インドネシア国会における個人データ保護法案の可決について
インドネシア国会における個人データ保護法案の可決についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
インドネシア国会における個人データ保護法案の可決について
2022年10月
1.はじめに
個人データ保護法(以下、「PDP法」)の法案が、2022年9月20日、2022-2023年度会期の第1会期期間中の第5回国会本会議で可決されました。現在は政府による正式な公布を待っている状態です。
このPDP法は、2016年から審議がなされてきたところ、個人データに関連する複数の企業によるデータの流出やインドネシア国内の企業や政府機関における違反の疑いに対する調査が相次いだ後にようやく成立いたしました。
今回可決された最終ドラフトには、16章76条が規定されているところ、2019年末に提出された政府の当初案よりも4条増えたことになります。[1]
本ニュースレターでは上記のPDP法の内容を概括的にご紹介させていただきます。
2.PDP法における重要な要素
(1)個人データの分類
個人データとは、電子的または非電子的なシステムを通じて直接または間接的に識別される、または他のデータと組み合わせて個人を識別することができる個々のデータを指します(第1条)。個人データは、特定の性質を持つ個人データと一般的な性質を持つ個人データの2つから構成されています。(第4条)
(2)個人データ保護の対象者
PDP法は個人データ保護の対象を個人データ主体(Subjek Data Pribadi)と定め、その定義を個人データに関連する個人と規定しております(第1条6項)。
(3)域外適用について
PDP法は、インドネシア国内に所在するあらゆる個人、公的機関、国際機関に適用されます。また、インドネシア国外に所在している場合にも、インドネシア国内に影響を及ぼす、またはインドネシア国外に所在するインドネシア国民である個人データ主体に法的影響を及ぼす個人、公的機関、国際機関にも適用されると規定されております( 第2条)。
(4)個人データ主体の権利
個人データ主体は、以下のような権利を有します;
・個人データの明確性、身元、法的利益の根拠、要求と利用の目的、および個人データを要求する側の説明責任に関する情報を得ること(第5条)
・個人データ主体に重大な影響を及ぼすプロファイリングを含む、自動処理のみに基づく意思決定行為に異議を述べること(第10条)
・法令に反して自身に関する個人データが処理された場合にこれを訴え、補償を受けること(第12条)
ただし、国の防衛や安全保障、法の執行など、特定の目的については、個人データ主体の一部の権利は除外されます(第15条)。
(5)個人データ管理者及び個人データ処理者
PDPA法では、あらたに、個人データ管理者(以下、「管理者」)及び個人データ処理者(以下、「処理者」)という定義が導入されました。
管理者とは、個人データの処理の目的を決定し、管理するために単独または共同で行動するすべての個人、公的機関、および国際機関を指します(第1条4項)。管理者の義務についてはPDP法第20条から49条で定められております。
処理者とは、個人データ管理者に代わって個人データの処理に個人または共同して従事するすべての個人、公的機関および国際的組織をいいます(第1条5項)。処理者の義務についてはPDP法第51条及び52条で定められております。
上記のように、管理者は個人データ処理の目的を決定する者であり、処理者とは、上記決められた目的にしたがって、個人データの管理者に代わって個人データの処理を行なう者を指します。したがって、個人データの処理は、原則として管理者の責任で行われ、処理者が上記目的の範囲外で個人データ処理を行なう場合にのみ処理者の責任でこれが行われるとされております(第51条3項、6項)。
(6)情報が漏洩した場合
個人データ保護の失敗または漏洩があった場合、管理者は遅くとも72時間以内に書面で通知しなければなりません。この書面による通知は、個人データ主体および機関宛てに行われ、少なくとも、漏えいした個人データ、いつ、どのように個人データが漏えいしたか、およびデータ漏えいに対処し回復するための取り組みが含まれていなければなりません。管理者は、一定の場合には、個人データ保護の失敗を公表する義務があります(第46条)。
(7)個人データの移転
・域内移転(第55条)
管理者は、インドネシア共和国の管轄区域内において、他の管理者に個人データを移転することができるとされております。
この場合、個人データを移転する管理者及び個人データの移転を受ける管理者は、本法でいう個人データ保護を実施しなければならないとされております。
・越境移転(第56条)
管理者は、以下の要件の下で、インドネシア共和国の管轄区域外の他の管理者及び/又は処理者に個人データを移転することができるとされております。
(a) 受信者の国が、PDP法で規定されている個人データ保護水準と同等以上の保護規定を有していること
(b) (a)が満たされない場合、十分かつ拘束力のある個人データ保護が存在すること
(c)(a)及び(b)が満たされない場合、個人データ主体の承諾を得ること
上記のように、各要件が段階的に規定されているのが特徴です。
なお、越境移転についての詳細は政府規則で定めるとされております。
(8)データ保護責任者(DPO)の任命
管理者及び処理者は、以下の場合にはデータ保護責任者の任命が必要であるとされております(第53条1項)。
(a) 個人データの処理が公共サービスのためである場合
(b) 管理者の主な活動が、個人データの定期的かつ体系的な監視を大規模に必要とする性質、範囲及び/又は目的を有している場合
(c) 管理者の主な活動が、特定の個人データおよび/または犯罪に関連する個人データに関する大規模な個人データ処理である場合
DPOは管理者又は処理者の内外の人材を問わず、専門的知識、法令及び個人データ保護の実務に関する知識並びに職務遂行能力に基づき選任するとされております(第53条2項)。
(9)個人データ保護監督機関
PDP法第58条は、大統領が個人データ保護の実施とする機関を設立し、同機関は直接大統領に対して責任を負うと定めております。同機関は管理者及び処理者のためのガイドラインを策定し、個人データ保護の監督、行政制裁等を行なうことになります(第59条)。本機関の詳細は、政令で定めるとされております(第58条5項)。
(10)禁止事項と行政制裁
PDP法は下記の禁止事項及び行政制裁を規定しております。
(a) 取得、収集、利用、開示
すべての人は、自己または他人の利益を図る目的で、個人データ主体に損失をもたらす可能性のある自己に属しない個人データを違法に取得または収集すること、開示すること、不正に利用することを禁止され、これに反する者は5年以下の禁錮及び50億ルピア以下の罰金が規定されております(第65条、67条)。
(b) 虚偽データの作成、改ざん
すべての人は、自己または他人の利益を図る目的で、虚偽の個人データの作成、改ざんを行なうことを禁止され、これに反する者は6年以下の禁錮及び60億ルピア以下の罰金が規定されております(第66条、68条)。
(11)経過措置等
PDP法第74条は、管理者、処理者、その他個人データの処理に関係する者は、本法律の施行から2年以内に本法に基づく規定に準拠しなければならない旨規定しております。また、法が施行された場合、PDPに関連するすべての法令は、PDP法に抵触しない限り、引き続き有効であるとされております (第75条)。
3.結論
PDP法案はすでに国会で承認されており、現在、番号指定と法律成立のために大統領の署名を待っているところです。ただし、PDP法案が国会で可決されてから30日以内に大統領が署名しない場合は、自動的に発効されるとされております。
上記のように、PDP法は初の包括的な個人データ保護法であり、これまでインドネシアでは用いられてこなかった概念や制度も多く盛り込まれております。
他方で、上記のように2年間の経過措置が規定されており、今後、多くの点が政令において詳細に定められる見込みです。
したがって、在インドネシアの各企業は、同法の内容を把握した上で、今後施行される予定の各政令を詳細に検討し、対応を進めていく必要があると考えられます。
[1] Parliament of the Republic of Indonesia [website], https://www.dpr.go.id/berita/detail/id/40786/t/Puan+Maharani%3A+RUU+Pelindungan+Data+Pribadi+Disahkan+Besok (access on October, 1st, 2022)
