バングラデシュ、ネパール、パキスタン、スリランカ、ブータンにおける個人情報保護法のアップデート

2021年01月07日（木）

バングラデシュ、ネパール、パキスタン、スリランカ、ブータンにおける個人情報保護法のアップデートについてニュースレターを発行しました。

PDF版は以下からご確認下さい。

→南アジアにおける個人情報保護法のアップデートについて

バングラデシュ、ネパール、パキスタン、スリランカ、ブータンにおける個人情報保護法のアップデート

2021年1月07日

One Asia Lawyers

南アジアプラクティスチーム

南アジアにおいても、近年、個人情報保護の対応に関する法規制が整備されつつあります。そのような状況を踏まえて、今回、バングラデシュ、ネパール、パキスタン、スリランカ、ブータンの個人情報保護法の導入状況やアップデートを共有します。

1. バングラデシュにおける個人情報保護法について

　現在時点（2021年1月）において、バングラデシュでは、個人情報の侵害に対する包括的な法的保護は存在していません。バングラデシュでは、国家のデジタルセキュリティを確保し、デジタル犯罪の特定、防止、抑止等に関する法律を制定することを目的とし、2018年に「デジタルセキュリティ法」^[1]が成立しており、同法において違法な個人情報の収集及び使用についての罰則規定を設けています。

同法第 26 条は、ID情報の収集および使用に関連する犯罪を規定しています。第 26 条1項に基づき、本人の明示的な同意のないID情報の不正使用（ID情報の不正な収集、販売、所持、供給）は犯罪と定義されています。なお、同意の取得方法等の手続きについては、明確な規定は存在しません。同法に違反した場合、5 年を超えない期間の懲役または 50万タカの罰金、またはこれらが併科されます。そして、ここでいうID情報には、氏名、生年月日、父母の氏名、国籍、署名、国民ID、出生・死亡登録番号、指紋、パスポート番号、銀行口座番号、運転免許証、E-TIN番号、電子またはデジタル署名、ユーザー名、クレジットまたはデビットカード番号、声紋、網膜画像、虹彩画像、DNAプロファイルが含まれると規定されています。

2018年デジタルセキュリティ法の施行後、電気通信、電子商取引、フィンテック、銀行等の事業者は、第26条を遵守するためID情報を取り扱うにあたり、その個人から同意を得なければならなくなり、現地実務において大きな影響が生じました。また、バングラデシュ政府は、デジタルセキュリティ法第60条に基づき、この法律の目的を達成するための細則の策定作業を進めています^[2]。

2. ネパールにおける個人情報保護法について

ネパール憲法は、基本的な人権として情報の保護とプライバシーの権利を規定しています。これらの権利を保護するため、2018年に個人プライバシー法（「プライバシー法」）が成立しました。このプライバシー法は、他国の個人情報保護法と異なり、個人情報の収集、保管、利用に関する規定だけでなく、全ての個人は、住居、財産、文書、データ、通信、性格に関するプライバシー権を有することを定め、法律で定められた場合を除き、その権利が侵されないことを定めています。

プライバシー法では、以下の情報を個人情報として詳細に定義しています。

(1)　カースト、民族、出生、出自、宗教、肌の色または婚姻の有無。

(2)　学歴または学歴資格。

(3)　住所、電話番号、電子メールアドレス。

(4)　パスポート、市民権証明書、国民IDカード番号、運転免許証、有権者IDカード、または公的機関が発行したIDカードの詳細。

(5)　個人情報の記載がある送受信された手紙

(6)　拇印、指紋、網膜、血液型、その他の生体情報

(7)　犯罪歴または犯罪行為または刑の服務のため課せられた刑の詳細

(8)　何らかの決定の過程で、専門家により表明された意見や見解

そして、法律で定める場合を除き、個人情報を収集することは禁止しています（プライバシー法第23条１項）。もっとも、調査、研究又は世論調査を目的とする場合、その目的などの一定事項を通知し、その個人の同意を得た上で、個人情報を収集することがでます（プライバシー法第23条２項～４項）。

また、プライバシー法で禁止されている行為を行った場合、懲役刑や罰金刑が科されます。

以上のとおり、ネパールのプライバシー法は、他国の個人情報保護法に比べ、プライバシー保護に重点を置いた法律であり、個人情報の利用については、調査、研究又は世論調査を目的として同意を得た場合に限定されています。ゆえに、一般企業による個人情報の利用の範囲が不明瞭といわざるを得ません。

3. パキスタンにおける個人情報保護法について

現時点（2021年1月）では、パキスタンにおいて、個人情報保護法等の包括的なデータ保に関する具体的な法律は存在していません。もっとも、2020年4月、パキスタンの情報技術通信省は、2020年パキスタン個人データ保護法草案（以下、「草案」）を発表しています^[3]。この草案はまだパキスタン議会に提出されていないものの、今後、議会において可決されれば、大統領の同意を得て公布されることになります。

法案の主な内容は次の通りです[4]。草案によれば、個人情報保護法が施行されてから6か月以内に、政府はパキスタンの個人データ保護局を設立しなければならないと規定しており、同局は、データ主体の利益を保護すること、個人データの保護を確保すること、個人データの悪用を防止すること、データ保護に関する意識の向上を促進すること、苦情を受けるけること等の責任を負っています。

また、具体的な個人データの保護規定については、EU一般データ保護規則（GDPR）を踏襲しつつも、管理者及び処理者の登録制度などパキスタン独自の規定が置かれています。

まず、個人データについて、データ主体に直接または間接的に関連する情報であって、その情報から識別または識別可能なもの、または、データ管理者が保有する情報およびその他の情報から識別可能なものをいい、個人を特定できない匿名化されたデータや暗号化されたデータ、または仮名化されたデータは、個人データではないとしています。GDPRでは匿名化は不可逆的な処理が必要であるが、仮名化されたデータは個人を特定するために必要な情報と付き合わせれば個人を特定できるのでなお個人データとされているところ、パキスタンの草案では暗号化や仮名化された情報は個人データではないとしている点が特徴的といえます。

また、生体認証データや健康に関する情報、宗教などの機微情報だけでなく、アクセス制御に関するデータ（ユーザー名および／またはパスワード）、銀行口座、クレジットカード、デビットカード、その他の決済手段の詳細などの金融情報、パスポート情報を含めて「機密性の高い個人データ」と定義され、ほかの個人データとは区別している点も特徴的です。

さらに、GDPRと同様、個人データを取得・処理・開示するデータ管理者やデータ管理者にかわりデータを処理するデータ処理者についても規定されています。なお、草案では、個人データ保護局にデータ管理者とデータ処理者の登録制度を考案・策定する権限を与えているので、草案がそのまま法律として成立し施行されれば、データ管理者とデータ処理者の登録制度が導入される可能性が高いといえます。

データ管理者は、個人データの収集および処理について、データ対象者に書面による通知を行わなければなりません。加えて、個人データの取得・処理・開示については、原則として本人の同意が必要であり、同意は本人の希望を自由に与えられ、具体的で、十分な情報を提供された上で、かつ明確に意思表示されたものでなければなりません。なお、個人データの国外移転については、転送先の国においてパキスタンと同等の法的保護を受けることができることが要件となっていますが、転送にあたっての手続の詳細については法律で明記されていません。また、個人データが漏洩した場合など個人データの侵害があった場合、データ管理者は72時間以内に個人データ保護局に報告しなければなりません。

以上のとおり、パキスタンの草案は、GDPRを踏襲している部分が多く、その解釈にあたってはGDPRやそのガイドラインが参考になるといえるでしょう。

4. スリランカにおける個人情報保護法について

現時点（2021年1月）では、スリランカにおいて、包括的な個人情報保護規定は存在していません。ただし、スリランカのデジタルインフラ・情報技術省は、2019年にデータ保護とサイバーセキュリティを管理するサイバーセキュリティ法案^[5]と個人情報保護法案^[6]の草案を作成しています。これらの草案は、新たなサイバーセキュリティと個人情報の保護に関する問題に対処するための規制の枠組みを構築することを目的として起草されています。

サイバーセキュリティ法案は、サイバー攻撃から重要な情報や重要なサービスを守るために、スリランカ政府内に「サイバーセキュリティ機関」を設立することを規定しています。サイバーセキュリティ法案の直後に発表された個人データ保護法案は、個人情報を保護し、個人情報の処理を規制することを目的としており、憲法上の権利であるプライバシーの権利にも対応できる内容となっています。

（1）2019年スリランカ個人情報保護法案^[7]

内容はほぼGDPRを踏襲しています。

例えば、データ主体について、名前、識別番号、位置情報、オンライン識別子、または自然人の身体的、生理学的、遺伝的、心理的、経済的、文化的、社会的アイデンティティに固有の1つ以上の要素を含むがこれらに限定されない識別子を参照することにより、直接的または間接的に識別可能な個人、と定義しており、データ主体及び個人データについてGDPRとほぼ同様の定義がなされています。

また、個人データを適法に取扱いできる場合や、センシティブデータの取扱い、同意取得の条件、国外移転、データ主体の権利、データ管理者およびデータ処理者の義務等についてGDPRとほぼ同じ内容となっています。

この法案において特徴的な点は、データ管理者が登録制である点です。データ管理者になろうとする者は、処理する個人データや個人データのカテゴリー、処理目的、開示先等を所定の様式に記載して個人情報保護局に申請し、登録料を支払ってデータ管理者の登録をしなければなりません。この登録は１年ごとに更新する必要があります。

また、ダイレクトマーケティングでの個人データの利用についても規定しており、データ主体から明確な同意があれば、エンドユーザーの個人データを利用して、インターネットや、電話でダイレクトマーケティングを行うことができる旨規定しています。

（2）2019年サイバーセキュリティ法案^[8]^[9]

スリランカサイバーセキュリティ法案において、サイバーセキュリティ機関が設置される予定となっており、当機関には次のような機能が委ねられる予定となっています。具体的には、国家サイバーセキュリティ戦略、基準の策定、情報保護のための戦略と計画の策定、サイバーセキュリティに関する中心的な窓口機能等を果たすことが規定されています。

5. ブータンにおける個人情報保護法について

現時点（2021年1月）では、ブータンには、個人またはその他の団体の個人データの保護に関する別途の統一的な法律は存在しません。しかしながら、ブータン政府は、2006年に制定された情報技術、通信及びメディアに関する規則を改正し、2018年1月8日に「情報通信及びメディアに関する法律(以下、「ICMA法」)を制定しています。同法は、データ保護、サイバーセキュリティや電波通信及びその他の関連分野に関する規定を定めたものです^[10]^[11]。本法第17章では、オンラインまたはオフラインのプライバシーの保護に関する規定を置き、データ保護について具体的に定めています。

ICMA法は、すべての情報通信技術およびメディア・セクター、ならびにICTおよびメディア・サービスおよび施設の提供者およびユーザーに適用されます。すべてのICT・メディア設備およびサービス提供者は、プライバシーポリシーを策定し、個人情報(機密性の高い個人情報を含む)が収集または要求されるウェブサイトおよび場所に、当該方針を掲載しなければなりません。サービスプロバイダー、ベンダー、ICTまたはメディア施設は、適切で意図された目的のためにのみ、個人情報の収集、使用および保管を制限するものとします。利用者又は消費者からの申出があったときは、当該役務提供者は、その収集及び保存している情報を撤回又は削除する義務を負います^[12]^[13]。

サービスプロバイダー、ベンダー、ICT、またはメディア施設は、利用者や消費者の個人情報(機密性の高い個人情報を含む)を第三者に転送した場合であっても、引き続きそれらの個人情報に対する保護責任を負うと規定されています^[14]^[15]。

所有、管理、または運用するするコンピュータまたはネットワーク、データベースまたはソフトウェアにおいて、個人データ/情報(機密性の高い個人データ/情報を含む)を取り扱う者が、合理的なセキュリティの実施および保守を怠り、それにより個人に損害を与えた場合、その個人データの取扱者は、裁判所の決定に基づいて、生じた損害を被害者に賠償する責任を負います^[16]。

また、他人の個人データ/情報(機密情報を含む)にアクセスし、その者の同意なしに、または契約に違反して、その者に損害を与えるおそれがあることを意図しながら、または、知りながら、当該データ/情報を第三者に開示した者は、刑罰に処せられる旨規定されています^[17]。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以　上

[1]https://www.cirt.gov.bd/wp-content/uploads/2018/12/Digital-Security-Act-2018-English-version.pdf

[2]https://www.thedailystar.net/opinion/human-rights/news/bangladesh-steps-the-data-protection-regime-1726351

[3]https://www.moitt.gov.pk/SiteImage/Downloads/Personal%20Data%20Protection%20Bill%202020%20Updated.pdf

[4]https://iclg.com/practice-areas/data-protection-laws-and-regulations/pakistan

[5]http://www.mdiit.gov.lk/images/Cyber_Security_Bill_2019-05-22_LD_Final_Version.pdf

[6]http://www.mdiit.gov.lk/images/Legal_framework_for_proposed_DP_Bill_11th_June_2019_-_revised_FINAL_ver3.pdf

[7]https://www.ikigailaw.com/new-era-of-data-protection-regulation-in-south-asia/

[8]https://www.cert.gov.lk/Downloads/Cyber_Security_Bill_2019-05-22_LD_Final_Version.pdf

[9]https://www.ikigailaw.com/new-era-of-data-protection-regulation-in-south-asia/

[10]https://www.nab.gov.bt/assets/uploads/docs/acts/2018/ICMActofBhutan2018.pdf