• Instgram
  • LinkeIn
  • Lexologoy

2024年マレーシア個人情報保護法の改正案

2024年09月17日(火)

2024年マレーシア個人情報保護法の改正案に関するニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

2024年マレーシア個人情報保護法の改正案

 

2024年マレーシア個人情報保護法の改正案

2024年9月
One Asia Lawyers Group
マレーシア担当
日本法弁護士   橋本  有輝
マレーシア法弁護士  シャリル・ラムリ

1.はじめに

2024年7月31日、マレーシアの上院は、the Personal Data Protection (Amendment) Bill 2024(「本法案」)を可決した。この法案は、2024年7月16日に下院で先に可決されたものである。本法案は、マレーシアの個人情報保護法(「PDPA」)に対する修正を導入しており、定義の変更、データ漏洩通知の義務化及び法令不遵守に対する高額な罰金などが含まれる。本法案は、後日王室の承認を受けて発効することとなる。

本法案は、企業のデジタルプラットフォームへの依存の増大、データ漏洩の増加、及びオンライン詐欺の増加に伴う個人情報保護への期待の高まり対応するために導入されたものである。

本稿では、PDPAの改正をもたらす本法案の概要及び法改正に伴ってマレーシアにおいて事業を行う者が、どのような点に留意し、またどのような対応が推奨されるのかについて解説を試みるものである。

2.最近のアップデート

PDPAを管轄するデジタル大臣は、本法案で導入された改正を補完するため、データ漏洩通知、データ保護責任者、データ転送、国境を越えたデータ転送、データ保護影響評価、プロファイリングなどをカバーするガイドラインを発行する予定であることも発表した。合わせて、3つのパブコメも近時発表されており、こちらは項を改めて解説を行う予定である。

3.法案により導入された修正の主なポイントと組織/事業者への実務的な推奨事項

(1)“Data User”(「データ[1]利用者」)を”Data Controller”(「データ管理者」)に置き換え

本法案は、現在PDPAにおいて使用されている「データ利用者」という用語を、EUなど他の法域で採用されている個人データ保護の枠組みにより整合する「データ管理者」という用語に置き換えている。

留意点・推奨事項

この変更による実質的な影響はないが、法案が施行された際には、関連文書(個人データ保護方針、通知、またはフォームを含む)を更新する準備をする必要があると考えられる。

(2)”Data Processor”(「データ処理者」)の「安全性の原則」に対する遵守義務

現在、データ処理者[2]自身はPDPAの「安全性の原則」を遵守する必要がない(9条2項。あくまでデータ使用者の義務であった)。しかし、本法案では、データ処理者に対して個人データを紛失、悪用、改ざん、無許可または偶発的なアクセス、開示、変更または破壊から保護するための実際的な手段を講じる義務を直接課している。これを怠った場合、有罪判決を受けると最高100万マレーシアリンギット(約3,325万円)の罰金、最長3年の禁錮又はその併科が科される。

留意点・推奨事項

事業者は、データ処理者が法案で導入された要件に従って、安全性原則を順守することを確保する慣行を確立する必要がある。

(3)データ漏洩通知の義務化

データ管理者は、個人データ漏洩が発生したと信じる理由がある場合、速やかに委員会乃至データ主体に通知する必要がある。これには、漏洩、紛失、悪用、または個人データの無許可のアクセスなどの事例が含まれる。不遵守の場合、25万マレーシアリンギット(約830万円)の罰金、最長2年の禁錮又はその併科が科される。

留意点・推奨事項

事業者は、この要件に従うため、データ漏洩等があった場合に関するガイドラインまたはポリシーを作成または更新する準備をすることが推奨される。なお、この点に関し、当局はデータ漏洩通知ガイドラインを公表する予定である。

(4)Protection Officers(「データ保護責任者」)の任命

データ管理者及びデータ処理者は、1人または複数のデータ保護責任者を任命する必要がある。データ保護責任者は、その組織がPDPAを遵守することを確保する責任を負う。ただし、データ保護責任者の任命を行ったからといってデータ管理者またはデータ処理者自身の義務が免除されるものではない。

留意点・推奨事項

この要件の詳細(データ保護責任者に求められる資格や推奨されるスキルセットなど)は、今後、当局からデータ保護責任者ガイドラインという形で提供される予定である。事業者は、上記ガイドラインを踏まえ、適切なデータ保護責任者候補者の選定を検討し、その職務をサポートするためのリソースを割り当てることを検討する必要がある。

(5)個人データ保護の原則に違反した場合の罰則の強化

本法案は、個人データ保護の原則に違反した場合の罰則を最大100万マレーシアリンギット(約3,325万円)、最長3年の禁錮又はその併科に増額することを提案している。これは現行のPDPAで定められた最大30万マレーシアリンギット(約929万円)、最長2年の禁錮又はその併科という罰則からの大幅な厳格化である。

留意点・推奨事項

事業者は、従業員に対してデータ保護の重要性や個人データ保護に関する社内ルールについて研修を提供する必要があり、それは各法務またはコンプライアンス部門によるワークショップやセミナーセッションを通じて行うことができる。また、PDPAの潜在的な違反を検出し対処するために、定期的な監査や評価を実施し、PDPAに違反した従業員に対して措置を講じることが必要である。

(6)”Data Portability Rights”(「データ転送権」)

データ主体は、データ管理者に対して個人データを別のデータ管理者に直接転送するよう書面で要求する権利を有する。この転送要求は、そのような転送が技術的に可能であり、データ形式と互換性がある限り認められる。データ主体は電子的手段を通じてデータ管理者に対してこの要求を行い、データ管理者は定められた期間内に個人データの転送を完了しなければならない。

この点に関し、冒頭述べたパブコメの一つであるPublic Consultation Paper No. 03/2024 The Right to Data Portabilityにおいて、データ転送権は、以下の要件を満たすデータのみに影響を及ぼすことが明らかにされた。

(a) データ主体によって直接提供されたデータ
(b) データ主体の同意または契約に基づいて処理されるデータ
(c) 自動化された手段によって処理されるデータ および
(d) 推論されたデータや派生データではないデータ

私たちは、これにはデータ主体の氏名、メールアドレス、身分証明書番号、または音楽の視聴履歴などのデータが含まれると理解している。例えば、Spotifyの視聴履歴が個人データとして生成され、同一のコードまたはフォーマットで生成されている場合、別の音楽ストリーミングプラットフォーム(Apple Musicなど)に移行することが可能である。SpotifyからApple Musicに音楽ストリーミングプラットフォームを変更すると、Apple Musicはデータポータビリティの権利に基づき、あなたの視聴履歴を把握することができる。

留意点・推奨事項

事業者は、データ転送権を運用上実施する準備をすべきであり、それにはデータ転送要求を管理するための方針やプロトコルを策定し、従業員に新しいデータ転送権やその処理手順について研修を行うことが含まれる。

(7)国境を越えたデータ移転要件の更新

現在のPDPA第129条におけるホワイトリスト制度(データ利用者は、マレーシア国外に個人データを移転してはならない。ただし、デジタル大臣が指定する場所に移転する場合を除く、というもの)は、本法案により削除される。その代わり、本法案は、PDPAと実質的に同様の法律を有する場所、又はPDPAが提供する保護レベルと少なくとも同等の保護レベルを提供する場所への越境データ移転を認めている。

留意点・推奨事項

ただし、改正129条においては、従前、事業者が個人データを国外に移転する際に依拠していた第3項(a)(改正後は2項)を残している。

すなわち、現行のPDPAの元では、第3項(a)に基づいて、データ主体から、個人情報が国外に移転することにつきプライバシーポリシーで明示のうえ同意を取り付ける処理をしてきたものと思われるところ、この対応は改正法の下でもそのまま適法な国外移転要件として認められている。

どの国がマレーシアPDPAと同等の保護を与えているかの判断は困難であることから、引き続き業者は、129条3項(a)に基づいて同意を取り付けることに依拠すべきと考えられる。したがって、当職は、この変更は現在の実務慣行に影響を与えるものではないと考えている。

(8)Biometric Data(「生体データ」)は” Sensitive Personal Data”(「センシティブ個人データ」)として把握される

本法案は、「生体データ」を個人の物理的、生理的、または行動的特性に関連する技術的な処理による個人データとして定義[3]し、それをセンシティブ個人データに含めている。

留意点・推奨事項

PDPAにおいて、センシティブ個人データを処理するには、データ主体が個人データの処理につき明示的な同意を得ることが要求されている(PDPA第40条)。したがって、各事業者は自身が取り扱う個人データが上記生体データに該当するか否かにつき検証した上、該当し得る場合は、既存のプライバシーポリシーの更新、同意取得のフローの見直し等、生体データ処理に要求される要件を順守する必要がある。

(9)死亡者のデータ主体からの除外

本法案は、死亡した個人をデータ主体の定義から除外している。したがって、PDPAは、死亡した個人に関するデータの処理には適用されないと考えられる。

4.結論

個人情報を取扱う事業者は、本法案で導入された改正及び今後発行される追加のガイドラインの内容を理解し、内部方針や手順を更新するための積極的な措置を講じることが重要である。

我々マレーシアのチームは、個人データ保護問題に関するアドバイスに精通しており、日常の運用上および懸念等に関してクライアントを積極的に支援している。私たちのサービスについて詳しく知りたい場合は、お気軽にお問い合わせください。

—–

[1] なお、日本においては「個人情報」という用語が用いられるが、PDPAでは、”Personal Data”という用語となっているため、以後本法案及びPDPAにおける関連用語の日本語訳は「情報」ではなく「データ」を用いる。
[2] 情報処理者の定義は以下の通りである。
“data processor”, in relation to personal data, means any person, other than an employee of the data user, who processes the personal data solely on behalf of the data user, and does not process the personal data for any of his own purposes;
[3] 生体データの定義は以下の通りである。顔や指紋の認証データ等が該当すると考えられる。
“biometric data” means any personal data resulting from technical processing relating to the physical, physiological or behavioural characteristics of a person