マレーシアで収集した個人情報をマレーシア国外に移転する場合のルールについて

2021年05月10日(月)

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルールについてニュースレターを発行いたします。
PDF版は以下からご確認ください。

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

 

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

2021年5月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 今般、ビジネス上収集した個人情報を国境を越えて移転させるニーズが増加している。本稿では、マレーシアにおいて収集した個人情報を、本社や協力会社が存在する別の国(マレーシア国外)に移転する場合にどのような法規制が存在するのかを説明する。

1 個人情報の国外転送のルール

 今般、マレーシアで収集した個人情報を本社のある日本に置いているサーバーや、個人情報を分析しシステムやサービスの開発を行う協力会社に移転することの可否やその要件についての照会が多い。

(1) 個人情報とは何か

 まず、マレーシアにおける個人情報の処理については、Personal Data Protection Act 2010(以下「PDPA」といいます。)が規定している。PDPAは「個人情報(Personal Data)」とは、その情報又はその情報とデータ使用者の有する他の情報を併せて特定される情報主体(例えば個人)に関連するもので、商業的取引に関するあらゆる情報と定義している。

 したがって、企業の有する氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報であるため、個人情報に該当する可能性が高い。

(2) PDPAの適用対象者

 PDPAは、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用される[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じて国外からマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があることに注意が必要である。

 つまり、PDPAは、マレーシアにおける法人格の有無にかかわらず、マレーシアにおいて活動するほぼ全ての企業等に適用される。

(3) 個人情報の海外への移転とは何か

 一般的なイメージで「情報の国外への移転」という言葉を捉えると、ある企業がマレーシアにおいて収集した個人情報を海外にあるサーバーに保存する、といった行為を想起するかもしれない。

 しかし、例えばマレーシアにおいて収集した個人情報をマレーシア国内で保存している場合であっても、国外の関連拠点のPCを操作することで当該個人情報を呼び出してPC上に表示できるのであれば、当該個人情報へのアクセスをもって、個人情報の国外移転が生じることになることが一般である。

 このように、個人情報の国外への移転は、容易に発生しうる問題であるため、そのような国外移転へに対応する法令遵守要件を見過ごさないことが肝要である。

(4) 個人情報の国外移転の要件

 PDPAは、一般的に個人情報の国外移転を禁止した上で、①情報主体が個人情報の国外移転について同意している場合、または②データ使用者と情報主体の間の契約の履行に必要な場合、といった法律に定めた場合に限ってこれを適法とするスタンスをとっている[2]

なお、③担当大臣が官報で通知する場所への移転は認められる旨の規定はあるものの[3]、現時点でそのような場所が通知されたとの情報はない。

ア 国外移転への同意

  PDPAにおいて、上記のうち情報主体による国外移転への「同意」がどのような場合認められるのかについて、明確な定義や様式は存在しない。

  しかしながら、PDPAに関する規則では、データ使用者は情報対象者から得た同意を記録しなければならないと規定していることからすると、単にプライバシーポリシーの中に国外移転についての同意する旨の文言を定めるだけでは足りず、同意書への署名又は同意フォームにおける同意ボタンのクリックなど記録可能な様式が要求されると考えられる可能性がある。

イ データ処理者への移転

  個人情報の国外移転の問題と関連して、マレーシア国内で収集した個人情報を国外の協力会社に提供してデータ処理作業を委託する、というスキームが問題になることも多くみられる。

  ここでいう協力会社とは、「データ使用者に代わって個人情報を処理する者」であり、PDPAにおける”Data Processor”(以下「データ処理者」)に該当する可能性が高い。

PDPAでは、データ処理者は第三者の定義から除外されているため[4]、データ使用者がデータ処理者に情報を開示(移転含む)することについて同意は不要であると解釈されるのが一般的である[5]

  ただし、PDPAにおいては、データ処理者が個人情報を処理する場合には、データ使用者は、個人情報のあらゆる喪失、誤用、変更、不正による又は過失によるアクセス又は開示、改ざん又は破壊から保護するため、実行される処理を管理する技術的および組織的なセキュリティ対策に関して十分な保証を提供し、それらの対策の遵守を確実にするための合理的な措置を講じる必要がある旨規定している[6]

  すなわち、個人情報の処理を他の企業に委託することを予定しているデータ使用者は、①委託先の選定時において委託先の安全管理措置の内容を確認し、②提供される個人情報の取扱いに関し委託契約を締結することでその実践・履行を確保し、かつ③契約締結後においても定期的な監査を行う等の適切な措置を取ることが求められている。

2 まとめ

 以上の通り、日本などマレーシア国外に拠点を有する企業がマレーシアにおいて個人情報を取り扱う場合には、個人情報の国外移転が生じうることに留意した上で、対策を行うことが求めらる。

 PDPAに関する違反については、300,000リンギット以下の罰金、2年以下の禁固又はその両方が課せられるという罰則があり、マレーシアにおいては、数年前の大規模情報漏洩事件をきっかけにPDPA違反での検挙事例も増えている。

 以上を踏まえ、プライバシーポリシーや同意書を見直すこと、個人情報処理の委託先との契約内容をレビューすることが推奨される。

以上

[1] PDPA 2. (4)(d)
[2]
PDPA 129. (3)
[3]
PDPA 129. (1)
[4]
PDPA 4.
[5]
PDPA 8. (b) なお、日本の個人情報保護法においても、「個人データの取扱いの委託」(23条5項1号)の場合「第三者」に該当しない旨の規定が置かれている。
[6]
PDPA 9.