マレーシアにおける個人情報保護法について

2021年04月06日(火)

マレーシアにおける個人情報保護法についてニュースレターを発行しました。
PDF版は以下からご確認ください。

マレーシアの個人情報保護法

 

マレーシアの個人情報保護法

2021年4月
One Asia Lawyers Group
マレーシア担当
 日本法弁護士 橋本 有輝

 本稿では、マレーシアにおける個人情報保護に関する規制について概説します。

1 マレーシアにおける個人情報保護法

 マレーシアにおける、個人情報の保護に関する規制は、Personal Data Protection Act 2010(以下、「PDPA」といいます。)に定められています。

2 「個人情報」の意義

 PDPAにおいて「個人情報(Personal Data)」とは、その情報又はその情報とその他の情報を併せて特定される情報対(例えば個人)に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

 したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。なお、情報対象者の身体若しくは精神の健康又は状態に関するもの、政治的意見、信仰などは、個人情報の中でも「センシティブ個人情報」とされ、より一層厳格な規制が課せられます。

3 PDPAの適用対象者

 PDPAの適用対象者は、マレーシアにおいて設立された法人等及びマレーシアで設立されてはいないものの個人情報処理の設備をマレーシアにおいて使用する法人等で、商業的活動に関して個人情報を処理する者等です。さらに、PDPAは、上記に該当しない場合であっても、マレーシアに事務所を持っている者やマレーシアにおいて継続的に活動している者にも適用されるとしています[1]。したがって、例えば、日本の企業がスマートフォンのアプリ等を利用してマレーシア在住の個人を対象としたサービスを提供する場合には、マレーシア国内に個人情報を処理するためのデータサーバー等を有していない場合であっても、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

 以上の通り、PDPAの適用範囲は、マレーシアにおいて活動するほぼ全ての企業に適用されるほど広いものとなっています。

4 個人情報保護諸原則

 上記3に該当する企業は、個人情報の処理にあたって、個人情報保護諸原則(Personal Data Protection Principles)を遵守する必要があります。
個人情報保護諸原則は以下の通りです。

① 一般原則[2]

 情報使用者は、情報対象者から処理の同意を得ていない場合は、情報対象者の個人情報を処理してはならないという原則です。ここでいう同意については、個人情報保護法規則3.(1)( the Personal Data Protection Regulations 2013)において、情報使用者により適切に記録、維持されることができるような様式であるべきと規定されています。

➁ 通知及び選択の原則[3]

  情報使用者は、情報対象者に対して、情報対象者の個人情報が処理されていること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の業種などについて、書面により通知するよう要求する原則です[4]。また、この通知は、国語(例えばマレー語)及び英語でなされなければならないとされています[5]

③ 開示原則[6]

  情報対象者の同意なしに個人情報を開示することを禁止する原則です(ただし、個人情報を収集する時点で開示されていた目的、その目的に直接関連している目的によるもの、または上記②の通知に明記されていた開示対象者へ開示する場合を除きます)。

④ 安全原則[7]

 情報使用者は、個人情報をいかなる紛失、不正使用、変更、不正アクセス、不正開示、改ざんもしくは破壊から保護するための具体的措置を取ることを要求する原則です。

⑤ 保持原則[8]

  収集された個人情報は、処理される目的を達成するために必要な期間を超えて保持してはならないという原則です。

⑥ 情報完全性原則[9]

 情報使用者は、個人情報を正確で、完全で、誤解を招かないもので、最新のものであるように合理的な対策を講じなければならないという原則です。

⑦ アクセス原則[10]

 情報対象者は、情報使用者の保有する自らの個人情報にアクセスする権利を有し、それが不正確、不完全であり、誤解を招く恐れのある、もしくは最新のものではない場合には、個人情報の訂正ができる権利を有するという原則です。

5 個人情報の国外移転について

 例えば、マレーシアで取得した個人情報を他の国に設置したサーバーで管理する場合には、個人情報の国外移転に留意する必要があります。
 PDPAは、当該国外移転について、情報対象者が同意をしている場合には、国外転送を認めているため[11]、この同意を取得することが肝要です。

6 罰則

 情報使用者が、上記の7つの原則のいずれかに違反した場合には、300,000リンギット以下の罰金、2年以下の懲役又はその他両方が課されます[12]

 また、マレーシアでは、2017年に大規模な個人情報の漏洩事件が発生しており、PDPAの規定に違反したとして罰則が適用される事案が複数発生しています。従いまして、マレーシアにおいて事業を行う企業にとってPDPAを遵守することは極めて重要です。

7 まとめ

 以上のとおり、PDPAの適用範囲は広範にわたっているため、マレーシアで事業を行うにあたっては、PDPAの規定を無視することは出来ません。また、その規制内容も複雑ですので、一度立ち止まって自社の取り組みが法律に適合しているのか検討してみることをお勧め致します。

以上

[1] PDPA 2. (4)(d)

[2] PDPA 6.

[3] PDPA 7.

[4] Web上で個人情報の収集が行われる場合には、「プライバシーポリシー」と呼ばれる文書で通知されることが多い。

[5] PDPA 7. (3)

[6] PDPA 8.

[7] PDPA 9.

[8] PDPA 10.

[9] PDPA 11.

[10] PDPA 12.

[11] PDPA 129. (3)(a)

[12] PDPA5. (2)