• Instgram
  • LinkeIn
  • Lexologoy
トップページ
2021年08月16日(月)4:44 PM

マレーシアにおける成績不良を理由とする降格・減給処分の実践についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシアにおける成績不良を理由とする降格・減給処分の実践

 

マレーシアにおける成績不良を理由とする降格・減給処分の実践

2021年8月
One Asia Lawyers Group
マレーシア担当<
日本法弁護士 橋本 有輝 

 本稿では、マレーシアにおいて事業を行う企業が成績不良の従業員を降格・減給処分する場合のあるべき実践について概説する。マレーシアにおいては、本稿執筆時点において、COVID-19の感染が蔓延する状況しており、ロックダウン等の影響で事業に重大な支障が出ている企業も多いため、給与の減額についての要請は大きいものがあると思われる。しかしながら、以下の通り、従業員の減給に関しては慎重な対応が求められるのが実情であり、本稿ではあくまで降格処分に伴う減給に焦点を当てて説明を試みる。

1 関連法規

 マレーシアにおいて、雇用及び降格・減給に関連する法規としては、Employment Act 1955(以下「雇用法」)、Industrial Relations Act 1967(以下「労使関係法」)が存在する。

 雇用法は、雇用契約の条件等使用者と労働者の関係を規律する法律である。ただし、マレーシアの雇用法の特徴として、月給が2,000リンギットを超えない労働者または肉体労働に従事している者等にしか適用されないため、雇用法の適用されない労働者との関係では、当事者間の雇用契約において定められた条件が、当事者間の労働問題を判断するうえで重要な意味を持つ。

 また、労使関係法は、労使間の関係の他、労働組合や労働争議の手続きについて定める法律であり、同法の20条(1)が雇用法の適用に関わらず、労働者は、使用者から正当な理由なく解雇されたと考える場合には、労使関係局に職場への復帰を申し立てることが出来る旨規定している。

2 そもそも使用者には労働者を降格させる権利があるのか

 まず、雇用法14条(1)は、労働者が雇用契約に違反する非行を行った場合には、適切な調査を行った上、降格処分が出来ると規定する。また、裁判例においても、適切な調査に基づく非行行為の認定を行った上で降格を行うことは使用者の固有の権利であると指摘する。

 したがって、使用者は、適切な調査と非行行為の認定の後に行うことを前提に、労働者に対して降格処分を行うことをなし得る。

 なお、実際の対応としては、使用者の上記権限を明確にするため、就業規則において、降格処分がなされ得ること、その際の手続きについて事前に定めておくことが推奨されている。

3 違法な降格・減給があった場合、どのような事態となり得るか

 上記の通り、降格を行うには一定の要件があるところ、降格・減給処分に納得しない労働者は、当該降格・減給処分が上記要件に違反していると考える場合、労使関係法20条(1)に基づき、この処分によって会社での雇用を維持できなくなった、つまりこの降格・減給処分は解雇に他ならないとして(これを「みなし解雇」”constructive dismissal”という)、労使関係局に救済を求めて申立を行うことが出来る。

 また、労使関係局やそれに続く人的資源大臣がこの紛争を解決できなかった場合には、労働裁判所(“Industrial Court”)が事件の審査を行うことになる。つまり、この問題は、最終的には、マレーシア裁判所で判断される問題となる。

4 使用者は成績不良の労働者を降格・減給できるか

 マレーシアの裁判例では、成績不良を理由とする降格及びこれに伴う減給が問題となったケースについて、労働者の成績不良が長期にわたって繰り返され、改善の機会を与えたにも関わらずこれが改善しなかったという使用者の主張を認め、労働者への降格・減給処分を肯定したものが多数存在する。

 つまり、使用者は、成績不良の労働者を降格・減給されることが出来ると考えられている。

5 成績不良を理由とする降格・減給を行う際の推奨される実践

 まず、マレーシアの法律における降格・減給の適法違法についての明確なルールは存在せず、結局は、ケースバイケースで判断されているのが実情である。

 したがって、基本的には、使用者が降格・減給を考える場合には、適宜専門家に相談することが推奨される。

一般論として、検討すべき事項を挙げるとすると、以下の通りである。

① 当該労働者へのカウンセリング(要改善事項の指摘、下記②についての検討)の実施

② 当該労働者へのトレーニング(要改善事項を改善する機会の提供)の実施

上記①②を欠いている降格処分は違法と判断される可能性が高いと言える。

③ 労働者の業績・成績の評価プロセス

一般的には、当該労働者の実際の勤務状況を見ている直属の上司による評価が望ましい。また、社内体制に応じ、評価は年1回とは限らずより頻回な評価が要求されることもある。

④ 他の労働者との均衡

同様の評価の他の労働者にも同様の処分を行っているか、という点も使用者の降格処分の真摯性を基礎づける事情となる。

 以上の通り、本稿では成績不良者に対する降格・減給処分に焦点を当てて説明を試みたものの、実際の事案における適切な措置は、まさにケースバイケースで検討されるものである。また、降格・減給処分を行う前提として、適切な就業規則・雇用契約書がそもそも整備されているか、という点も重要であるため、いざという際に当惑しないよう事前の準備が肝要である。

2021年08月16日(月)4:40 PM

マレーシア汚職防止委員会法改正法の適用範囲についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシア汚職防止委員会法改正法の適用範囲について

 

マレーシア汚職防止委員会法改正法の適用範囲について

2021年8月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 マレーシアにおける汚職防止については、マレーシア汚職防止委員会法(Malaysian Anti-Corruption Commission Act 2009:以下「MACC法」)が規定されていたところ、昨年法人及び取締役の責任を定めたMACC法の改正法(Malaysian Anti-Corruption Commission (Amendment) Act 2018:以下「MACC改正法」)が施行された。

そこで、本稿ではマレーシアにおける汚職防止に関する規制内容の概要及びMACC改正法について解説し、同法の適用対象となる企業の範囲等を明らかにする。

1 イントロダクション

 マレーシアは、トランスペアレンシー・インターナショナルが公開している世界各地の公務員等がどの程度汚職しているかを示す順位(2020年)で世界179か国中57位と、シンガポールの3位、日本の19位と比べると低く[1]、依然として汚職防止に向けたさらなる取り組みが要求される状況にある。

2 規制対象行為

 MACC法16条は、ある者が①自ら又は他の者と共同するなどして、②汚職の意図をもって、③ある者の作為・不作為/公務員の公務に関する作為・不作為について、④その誘因(inducement)、又は見返り(reward)として⑤便益(gratification)を⑤勧誘し、受領し、受領する合意をすること又は供与し、供与の約束をし、供与を申し出たことに対する罰則を設けている。同様にMACC法17条は、本人の業務に関する汚職について代理人の責任も定めている。

 上記の定義においては、汚職の当事者は公務員に限らず民間の当事者同士においても汚職が成立する、という点に注意が必要である。

 他方で、これまでのMACC法の下では、汚職を行った当該個人の刑事責任のみが定められているに過ぎなかった。

3 会社及び取締役等の責任

 そこで、MACC改正法は、以上の規制の在り方を変更し、汚職を行った個人のみならず、その個人が属する会社や関係者にも責任を拡大する規定を置いた(同法は2020年に施行)。

(1)会社に責任が及ぶ場面

 会社関係者が、会社の事業あるいは事業遂行上の利点を得る又は保持することを意図して、便益を供与し、供与の同意をし、供与の約束をし又は供与を申し出た場合、当該会社が処罰される(MACC改正法17A条(1))。

 ただし、後述の4記載の通り、会社には免責事由が定められている点が最も重要である。

 ここでいう「会社」とは、マレーシアの会社法のもと設立された会社、マレーシアで事業を行う会社(外国会社含む)、マレーシアの組合法(Partnership Act 1961)に基づく組合等を指す(MACC改正法17A条(8))。

 したがって、マレーシアにおいて事業を営むあらゆる類型の企業はこの規定の適用を受けることになることにまず留意すべきである。

 また、「会社関係者」とは、当該会社の取締役、パートナー若しくは従業員又は当該会社のために若しくは当該会社に代わって役務を提供する者を指し(MACC改正法17A条(6))、「当該会社のために若しくは当該会社に代わって役務を提供する者」か否かは、この者と会社との間の関係性の性質だけから判断するのではなく関連する全ての状況を加味して判断される(同条(7))。

したがって、「会社関係者」とは、会社内部の者に限られず非常に広い範囲の者が対象に含まれうる点にも留意すべきである。

(2)取締役等に責任が及ぶ場面

 上記(1)に基づいて会社が責任を負う場合、その汚職行為があった時点で取締役、役員及び当該汚職の管理に関係していた者などは、汚職行為の責任を負う可能性がある(17A条(3))。

 ただし、この汚職行為がその者の同意乃至黙認に基づかずに行われたものであること及びその者の職務に照らして汚職防止に向けた適切な注意を払っていたことを証明できた場合にはこの責任を免れることが出来る。

(3)会社に対する罰則の内容

 上記の各規定に基づき会社や取締役が有罪判決を受けた場合、①汚職行為の対象となった便益の価値の10倍又は100万リンギットのいずれか高い方の罰金、②20年以下の禁固刑、又は③その併科という重い罰則が定められている(17A条(2))。

4 会社及び取締役等が責任を免れるための方策

 以上の通り、MACC改正法により、会社及び取締役はその関係者による汚職行為につき責任を負いうることが明確となった。

 しかしながら、同法は会社がその責任を免れるための免責事由を定めている点に留意が必要である(17A条(4))。

 すなわち、同規定によれば、罪に問われている会社が、当該汚職行為を会社関係者が行うことを防止するための適切な措置を採っていた場合には、当該会社は免責されると規定されている。なお、取締役等の責任は、会社が責任を負うことが前提となっているため、会社にとっての免責事由は取締役等の責任の存否に対しても影響があるものと考えられる。

 さらに、ここでいう「適切な措置」の具体的内容は、別途発行される「ガイドライン」によって明らかにされると規定されていたところ、このガイドラインは2018年12月に公表された[2]

5 企業に求められる姿勢

 上記4のガイドラインの具体的内容及び企業の採るべき方策については、紙幅の関係上、別稿に譲ることとするが、上記に述べた通り、マレーシアで事業を行う企業はすべからくMACC改正法の適用を受けうること、「会社関係者」の概念の広範さゆえ企業が個人による汚職行為の責任を問われる範囲が広いこと及びその罰則の重さなどに鑑みれば、マレーシアでビジネスを行う上ではMACC法及び同改正法への対応は不可避というべきであり、法及びガイドラインに沿って汚職防止に向けた対策を進めていくことが重要である。

 

[1] https://www.transparency.org/en/cpi/2020/index/nzl 

[2] https://f.datasrvr.com/fr1/119/75252/Prime_Ministers_Department_-_Guidelines_on_Adequate_Procedures.pdf

 

2021年05月10日(月)4:51 PM

マレーシアにおける電子契約・電子署名の取扱いについてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシアにおける電子契約・電子署名の取扱い

 

マレーシアにおける電子契約・電子署名の取扱い

2021年5月
One Asia Lawyers マレーシア
日本法弁護士
橋本 有輝 

 今日のグローバル化した世界では、契約当事者が常に同じ場所にいるとは限らず、電子機器・電子メールを使用する等して電子契約を成立させたり、電子文書にリモートで署名することが出来ればスムーズに取引を成立されることが可能となる。

 そこで、本稿ではマレーシアにおける電子契約及び電子署名の有効性、その要件等について解説する。

1 電子署名に関する法律

 マレーシアにおける電子署名は、Digital Signature Act 1997(以下、「デジタル署名法」)及びElectronic Commerce Act 2006(以下、「電子商取引法」)において、その有効性や要件が定められている。

 本稿では、このうち広く取引に一般的に適当されている電子商取引法に焦点をあてて解説をしている。

2 電子署名とは何か

(1)定義

電子署名とは、電子商取引法において「電子的に作成された文字、記号、数字、音、その他の符合、又はそれらの組み合わせで、人が署名として採用するもの」と定義されている[1]

 その上で、同法は、電子文書に署名が求められる場面において、以下のすべての要件を満たす電子署名がなされれば、当該電子署名は有効なものと規定している[2]

①電子文書に添付されているか、これに論理的に関連付けられていること。 ②署名者個人を適切に識別し、署名に関連する情報に対する個人の承認を適切に示していること。 ③署名が必要な目的と状況に鑑みて、適切な信頼性があること。

 さらに、上記③について、電子商取引法は、以下のいずれかの場合に「適切な信頼性がある」ものと認められると規定している[3]

 ア 当該電子的署名を作成する手段が、その個人にのみリンクされ、かつ、その人の管理下にある場合。
  イ 署名後に電子署名に加えられた変更が検出可能である場合。
 ウ 署名後にその文書に加えられた変更が検出可能である場合。

(2)要件充足性の不透明さ

 上記要件③の充足性については、果たして電子文書にJPEGやPDFの署名を添付するだけでこの要件を満たすと考えてよいのか、より厳格な手段が必要とされているのかについては法令上は明確ではない。

 この点に関し、過去の裁判例はほとんど存在しないものの、ショートメッセージの送信という形式でも個人の電話番号が表示されていることによって電子署名の要件を満たすと判断したマレーシアにおける裁判例がある。この解釈を前提とすれば、電子署名要件は大きなハードルではないと理解できるものの、あくまで事例判断に基づくケースに過ぎないため、今後の裁判例の集積を待つ必要があり、現時点では事案に応じて、個別に判断をしていく必要があるといえる。

(3)例外文書その他考慮すべき事項

 また、電子商取引法は、①委任状、②遺言の作成、③信託の組成、④約束手形、小切手等の特定の金員の支払を保証する文書については、同法の適用範囲から排除しているため注意が必要である。

 また、印紙税納付のスタンプが求められる不動産譲渡証書や株式譲渡証書においては、実務上オリジナル文書への署名が要求されている。

3 電子契約の有効性

 上記2では電子署名の有効性について解説した。しかし、法律上、あらゆる書面に署名が求められているわけではない。そこで、例えば電子メール等を通じたやりとりや「同意する/同意しない」といったボタンのクリックのみによって契約が成立するのか否かが別途問題となる場合がある(この場合、署名は存在しないため)。

 この点に関し、電子商取引法7条は、電子的な手段によって契約の申込、申込の承諾及び拒絶、申込及び承諾の撤回その他やり取りが可能であること、そのように成立した契約は法的に有効であることを認めている。

(1)電子契約の成立:当事者が同意している場合にのみ適用

 電子商取引法は、当事者間が電子的な手段を用いて契約を成立させることに同意している場合に適用される[4]。ただし、この同意は明示的なものでなくてもよく、同時者の行動から推定されるものであるため、電子的な手段で申込を行い、相手方が同意ボタンを押す等すれば、その行為をもって電子的な手段による契約成立への同意があったと推定されるものと考えられる。

(2)電子通信の発送と受領

 電子商取引法は、当事者間で別段合意ない限り、電子通信は、それが送信者の管理外の情報システムに入った時点で発送されたとみなされる、と規定している[5]

 他方で、受領については、受領者が受領するための情報処理システムを指定した場合は電子通信が当該情報処理システムに入った時点で、又は、受領者がそのような指定を指定していない場合は受領者が電子通信を認識するに至った時点で、受領したとみなされる[6]

 上記の電子契約の成立、電子通信の発送と受領があったとされるかについても、マレーシアにおける判例の集積などが待たれるが、個別具体的にビジネスの内容、契約の内容、契約の実態などに鑑み、個別に判断していくことが重要である。

[1] 電子商取引法5. [2] 電子商取引法9. (1)  “an electronic signature which— (a) is attached to or is logically associated with the electronic message; (b) adequately identifies the person and adequately indicates the person’s approval of the information to which the signature relates; and (c) is as reliable as is appropriate given the purpose for which, and the circumstances in which, the signature is required” [3] 電子商取引法9. (2)  “an electronic signature is as reliable as is appropriate if— (a) the means of creating the electronic signature is linked to and under the control of that person only; (b) any alteration made to the electronic signature after the time of signing is detectable; and (c) any alteration made to that document after the time of signing is detectable“ [4] 電子商取引法3. [5] 電子商取引法20. [6] 電子商取引法21.

2021年05月10日(月)8:45 AM

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルールについてニュースレターを発行いたします。
PDF版は以下からご確認ください。

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

 

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

2021年5月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 今般、ビジネス上収集した個人情報を国境を越えて移転させるニーズが増加している。本稿では、マレーシアにおいて収集した個人情報を、本社や協力会社が存在する別の国(マレーシア国外)に移転する場合にどのような法規制が存在するのかを説明する。

1 個人情報の国外転送のルール

 今般、マレーシアで収集した個人情報を本社のある日本に置いているサーバーや、個人情報を分析しシステムやサービスの開発を行う協力会社に移転することの可否やその要件についての照会が多い。

(1) 個人情報とは何か

 まず、マレーシアにおける個人情報の処理については、Personal Data Protection Act 2010(以下「PDPA」といいます。)が規定している。PDPAは「個人情報(Personal Data)」とは、その情報又はその情報とデータ使用者の有する他の情報を併せて特定される情報主体(例えば個人)に関連するもので、商業的取引に関するあらゆる情報と定義している。

 したがって、企業の有する氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報であるため、個人情報に該当する可能性が高い。

(2) PDPAの適用対象者

 PDPAは、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用される[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じて国外からマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があることに注意が必要である。

 つまり、PDPAは、マレーシアにおける法人格の有無にかかわらず、マレーシアにおいて活動するほぼ全ての企業等に適用される。

(3) 個人情報の海外への移転とは何か

 一般的なイメージで「情報の国外への移転」という言葉を捉えると、ある企業がマレーシアにおいて収集した個人情報を海外にあるサーバーに保存する、といった行為を想起するかもしれない。

 しかし、例えばマレーシアにおいて収集した個人情報をマレーシア国内で保存している場合であっても、国外の関連拠点のPCを操作することで当該個人情報を呼び出してPC上に表示できるのであれば、当該個人情報へのアクセスをもって、個人情報の国外移転が生じることになることが一般である。

 このように、個人情報の国外への移転は、容易に発生しうる問題であるため、そのような国外移転へに対応する法令遵守要件を見過ごさないことが肝要である。

(4) 個人情報の国外移転の要件

 PDPAは、一般的に個人情報の国外移転を禁止した上で、①情報主体が個人情報の国外移転について同意している場合、または②データ使用者と情報主体の間の契約の履行に必要な場合、といった法律に定めた場合に限ってこれを適法とするスタンスをとっている[2]

なお、③担当大臣が官報で通知する場所への移転は認められる旨の規定はあるものの[3]、現時点でそのような場所が通知されたとの情報はない。

ア 国外移転への同意

  PDPAにおいて、上記のうち情報主体による国外移転への「同意」がどのような場合認められるのかについて、明確な定義や様式は存在しない。

  しかしながら、PDPAに関する規則では、データ使用者は情報対象者から得た同意を記録しなければならないと規定していることからすると、単にプライバシーポリシーの中に国外移転についての同意する旨の文言を定めるだけでは足りず、同意書への署名又は同意フォームにおける同意ボタンのクリックなど記録可能な様式が要求されると考えられる可能性がある。

イ データ処理者への移転

  個人情報の国外移転の問題と関連して、マレーシア国内で収集した個人情報を国外の協力会社に提供してデータ処理作業を委託する、というスキームが問題になることも多くみられる。

  ここでいう協力会社とは、「データ使用者に代わって個人情報を処理する者」であり、PDPAにおける”Data Processor”(以下「データ処理者」)に該当する可能性が高い。

PDPAでは、データ処理者は第三者の定義から除外されているため[4]、データ使用者がデータ処理者に情報を開示(移転含む)することについて同意は不要であると解釈されるのが一般的である[5]

  ただし、PDPAにおいては、データ処理者が個人情報を処理する場合には、データ使用者は、個人情報のあらゆる喪失、誤用、変更、不正による又は過失によるアクセス又は開示、改ざん又は破壊から保護するため、実行される処理を管理する技術的および組織的なセキュリティ対策に関して十分な保証を提供し、それらの対策の遵守を確実にするための合理的な措置を講じる必要がある旨規定している[6]

  すなわち、個人情報の処理を他の企業に委託することを予定しているデータ使用者は、①委託先の選定時において委託先の安全管理措置の内容を確認し、②提供される個人情報の取扱いに関し委託契約を締結することでその実践・履行を確保し、かつ③契約締結後においても定期的な監査を行う等の適切な措置を取ることが求められている。

2 まとめ

 以上の通り、日本などマレーシア国外に拠点を有する企業がマレーシアにおいて個人情報を取り扱う場合には、個人情報の国外移転が生じうることに留意した上で、対策を行うことが求めらる。

 PDPAに関する違反については、300,000リンギット以下の罰金、2年以下の禁固又はその両方が課せられるという罰則があり、マレーシアにおいては、数年前の大規模情報漏洩事件をきっかけにPDPA違反での検挙事例も増えている。

 以上を踏まえ、プライバシーポリシーや同意書を見直すこと、個人情報処理の委託先との契約内容をレビューすることが推奨される。

以上

[1] PDPA 2. (4)(d)
[2]
PDPA 129. (3)
[3]
PDPA 129. (1)
[4]
PDPA 4.
[5]
PDPA 8. (b) なお、日本の個人情報保護法においても、「個人データの取扱いの委託」(23条5項1号)の場合「第三者」に該当しない旨の規定が置かれている。
[6]
PDPA 9.

2021年04月06日(火)4:33 PM

マレーシアにおけるプライバシーポリシーの記載事項についてニュースレターを発行しました。
PDF版は以下からご確認ください。

マレーシアにおけるプライバシーポリシーの記載事項について

 

マレーシアにおけるプライバシーポリシーの記載事項について

 

2021年4月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝 

 本稿では、マレーシアにおいて事業を営む際、プライバシーポリシーに記載すべき事項を概説します。

1 プライバシーポリシーの作成は必須である

 マレーシアにおける個人情報保護法については、Personal Data Protection Act 2010(以下「PDPA」といいます。)に定めがあります。

(1) 「個人情報」の意義

 PDPAにおいて「個人情報(Personal Data)」とは、その情報又はその情報とその他の情報を併せて特定される情報対象者(例えば個人)に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

 したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。

(2) PDPAの適用対象者

 PDPAの適用対象者は、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用されます[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じてマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

 つまり、PDPAは、マレーシアにおいて活動するほぼ全ての企業乃至事業に適用されることになります。

(3) PDPAにおけるプライバシーポリシーの位置づけ

 上記(2)に該当する企業は、個人情報の処理にあたって、PDPAの規定を遵守する必要があります。

 そして、このPDPAには「通知及び選択の原則」[2]という考えがあり、個人情報の使用者が個人情報を収集する対象者に対して一定の事項を通知しなければならない、という義務が企業に課せられています。

 プライバシーポリシーとは、基本的には、この義務に対応するために作成され、公開されるものです。

従って、マレーシアにおいて何らかの事業を行う企業は、PDPAに従って、プライバシーポリシーを作成することが必要不可欠なのです。また、このプライバシーポリシーは、英語版だけでなく、マレー語版の作成も義務付けられている点にも注意が必要です[3]。。

(4) 従業員向けのプライバシーポリシーの必要性

 マレーシアに現地法人を有する企業は、従業員を雇用し事業を行う過程において、必然的に従業員の個人情報を取り扱うことになります。PDPAには従業員の個人情報について個人情報としての保護を除外するような規定は存在しませんから、従業員の個人情報もPDPAの適用を受けることになります。

つまり、現地にて従業員を雇用している企業は、顧客向けのプライバシーポリシーに加え、従業員向けのプライバシーポリシーの作成も法律上要求されているのです[4]

2 プライバシーポリシーに記載すべき事項

 PDPAでは、情報対象者の個人情報が処理されること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の類型などについて、通知することを企業に義務付けています。

 以下では、いくつかの記載事項を敷衍しつつ概説します。

① 個人情報が処理される目的

 文字通り、何のために個人情報を収集し処理するのかを記載する必要があります。

企業が、個人情報を収集した後になって、当初記載したのとは別の目的で個人情報を使用したいと考えた場合、その目的を対象者に通知しなければならず[5]、また第三者に開示することについて同意を取得しなければならなくなるため[6]、顧客向けのプライバシーポリシーでは、例えば「あなたに連絡を取る」「あなたにサービス又は商品を提供する」「広告の情報を提供する」などと、目的を広く記載することが一般的です。

② 個人情報を開示することができる第三者の類型

 例えば、企業が、収集した個人情報を用いて既存の顧客に対して広告を行いたいと考え、関連会社と共に作業を行う場合など、企業は個人情報を第三者に開示する場面が想定されます。この場合に対応するため、プライバシーポリシーには、収集した個人情報を開示する可能性のある第三者の類型を予め記載しておく必要があります。ここで記載された類型に該当しない第三者に対して個人情報を開示するには、対象者の個別の同意が必要となります[7]。従って、この規定についても、開示先の第三者の記載を広く行うことが一般的です。

③ 個人情報の処理についての同意

 PDPAでは、個人情報を処理するについて、情報対象者の同意が必要とされています[8]。この「同意」は、プライバシーポリシーとは別に、個人情報の入力フォーム等を通じて取得することも多いですが、網羅的に同意を取り付ける趣旨でプライバシーポリシーに「あなたは、個人情報の提供をもって、我々が個人情報をプライバシーポリシーに従って処理することに同意します」等と記載することもよく見られます。

④ その他

 上記した以外にも、プライバシーポリシーには、個人情報にアクセスする権利の記載や個人情報の国外移転への同意取付など様々な事項が記載されます。

3 まとめ

 以上の通り、プライバシーポリシーをPDPAに則って適切に作成することは、マレーシアにおいて事業を行うために必要不可欠といえます。

また、PDPAに違反した場合には、300,000リンギット以下の罰金、2年以下の懲役又はその両方が課せられる可能性があり、マレーシアでは近年取締りが強化されている傾向にあります。

 このようなことから、御社におけるプライバシーポリシーがPDPAに適合した内容となっているのかを再度見直されることを推奨いたします。

以上

[1] PDPA 2. (4)(d)
[2] PDPA 7.
[3] PDPA 7. (3)
[4] なお、顧客向けのものと従業員向けのものを分けなければならないという法律上の制限は存在しないものの、のちに述べる記載事項の関係で、一般的にはポリシー自体を別々に作成するのが一般的である。
[5] PDPA7. (2)(c)
[6] PDPA8. (a)
[7] PDPA8. (b)
[8] PDPA6. (1)

2021年04月06日(火)4:25 PM

マレーシアにおける個人情報保護法についてニュースレターを発行しました。
PDF版は以下からご確認ください。

マレーシアの個人情報保護法

 

マレーシアの個人情報保護法

2021年4月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 本稿では、マレーシアにおける個人情報保護に関する規制について概説します。

1 マレーシアにおける個人情報保護法

 マレーシアにおける、個人情報の保護に関する規制は、Personal Data Protection Act 2010(以下、「PDPA」といいます。)に定められています。

2 「個人情報」の意義

 PDPAにおいて「個人情報(Personal Data)」とは、その情報又はその情報とその他の情報を併せて特定される情報対(例えば個人)に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

 したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。なお、情報対象者の身体若しくは精神の健康又は状態に関するもの、政治的意見、信仰などは、個人情報の中でも「センシティブ個人情報」とされ、より一層厳格な規制が課せられます。

3 PDPAの適用対象者

 PDPAの適用対象者は、マレーシアにおいて設立された法人等及びマレーシアで設立されてはいないものの個人情報処理の設備をマレーシアにおいて使用する法人等で、商業的活動に関して個人情報を処理する者等です。さらに、PDPAは、上記に該当しない場合であっても、マレーシアに事務所を持っている者やマレーシアにおいて継続的に活動している者にも適用されるとしています[1]。したがって、例えば、日本の企業がスマートフォンのアプリ等を利用してマレーシア在住の個人を対象としたサービスを提供する場合には、マレーシア国内に個人情報を処理するためのデータサーバー等を有していない場合であっても、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

 以上の通り、PDPAの適用範囲は、マレーシアにおいて活動するほぼ全ての企業に適用されるほど広いものとなっています。

4 個人情報保護諸原則

 上記3に該当する企業は、個人情報の処理にあたって、個人情報保護諸原則(Personal Data Protection Principles)を遵守する必要があります。 個人情報保護諸原則は以下の通りです。

① 一般原則[2]

 情報使用者は、情報対象者から処理の同意を得ていない場合は、情報対象者の個人情報を処理してはならないという原則です。ここでいう同意については、個人情報保護法規則3.(1)( the Personal Data Protection Regulations 2013)において、情報使用者により適切に記録、維持されることができるような様式であるべきと規定されています。

➁ 通知及び選択の原則[3]

  情報使用者は、情報対象者に対して、情報対象者の個人情報が処理されていること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の業種などについて、書面により通知するよう要求する原則です[4]。また、この通知は、国語(例えばマレー語)及び英語でなされなければならないとされています[5]

③ 開示原則[6]

  情報対象者の同意なしに個人情報を開示することを禁止する原則です(ただし、個人情報を収集する時点で開示されていた目的、その目的に直接関連している目的によるもの、または上記②の通知に明記されていた開示対象者へ開示する場合を除きます)。

④ 安全原則[7]

 情報使用者は、個人情報をいかなる紛失、不正使用、変更、不正アクセス、不正開示、改ざんもしくは破壊から保護するための具体的措置を取ることを要求する原則です。

⑤ 保持原則[8]

  収集された個人情報は、処理される目的を達成するために必要な期間を超えて保持してはならないという原則です。

⑥ 情報完全性原則[9]

 情報使用者は、個人情報を正確で、完全で、誤解を招かないもので、最新のものであるように合理的な対策を講じなければならないという原則です。

⑦ アクセス原則[10]

 情報対象者は、情報使用者の保有する自らの個人情報にアクセスする権利を有し、それが不正確、不完全であり、誤解を招く恐れのある、もしくは最新のものではない場合には、個人情報の訂正ができる権利を有するという原則です。

5 個人情報の国外移転について

 例えば、マレーシアで取得した個人情報を他の国に設置したサーバーで管理する場合には、個人情報の国外移転に留意する必要があります。
 PDPAは、当該国外移転について、情報対象者が同意をしている場合には、国外転送を認めているため[11]、この同意を取得することが肝要です。

6 罰則

 情報使用者が、上記の7つの原則のいずれかに違反した場合には、300,000リンギット以下の罰金、2年以下の懲役又はその他両方が課されます[12]

 また、マレーシアでは、2017年に大規模な個人情報の漏洩事件が発生しており、PDPAの規定に違反したとして罰則が適用される事案が複数発生しています。従いまして、マレーシアにおいて事業を行う企業にとってPDPAを遵守することは極めて重要です。

7 まとめ

 以上のとおり、PDPAの適用範囲は広範にわたっているため、マレーシアで事業を行うにあたっては、PDPAの規定を無視することは出来ません。また、その規制内容も複雑ですので、一度立ち止まって自社の取り組みが法律に適合しているのか検討してみることをお勧め致します。

以上

[1] PDPA 2. (4)(d)
[2] PDPA 6.
[3] PDPA 7.
[4] Web上で個人情報の収集が行われる場合には、「プライバシーポリシー」と呼ばれる文書で通知されることが多い。
[5] PDPA 7. (3)
[6] PDPA 8.
[7] PDPA 9.
[8] PDPA 10.
[9] PDPA 11.
[10] PDPA 12.
[11] PDPA 129. (3)(a)
[12] PDPA5. (2)