• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > インドネシア > インドネシアの個人データ保護法施行規則の施行に向けて(3)=個人データの処理(Processing)=

インドネシアの個人データ保護法施行規則の施行に向けて(3)=個人データの処理(Processing)=

2024年10月16日(水)

インドネシアの個人データ保護法施行規則の施行に関するニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

インドネシアの個人データ保護法施行規則の施行に向けて(3)=個人データの処理(Processing)=

 

インドネシアの個人データ保護法
施行規則の施行に向けて(3)
=個人データの処理(Processing)=

2024年10月
One Asia Lawyers Indonesia Office
日本法弁護士 馬居 光二
NY州法弁護士 友藤 雄介
インドネシア法弁護士 プリシリア・シトンプル

1.はじめに

インドネシアの個人データ保護法(「PDP法」)[1] は、公布日から2年後である2024年10月17日に移行期間が終了します。しかしながら、PDP法の施行規則は、その案(「本規則案」)[2]については発表されているものの、未だに公布はされておりません。施行規則公布の見通しは不明ではあるものの、本規則案について確認しておくことは有益であると考えるところ、今月のニュースレターでは、昨年10月及び11月のニュースレター[3]に続いて本規則案について取上げます。昨年11月のニュースレターでは、越境移転に取り上げましたが、今月は個人データの処理(Processing)について取り上げます。

2.個人データの処理

PDP法において、個人データの処理(Processing)に関する規定として以下が置かれています。

  • 処理の類型
  • 処理時に遵守すべき保護原則(Principle)
  • 処理時に保持すべき根拠(Basis)


本規則案ではこれらについて、より詳細な規定が置かれておりますので、以下では、本規則案での規定を(1) 処理の類型、(2) 類型毎の遵守事項、(3) 遵守すべき保護原則(Principle)、(4) 処理時の根拠(Basis)に分けて説明致します。

(1) 個人データの処理(Processing)の類型

個人データの処理に関しては、元々PDP法第16条において以下を含むものであると規定されており、本規則案の第9条においても同一の規定が置かれております。

  1. 取得及び収集
  2. フィルタリング及び分析
  3. 保管
  4. 修正及び更新
  5. 表示、公表、移転、配布、または開示
  6. 消去または破壊

(2) 個人データの処理の類型毎の遵守事項

本規則案では、上記1〜 6の類型毎に遵守すべき事項が第10~15条にて規定されております。PDP法には当該規定がおかれていなかったため、これは新たな規定となります。
類型毎の遵守事項については、個人データの処理が目的に沿ったものであることや、処理を行う際に安全管理措置を講じることなどが規定されています。このため、個人データの処理を行う際は、行おうとしている処理が上記のどの類型に該当し、当該類型においてどのような遵守事項が規定されているかを確認する必要があります。

(3) 個人データの保護原則(Principle)の遵守

個人データの処理の際、以下の個人データの保護の原則に従う必要があります。PDP法第16条2項がこの点を規定していたところ、本規則案においてその詳細が以下で表す条項に規定されています。

  1. 限定的及び具体的で、適法かつ透明性のある態様(第25条)
  2. 限定された目的(第26条)
  3. データ主体の権利の保証(第27条)
  4. 正確な態様での処理(第28条)
  5. 安全管理(第29条)
  6. 目的及び処理内容のデータ主体への通知(第30条)
  7. 記録保存の制限(第31条)
  8. アカウンタビリティ(第32条)


これらのうち、1は処理の類型のうち収集に、 7は記録に特化した規定となっており、それ以外はすべての処理の類型に共通して適用される形で規定されております。

(4) 個人データ処理の根拠(Basis

個人データの処理には、下記の処理の根拠が必要となります。

  1. 明確かつ有効な同意
  2. 契約上の義務の履行等(契約締結時の個人データ主体からの要請を含む)
  3. 法的義務の充足
  4. 個人データ主体の重大な利益の保護
  5. 公共の利益等のための処理
  6. その他の正当な利益の実現


PDP法第20条2項がこの点を規定していたところ、本規則案で下記のように、より詳細な規定が置かれております。

(a) 明確かつ有効な同意(第45条~第53条)
PDP 法では、明確かつ有効な同意を個人データ処理の根拠とすることができること、当該同意の取得にあたっては、個人データ管理者は個人データ主体に対して以下を通知する義務を負っていることが規定されています(PDP法第 20 条第 2項(a)および第21条1項)。

  1. 個人データの処理における合法性
  2. 個人データを処理する目的
  3. 処理される個人データの種類とその処理との関連性
  4. 処理される個人データの保存期間
  5. 収集した個人データの詳細
  6. 処理の期間
  7. 個人データ主体の権利


また、これらの情報の提供は基本的にインドネシア語で行われる必要がある旨が規定されています(PDP法第22条4項(c)及び解説文)。

本規則案ではこれらに加えて、上記の情報の提供は、簡潔かつ正確に行われる必要があること(本規則案第45条)、当該同意を個人データ主体がいつでも撤回できるよう担保する必要があること(本規則案第47条)、個人データの取得に同意を得られないことを理由に商品サービスの提供を拒否することやその品質に影響を及ぼすことをしてはならないこと等が規定されています(本規則案第49条)。

なお、PDP法及び本規則案の双方においてこれらに加えて、未成年者及び障害者のデータを処理する場合の親・保護者(gurdian / wali)による同意が規定されています。

(b) 契約上の義務の履行等(契約締結時の個人データ主体からの要請も含む)(第54条~58条)
個人データ主体が当事者である契約で規定された義務を履行する場合、または、契約を締結する際の個人データ主体からの要求に応じた措置を講じる場合には、これらも個人データ処理の根拠となります(PDP法第20条2項b、本規則案第44条2項b、第54条2項a.)。
本規則案第54条から第57条においては、処理の根拠となる契約に最低限含まれるべき事項、契約締結時の個人データ主体からの要請の条件、処理の停止等の詳細が規定されております。

(c) 個人データ管理者の法的義務の履行(第59条)
法的義務の履行も個人データの処理の根拠となります。本規則案では、法的義務として以下が規定されています(本規則案第59条2項)。

  1. 法令の規定に基づく義務
  2. 裁判所の命令または決定
  3. 国家公務員の決定に基づく命令


また、上記法的義務に基づく個人データの処理は、個人データ主体及び/又は個人データ管理者の利益を満たすために行われるものであって、必ずしも公共の利益や公益に影響を与える必要はないとされております(同項3項)。

(d) 個人データ主体の重大な利益の保護(第60条~第62条)
PDP法は、個人データ主体の重大な利益の保護を個人データの処理の根拠とする場合として、個人データ主体の生存に関わるような場合を規定しておりました(第20条2項d.解説文)。
本規則案は、これに加えて、身体的健康または財産が脅かされている場合や、個人データ主体から承認を得ることが困難であり、個人データ主体が処理を拒否する可能性が低いことも要件として追加しております。
したがって、以下の3つが全て満たされた場合にこれを根拠とした個人データの処理ができることになります(本規則案第61条)。

  1. 生命、身体的健康、財産が脅かされていること
  2. 個人データ主体から処理に関する承認を得ることが困難であること
  3. データ主体が処理を拒否する可能性が低いこと


さらに本規則案では、データ管理者はデータ主体に対して、実施された処理の内容と処理が行われなかった場合の脅威の種類について事後に通知する必要があると規定されております(本規則案第62条)。

(e) 公共の利益(第63条~68条)
公共の利益も個人データ処理の根拠となります。本規則案では、公共の利益又は公共のサービスに関する職務を遂行する場合(第64条)と、公的な許認可を得て個人データを処理する場合(第68条)が規定されています。
前者は、公共の利益が直接的に脅威にさらされる事態(例えば、災害時に大統領が緊急事態宣言を行った場合)が想定されています(本規則案第64条及び解説文)。また、後者は詳述されていないため不明となっております。

参考までに、欧州連合の一般データ保護規則(GDPR)に類似の規定が置かれており、ここでは一般に弁護士会や医師会がその構成員に対して懲戒手続き等を行う場合が含まれるとされていることから、PDP法及び本規則案においてもこの点を念頭に規定されている可能性があります。

なお、いずれの場合も、個人データの処理活動がデータ管理者に商業的な影響や利益をもたらす場合はこれを根拠とすることは認められないと規定されています(本規則案第65条)。

(f) その他の正当な利益(第69条~73条)
個人データ処理の根拠として、最後にその他の正当な利益が規定されています。本規則案では、個人データ管理者の目的、必要性、および個人データ管理者の利益と個人データ主体の権利とのバランスを考慮した上で、その他の正当な利益のために個人データの処理を行うことが出来る旨が規定されております(第69条)。
当該根拠に基づく処理を行う際は、以下を事前に実施することが必要と規定されています(本規則案第70条)。

  • 処理の必要性と目的の分析(本規則案第70条1項)
  • データ主体の権利とデータ管理者の利益の比較衡量(同上)
  • 個人データの処理が法的影響または損害を個人データ主体に与えないことに関する事前の検証(本規則案第70条1項)
  • (仮にその影響等があった場合に備えた)影響を軽減するための措置の実施(同上)


どのような場合にこれを処理の根拠とできるかについて第69条解説文にて、評価の実施、組織からの債務の回収または個人への債権の支払いが具体例として挙げられていますが、これのみでは、実務上どのような状況でこれを根拠とできるのかは必ずしも明確ではないところかと存じます。

データ管理者は、当該正当な利益を根拠として個人データを処理する場合、これらの評価結果を文書化した上、データ主体に伝達する必要があり(本規則案第71条・第73条)、データ主体が異議を申立てた場合は、データ管理者は処理を停止する必要があります(本規則案第70条第2項)。

3.結論

本規則案では個人データの処理に関する規定として、(1) 処理の類型、(2) 類型毎の遵守事項、(3) 遵守すべき保護原則(Principle)、(4) 処理時の根拠(Basis)が規定されています。特に(2)類型毎の遵守すべき事項、(3) 遵守すべき保護原則、(4) 処理時の根拠(Basis)の詳細の規定はPDP法では置かれていなかったものとなります。
本規則案が実際に施行されるまでに、どの程度修正されるかは予測できないものの、本規則案は、今後の個人データの運用を考える際の指針になるものかと存じます。

—–

[1] PDP法の内容については、2022年10月のニュースレター(https://oneasia.legal/8947)をご参照ください。
[2] 2023年10月ニュースレター(https://oneasia.legal/11565)及び11月ニュースレター(https://oneasia.legal/11768)をご参照ください。
[3] 本規則案は本ニュースレター執筆の時点においても未だ成立しておらず、また修正されたとの報道も見当たっておりません。


  |