• Instgram
  • LinkeIn
  • Lexologoy

インドネシアの個人データ保護法 施行規則の発出に向けて(2)=「越境移転」=

2023年11月15日(水)

インドネシア個人データ保護法 施行規則の発出に関するニュースレター第2弾を発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

インドネシアの個人データ保護法 施行規則の発出に向けて(2)=「越境移転」=

 

インドネシアの個人データ保護法
施行規則の発出に向けて(2)=「越境移転」=

2023年11月
One Asia Lawyers Indonesia Office

日本法弁護士 馬居 光二
NY州法弁護士 友藤 雄介
インドネシア法弁護士 プリシリア・シトンプル

1.はじめに

前回のニュースレターでは、個人データの保護に関する法律2022年27号(「PDP法」[1]及びその施行規則案(「本規則案」)に関し、個人データ保護管理責任者(Personal Data Protection Official)について議論致しました[2]

今月は、本規則案のうち、個人データの処理(processing/pemrosesan)の一類型であるデータの移転(PDP法第16条e.及び本規則案第9条e.)の内、国境を越えた個人データの移転(「越境移転」)を取り上げます。

2.国境を越えたデータ転送

(1) PDP法の規定

インドネシアにおける個人データの移転(国内移転及び越境移転に関わらず)は、PDP法第55条および第56条で規定されています。この内、越境移転に関しては、以下の3つの段階のいずれかが満たされる場合、データ管理者は個人データを越境移転できると規定されております(第56条2項4号)。

  1. 受領国の個人データ保護レベルが、インドネシアの個人データの保護レベルと同等かそれ以上であること
  2. (a)が満たされない場合:受領国において十分かつ拘束力のある個人データ保護が存在すること
  3. (a)および(b)のいずれも満たされない場合:個人データ主体[3]が移転に同意している場合


なお、これらに関する詳しい規定は、施行規則で定められるとされております(PDP法56条5項)。 

(2) 本規則案

越境移転に関する本規則案の規定は、第181条から第196条に規定されています。但し、一部の内容に関しては、PDP委員会(Lembaga PDP)が発行する規則によって別途定められることになっております(第184条4項参照)。下記にて本規則案で定められた条項のうち、主なものを説明致します。

(a) 原則及び規定の枠組み

まず、第181条1項は原則として、越境移転が可能である旨を規定しており、具体的には、個人データ管理者は、法令の規定に従い、個人データをインドネシア共和国の管轄区域外の個人データ管理者および/または個人データ処理者に移転することができるとしております。その上で、同条2項は、その場合の法令遵守の原則を規定しており、具体的には、個人データを移転する場合、個人データを移転する個人データ管理者および個人データの移転を受ける個人データ管理者について、個人データ保護分野の法令の規定に従って個人データを保護する必要があるとしております。

更に、182条において、前述のPDP法が定める越境移転時の3段階の要件を再度規定した上で、183条から第196条においてそれぞれの段階について詳細を定めております。

(b) 1段階:同等以上の個人データ保護レベル

第183条1項は、越境移転を行う個人データ管理者は、移転先の国が同等以上のデータ保護レベルを有していることを確認する責任を負うと規定しています。

また同条2項は、同確認を行うための評価についてPDP委員会が義務を負う旨を規定し、第184条1項は同評価時の3つの基準を以下のとおり規定しています。

  1. 相手国が個人データ保護に関する法的規制を有していること
  2. 相手国に個人データ保護の監督機関または当局があること、及び
  3. 相手国が、法的拘束力のある条約や文書、個人データ保護に関する多国間または地域シス テムへの参加により、国際的な約束やその他の義務を負っていること


その上で、PDP委員会は、上記の基準を満たす国および/または国際機関のリストを決定するとされ(第184条2項)、当該リストに含まれる領域への個人データの越境移転は、更なる承認を得ることなく実施可能とされています(第184条3項)。

(c) 2段階:個人データの十分かつ拘束力のある保護

a. 原則

第185条1項は、個人データ管理者が、上記第1段階の要件を満たすことができない場合、同管理者が、十分かつ拘束力のある個人データ保護を確保する必要がある旨規定しております。

この点、第185条2項は、上記「十分かつ拘束力のある保護」の形態として、(a)国家間協定、(b)標準的な個人データ保護契約条項、(c)企業グループの拘束力のある会社規則、及び/または(d)PDP委員会が認めるその他の十分かつ拘束力のある個人データ保護手段を規定しております。

なお、いずれの場合であっても、個人データ管理者は、書面および/または記録された文書の形で証拠を準備することが要求され(第185条3項)、PDP委員会は当該要件充足に関するアセスメントの実施が可能と規定されています(第 185条4項)。

b. 標準的な個人データ保護契約条項

上記のうち、(b)標準的な個人データ保護契約条項については、PDP委員会が定めると規定された上で(第187条1項)、最低限これに含まれる内容として、個人データ処理の根拠、個人データ保護に関する条項、個人データ保護を怠った場合の通知義務、個人データ移転の相手方に対するデューデリジェンスの義務が規定されております(第187条2項)。

なお、個人データ管理者は、個人データの移転の必要性及び個人データ保護に関する法令の規定に基づき、上記標準的な個人データ保護契約条項に個人データの移転に関する規定を追加することができること(但し、その場合はPDP委員会と協議する必要がある)が規定されております(第187条3~4項)。

c. 企業グループの拘束力のある会社規則

上記(c)拘束力のある会社規則は、個人データの受領者と送信者が同じ会社グループに属している場合、つまり、どちらかの当事者がもう一方の当事者を支配している場合、または両当事者が同じ当事者の支配下にある場合にのみ使用することができるとされております(第188条2項)。

その上で、当該拘束力のある会社規則には、少なくとも以下の要件を含む必要があるとされております (第188条1項)。

  1. 受領者が、インドネシアの個人データ保護と同等以上の個人データ保護を提供する義務を負うこと
  2. 当事者(個人データの送信者及び受領者)が拘束力のある会社規則に拘束されること
  3. 拘束力のある会社規則に基づいて、個人データの移転先の国および地域が規定されること
  4. 関係する当事者の役割、権利、義務が規定されること

(d) 3段階:個人データ主体による承認

第189条は、個人データ管理者が、上記第2段階の要件を満たすことができない場合でも、越境移転はデータ主体の承認に基づいて行なうことができると規定しています。その上で、第190条2項は、承認に基づく越境移転は以下の場合にのみ実施できると規定しております。

  1. 繰り返し行われないものであること
  2. 対象となる個人データ対象者数が限定されていること
  3. 越境移転が条件を満たすために必要であり、当該条件が個人データ主体の利益または、権利および自由を損なわないこと
  4. 個人データ管理者は、リスクアセスメント[4]を実施し、適切な保護措置を講じていること
  5. PDP委員会および個人データ主体に対し、越境移転行為そのもの及び越境移転によって満たされるやむを得ない正当な利益について通知していること


しかしながら、上記承認がどの様に要求され、どの様に与えられるのかについて本規則案では明確にされず、PDP委員会の規則で規定するとされております(第 190条3項)。[5]

3.GDPRとの比較

上記のように、PDP法及び本規則案においては、越境移転に関する具体的な運用については必ずしも明らかになっておらず、今後施行される予定のPDP委員会規則を待つ必要があります。他方で、PDP法及び本規則案の内容は、GDPRと類似する点が多く見られます。そこで、PDP法及び本規則案の今後の運用を予測する趣旨で、下記ではGDPRと比較の上、PDP法及び本規則案について議論致します。

(1) 越境移転の枠組みの比較

上述の通り、PDP法及び本規則案において越境移転を行う場合は、上述の3段階の要件が規定されております。他方、GDPRにおいては、越境移転が認められる形態として、十分性認定に基づく移転(第1段階)、及び、適切な保護措置に従った移転(第2段階)のみが規定されております。これらは後述のように、上記PDP法及び本規則案における3段階の要件の1段階及び2段階と類似するものと言えます。

他方で、PDP法及び本規則案における第3段階(個人データ主体による承認)に類似する形態については、後述の通り、GDPRとPDP法及び本規則案では若干異なる位置づけがなされております。

(2) 第1段階「同等以上の個人情報保護レベル(GDPRにおける「十分性認定(adequacy decision)に基づく移転」に相当)」の比較)

第1段階に関して、PDP法・本規則案の規定はGDPRの規定と非常に類似しています。

前述のように、PDP法・本規則案においては、PDP委員会が、当該基準を満たす国を決定し、これに該当する国に対しては追加の要件無しにデータを移転できるとされているのと同様に、GDPRにおいても、外国の法域が個人データ保護に関して適切なレベルにあるかどうかは公的機関(GDPRにおいては欧州委員会)が決定し、基準を満たす外国の法域への個人データの越境移転は、追加的承認を必要とせずに行える(GDPR第45条1項)と規定されています。

なお、送り先の法域に求められる保護のレベルは、PDP法及び本規則案では、「(インドネシア)と同等以上」と明確に規定されているのに対し、GDPRの文言上は「十分な保護水準」(GDPR第45条1項)と明確ではありません。但し、この点については、欧州司法裁判所(ECJ)の判決に基づいて「十分な保護水準」とは、第三国がEU域内で保証されている保護水準と「実質的に同等」の保護水準[6]と解釈されております。

(3) 2段階:「個人データの十分かつ拘束力のある保護(GDPRにおける「適切な保護措置(appropriate safeguards)を条件とする移転」)の比較

前述(2. (2) (c) a.)のように、PDP法・本規則案においては、「個人データの十分かつ拘束力のある保護」として(a)~(d)の形態を取ることにより、越境移転が認められるとされております。

GDPRにおいても上記第1段階の要件が満たされていない法域への越境移転の場合、第2段階の措置(即ち、 (a)公的機関等との間の拘束文書、(b)拘束力のある企業規則、(c)欧州委員会が採択した標準データ保護条項による適切な保護措置(appropriate safeguard)等(GDPR第46条))によって、越境移転が可能であると規定されています。

なお、標準データ保護条項(GDPR第46条2項(c))に関しては、その契約的性質から、第三国の公的機関までを拘束することはできず、仮に移転先の国等が強制的に当該個人情報にアクセスする場合(いわゆるガバメントアクセスの場合)、本条の保護措置が十分でなくなる可能性が生じます。このため、欧州司法裁判所は、当該国の状況に応じて、補完的措置(Supplementary measures)を求めることができるとし[7]、欧州データ保護委員会も、状況に応じた補完的措置の実施に関する勧告を発出しています[8]。この点はPDP法および本規則案では触れられておりませんが、今後のPDP委員会規則等によって規定される可能性があるものと考えられます。

(4) 3段階:「個人データ主体による承認(GDPR:「明示的な同意に基づく移転」)」の比較

本要件について、PDP法・本規則案においては、原則として越境移転が認められる条件の一つとして、個人データ主体による承認が規定されております。

これに対してGDPRは、原則として前述の2段階の条件を満たす場合のみ越境移転が認められるとした上で、その例外として「特定の状況における適用除外(Derogations for specific situations)」)を規定し、その一つの類型として「明示的な同意に基づく移転」を規定しております(GDPR第49条)。

このように、PDP法及び本規則案が、第3段階に基づく移転を、越境移転を認める条件の一つと位置づけているのに対して、GDPRにおいては、あくまでこれを例外的な措置として位置づけております(この点は、GDPRのガイドラインにても強調されています[9])。

上記相違点についての評価を行なうのは時期尚早であるものの、例えば今後施行される予定のPDP委員会規則等において、GDPRに倣う形で、第3段階の個人データ主体による承認に基づく越境移転をより厳格に運用する旨の規定がなされる可能性はあるかと存じます。

なお前述のとおり、PDP法及び本規則案では、承認がどの様に要求され、どの様に与えられるかについては明確に規定されておらず、PDP委員会規則で規定されるとされておりますが、GDPRでは、同意は移転に伴って生じうるリスクについて予め提供された上で、明示的になされた同意でなけれなければならないと規定されております(GDPR第49条1項(a))。

また、「明示的」に関して、欧州の作業部会(Working Party)の発出したガイドラインに基づくと、例えば、声明文の作成、電子メールの送信、電子フォームへの記入などの方法によって明示的に同意を表明しなければならないとされ、このため、何らの反応がない場合(沈黙)や電子フォームのボックスにチェックを入れる行為や黙示的な行為では十分とはみなされないものとされております[10]

PDP委員会の発出する今後の規則には、こういった点が盛り込まれる可能性もあると考えられます。

4.結論

上記のように、本規則案は、PDP法上の「越境移転」(第56条)についてより具体的に規定しているものの、依然としてまだ明確でない部分もございます。これらは、今後のPDP委員会規則によって明らかになることが期待されるところ、今後の立法の趨勢を注視する必要がございます。

 

*本規則案はあくまでも案であり、正式に成立・発行するまでに今後変更される可能性がある点があることにご留意ください。(本稿で取り上げるのは、あくまでも現状の案に関するものとなります。)

 

[1] PDP法の内容については、2022年10月のニュースレター(https://oneasia.legal/8947)をご参照ください。
[2] 2023年10月のニュースレター(https://oneasia.legal/11565)をご参照ください。
[3] 個人データ主体とは、当該個人データが関連付けられている自然人を指します。(PDP法第1条6項)
[4] リスクアセスメントの内容は移転の必要性および個人情報主体の権利への影響の評価となります(第194条)
[5] 本規則案では、まず個人データ処理に関する一般的な「同意」の規定(PDP法第20条1項および本規則案第44条2項(a))が置かれていることから、越境移転に関しては当該同意に加えて、付加的な承認(即ち、移転される個人データがインドネシア法の規定よりも低い保護基準に従う可能性がある事に関する特定の同意)が必要と考えられますが、いずれにせよ、詳細は本規則案では明確にされておりません。
[6] ECJ Judgment 16 July 2020, Schrems II, C-311/18, EU:C:2020:559, パラグラフ 94. https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1068615
[7] 同上 パラグラフ 128-135。
[8] 2021年6月発出の欧州データ保護委員会勧告(勧告01/2020/ https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf)。
[9]規則2016/679に基づく第49条の適用除外に関するガイドライン2/2018(https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf)。
[10] GDPRにおける同意の詳細については、Art.29 Working Party Guidelines on consent under Regulation 2016/679 を参照のこと。https://ec.europa.eu/newsroom/article29/items/623051