スリランカ・南アジア初の個人情報保護法について
スリランカ・南アジア初の個人情報保護法についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
スリランカ・南アジア初の個人情報保護法が成立
2022年4月13日 <style=”text-align: right;”>One Asia Lawyers 南西アジアプラクティスチーム
南アジア諸国では、これまで個人情報を保護する包括的な法律はありませんでした。インドおよびパキスタンが同様に法案を審議している状況でしたが、これらの大国に先行する形で、2022年3月19日にスリランカにおいて、「個人情報保護法(Personal Data Protection Act, No.9 of 2022)」[1]が成立しました。
本ニューズレターでは、新たに成立したスリランカの個人情報保護法について、主な規定と企業への影響を解説いたします。
なお、インドの個人情報保護法案については、2021年8月13日付けニューズレター(https://oneasia.legal/7274)および2021年4月9日付けニューズレター(https://oneasia.legal/6642)で解説しています。
また、2021年9月15日発売の『南アジアの法律実務』(https://oneasia.legal/7381)(中央経済社)では、インドやその他南アジア各国の会社制度、労働法、不動産法制等の法務実務を解説していますので、ぜひご参照ください。
1.概要
スリランカ、2022年3月、南アジアで初となる個人情報保護法を制定しました。同法は、2022年3月9日に可決、同月19日に認可されて正式に成立し、同月22日に公布されています。内容はEU一般データ保護規則(GDPR)をベースとしており、具体的な規定についても、厳格なGDPRのものと類似しています。
同法制定前のスリランカにおいては、プライバシーやデータ保護を包括的に規制する法律はなく、「コンピュータ犯罪法(Computer Crime Act No 24 of 2007)」が、コンピュータおよびその情報への不正アクセス(コンピュータ犯罪法3条)や、情報の不正な開示(同法10条)等を規制するにとどまっていました。
新たに成立した個人情報保護法は、現行法よりも格段に厳しい規定が盛り込まれ、違反時には高額な罰則も科され得るものとなっています。また、南アジアにおいても、インドやパキスタンで類似の個人情報保護法案が審議されている点も念頭に、適用対象となる企業は、同法の施行開始(最短で2023年9月)までに、社内体制の整備や情報取扱の運用の見直しといった対応が求められます。
2.適用の対象
スリランカ国内に拠点を有しているかを問わず、スリランカで行われる個人情報の処理が、同法の適用対象として含まれます。そのため、現地の代理店を通してスリランカでビジネスを行う日系企業等においても、個人情報を扱う限りは同法の義務規定の遵守が必要となります。
また、同法には小規模会社等を免除する規定はなく、規模を問わずすべての企業に適用されるため、同法施行開始による企業への影響は大きいものとなり得ます。
具体的には、以下の個人情報の処理が同法の適用の対象として規定されています(同法2条1項)。
a) 個人情報の処理が、全部または一部がスリランカ国内で行われる場合 または b) 個人情報の処理が、以下のいずれかに該当する管理者または処理者によって実施される場合 i) スリランカに居住または在住(is domiciled or ordinarily resident)している ii) スリランカの法律のもとで法人化または設立されている iii) スリランカのデータ主体に商品またはサービスを提供している(スリランカ国内のデータ主体を特定のターゲットとする商品またはサービスの提供を含む) iv) スリランカにおけるデータ主体の行動を特に監視し、当該データ主体の行動に関し意思決定を行うことを意図したプロファイリングを行っている |
なお、「個人による純粋な個人的、家庭的、家計的な目的のため」に処理される個人情報には、同法は適用されません(同法2条3項)。
3.個人情報等の定義
同法上の「個人情報(personal data)」とは、直接的または間接的に個人を識別できる情報を意味し、具体的には以下を指します(同法56条)。
a)氏名、識別番号、財務情報、位置情報、オンライン識別子等の識別子、または b)個人または自然人の身体的、生理的、遺伝的、心理的、経済的、文化的または社会的アイデンティティに特有の1つまたは複数の要素
また、日本の「要配慮個人情報」と類似した概念として、「特殊な個人情報(special categories of personal data)」が規定されています(同法56条)。これは同法上、「人種または民族の出身、政治的意見、宗教的・哲学的信条、遺伝情報、生体情報、健康データ、性生活・性的指向に関するデータ、犯罪、刑事手続および有罪判決に関する情報、または子供(の有無や人数等)に関する個人情報」と定義されており、子供に関する情報が当該カテゴリーに分類される点が特徴的であるといえます。
4.主な義務規定
企業が遵守すべき同法上の主な義務には、本人の同意取得義務、国外移転先の十分性認定確認、担当責任者の設置等が含まれ、これらはGDPR上の規定とも類似しています。個人情報保護法上の義務規定は本ニューズレターでは紙面の都合上網羅していないものの、実務上の影響が大きい義務については以下のとおり規定されます。ただし、施行規則やガイドラインは未発表であり、具体的な手法等は現時点では明らかではありません。
(1)通知および同意取得
個人情報を収集する際、管理者はデータ主体に対し所定の情報を含む通知を行い(同法11条、別紙V)、収集した個人情報の処理を行う際は本人の同意を得る必要があります(同法5条(a)、別紙I)。
(2)国外移転
個人情報の国外移転は、十分性認定(adequacy decision)に基づき定められた第三国であれば認められます(同法26条3項(a))。ただし、十分性認定国以外の第三国において、管理者または処理者が、同法に基づく義務を確実に遵守するとともに、データ主体の権利及び救済措置の確保のための、当局指定による拘束力および強制力のある保護措置を講じることを条件に、当該国への移転は認められます(同法26条3項(b)、4項)。当該措置を講じることができない場合は、個人情報の国外移転にあたり適切な保護措置がないために起こりうるリスクについて、本人の明示的な同意を取得するなどの一定の要件を満たさなければ、国外移転は認められません(同法26条5項)。
ただし、公的機関がデータ管理者または処理者の場合は、原則としてスリランカ国内でのみ処理されるものと規定し、第三国での処理は禁止されます(同法26条1項)。このため、サービス提供に際し公的機関と個人情報の共有等を含む事業者は、データをスリランカ国内でのみ処理すること(データローカライゼーション)となる点に留意を要します。
(3)データ保護責任者(Data privacy officer)の設置
「特殊な個人情報」を処理する等の一定の条件下では、所定の専門資格等を有するものをデータ保護責任者に任命し、その連絡先を公表しなければならないと規定されています(同法20条1項、2項、4項)。データ保護責任者は、データ処理の要件や同法の規定の遵守状況、個人情報保護影響評価等について、管理者または処理者に助言する責務を担う重要なポストと位置付けられます(同条5項)。
(4)罰則規定
同法に違反した場合は、最大1,000万ルピー(約400万円)罰金が科され得ることとなります(同法38条)。
同法はGDPRをモデルにはしているものの、GDPR自体や、同じくGDPRをモデルとしているインドの法案では、違反時の罰金をいずれも数億円または全世界売上高の数%としており、それらと比較すると罰金額は小さく定められたといえます。
5.施行時期・企業に求められる対応
同法は既に成立しているものの、施行までその適用は猶予されます。すなわち、前述の主な規定はすべて、2023年9月から2025年3月まで(認可日2022年3月19日から18ヶ月以上36ヶ月未満)の期間に施行されると規定されています(同法1条)。
施行開始後も、スリランカのような国で世界基準の個人情報保護規定を遵守することは実務面で大きな困難が伴うことが予想され、また、規定通りの厳格な運用がなされるか、違反とみなされた場合に罰則が実際に適用されるか、など、特に南アジアで初の個人情報保護法でもあり、未知数といえます。
また、施行開始まで少なくとも1年半の猶予期間があるため、適用を受ける企業には規定を遵守する体制を整える準備期間が十分に与えられているとみなされ、施行開始時点でのコンプライアンス違反に対する当局の柔軟性は期待できない可能性もあります。
具体的な施行規則や当局による通知は引き続き注視するとともに、インドやパキスタンが類似の法案を審議していることも念頭に、同地域でビジネスを展開する企業においては、南アジア域内での体制や運用を検討することが推奨されます。
以上
[1] https://www.parliament.lk/uploads/acts/gbills/english/6242.pdf