マレーシアにおけるプライバシーポリシーの記載事項について

マレーシアにおけるプライバシーポリシーの記載事項についてニュースレターを発行しました。
PDF版は以下からご確認ください。

→マレーシアにおけるプライバシーポリシーの記載事項について

マレーシアにおけるプライバシーポリシーの記載事項について

2021年4月
One Asia Lawyers Group
マレーシア担当
日本法弁護士　橋本　有輝 

　本稿では、マレーシアにおいて事業を営む際、プライバシーポリシーに記載すべき事項を概説します。

１　プライバシーポリシーの作成は必須である

　マレーシアにおける個人情報保護法については、Personal Data Protection Act 2010（以下「PDPA」といいます。）に定めがあります。

（１）　「個人情報」の意義

　PDPAにおいて「個人情報（Personal Data）」とは、その情報又はその情報とその他の情報を併せて特定される情報対象者（例えば個人）に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

　したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。

（２）　PDPAの適用対象者

　PDPAの適用対象者は、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用されます[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じてマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

　つまり、PDPAは、マレーシアにおいて活動するほぼ全ての企業乃至事業に適用されることになります。

（３）　PDPAにおけるプライバシーポリシーの位置づけ

　上記（２）に該当する企業は、個人情報の処理にあたって、PDPAの規定を遵守する必要があります。

　そして、このPDPAには「通知及び選択の原則」[2]という考えがあり、個人情報の使用者が個人情報を収集する対象者に対して一定の事項を通知しなければならない、という義務が企業に課せられています。

　プライバシーポリシーとは、基本的には、この義務に対応するために作成され、公開されるものです。

従って、マレーシアにおいて何らかの事業を行う企業は、PDPAに従って、プライバシーポリシーを作成することが必要不可欠なのです。また、このプライバシーポリシーは、英語版だけでなく、マレー語版の作成も義務付けられている点にも注意が必要です[3]。。

（４）　従業員向けのプライバシーポリシーの必要性

　マレーシアに現地法人を有する企業は、従業員を雇用し事業を行う過程において、必然的に従業員の個人情報を取り扱うことになります。PDPAには従業員の個人情報について個人情報としての保護を除外するような規定は存在しませんから、従業員の個人情報もPDPAの適用を受けることになります。

つまり、現地にて従業員を雇用している企業は、顧客向けのプライバシーポリシーに加え、従業員向けのプライバシーポリシーの作成も法律上要求されているのです[4]。

２　プライバシーポリシーに記載すべき事項

　PDPAでは、情報対象者の個人情報が処理されること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の類型などについて、通知することを企業に義務付けています。

　以下では、いくつかの記載事項を敷衍しつつ概説します。

①　個人情報が処理される目的

　文字通り、何のために個人情報を収集し処理するのかを記載する必要があります。

企業が、個人情報を収集した後になって、当初記載したのとは別の目的で個人情報を使用したいと考えた場合、その目的を対象者に通知しなければならず[5]、また第三者に開示することについて同意を取得しなければならなくなるため[6]、顧客向けのプライバシーポリシーでは、例えば「あなたに連絡を取る」「あなたにサービス又は商品を提供する」「広告の情報を提供する」などと、目的を広く記載することが一般的です。

②　個人情報を開示することができる第三者の類型

　例えば、企業が、収集した個人情報を用いて既存の顧客に対して広告を行いたいと考え、関連会社と共に作業を行う場合など、企業は個人情報を第三者に開示する場面が想定されます。この場合に対応するため、プライバシーポリシーには、収集した個人情報を開示する可能性のある第三者の類型を予め記載しておく必要があります。ここで記載された類型に該当しない第三者に対して個人情報を開示するには、対象者の個別の同意が必要となります[7]。従って、この規定についても、開示先の第三者の記載を広く行うことが一般的です。

③　個人情報の処理についての同意

　PDPAでは、個人情報を処理するについて、情報対象者の同意が必要とされています[8]。この「同意」は、プライバシーポリシーとは別に、個人情報の入力フォーム等を通じて取得することも多いですが、網羅的に同意を取り付ける趣旨でプライバシーポリシーに「あなたは、個人情報の提供をもって、我々が個人情報をプライバシーポリシーに従って処理することに同意します」等と記載することもよく見られます。

④　その他

　上記した以外にも、プライバシーポリシーには、個人情報にアクセスする権利の記載や個人情報の国外移転への同意取付など様々な事項が記載されます。

３　まとめ

　以上の通り、プライバシーポリシーをPDPAに則って適切に作成することは、マレーシアにおいて事業を行うために必要不可欠といえます。

また、PDPAに違反した場合には、300,000リンギット以下の罰金、２年以下の懲役又はその両方が課せられる可能性があり、マレーシアでは近年取締りが強化されている傾向にあります。

　このようなことから、御社におけるプライバシーポリシーがPDPAに適合した内容となっているのかを再度見直されることを推奨いたします。

以上

[1] PDPA 2. (4)(d)
[2] PDPA 7.
[3] PDPA 7. (3)
[4] なお、顧客向けのものと従業員向けのものを分けなければならないという法律上の制限は存在しないものの、のちに述べる記載事項の関係で、一般的にはポリシー自体を別々に作成するのが一般的である。
[5] PDPA7. (2)(c)
[6] PDPA8. (a)
[7] PDPA8. (b)
[8] PDPA6. (1)