まえて検討することも有益と考えられます。

4.最後に

今月のニュースレターでは上記2にてPDP法 およびその施行に関する本規則案の詳細について、また3.にてGDPRとの類似点を議論しておりますが、One Asia Lawyersでは、来月以降もこういった観点で継続して議論して参ります。

今月のニュースレターの最後に、PDP法に関する一般的な注意点を述べたいと思います。

(1)猶予期間

PDP法はPDP法に沿った体制を整備する為の猶予期間として2年間と規定しています(PDP法第74条)。本規則案に関しては、今後の議論によって内容が変更される可能性がありますが、これを注視しつつ、当該猶予期間が来年の10月に終了することを見据え、同法及び本規則案を元に施行される予定の施行規則に沿った体制を今後整備していく必要があります。

(2)PDP法とEIT

PDP法第75条は、「この法律の施行に伴い、個人データ保護を規定するすべての法令の規定は、この法律の規定と抵触しない限り、なお効力を有する」と規定しています。

当該規定は、PDP法が施行される以前から有効であった、EIT法及びその施行規則等を念頭においたものと考えられています。EIT法は、電子システムで扱われる個人情報の取扱いに関する規定を置いており、PDF法第75条に基づくと、PDP法の施行後も、同法に抵触しない限度でEIT法及びその施行規則は有効と解されるため、PDP法及び同法の施行規則に加え、こちらのEIT法及び施行規則等に関しても、今後も引き続き留意が必要と考えられます。

 

[1]   PDP法の内容については、弊所の2022年10月発行のニュースレター(https://oneasia.legal/8947)をご参照ください。
[2]  インドネシア通信情報省が8月31日に発出したプレスリリースによると、本規則案に関して一般市民による意見の提出が可能とされている。(https://www.kominfo.go.id/content/detail/51157/siaran-pers-no-256hmkominfo082023-tentang-susun-aturan-pelaksana-kominfo-buka-partisipasi-publik-lewat-laman-pdpid/0/siaran_pers)
[3] General Data Protection Regulation(EUにおける一般データ保護規則)の略語。
[4] 一定の個人情報の処理が高度のリスクをもたらしうる場合に、想定される影響に関して行う評価を指し、この実施に関してはPersonal Data Controllerが実施の義務を負っている。(PDP法第127条(GDPR第35条にも類似の規定がある))
[5] ただし、GDPRにおけるDPOの助言の提供と遂行の監視は「要請があった場合に(where requested)」に行うものと規定されており、かかる文言はPDP法にはみあたらない。
[6] ただし、GDPRにおいては、DPOは個人データの処理のために、連絡先の公表が求められているが、当該規定はPDP法及び本規則案には見当たらない。