• Instgram
  • LinkeIn
  • Lexologoy
トップページ
2022年01月11日(火)3:27 PM

マレーシアにおける建設業に対する外資規制についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシアにおける建設業に対する外資規制について ~建設業~

 

マレーシアにおける建設業に対する外資規制について
~建設業~

2022年1月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝 

 本稿では、建設業に関連する企業がマレーシアに進出する際の外資規制の問題について概説する。

1 マレーシアにおける外資規制

 マレーシアは、海外からの投資という観点において、ASEAN諸国の中では、シンガポールには及ばないもののメコン諸国をはじめインドネシア・フィリピン等に比べても自由度の高い国として位置付けられており、例えばサービス業等では100%の外資の出資が認められている。

ところが、建設業においては、依然として以下のような外資規制が残っている。

2 建設業における外資規制の概要

(1)規制の概要

 建設業を所管する機関は、Construction Industry Development Board Malaysia(以下、CIDB)であり、LEMBAGA PEMBANGUNAN INDUSTRI PEMBINAAN MALAYSIA ACT 1994(以下、CIBD法)に基づき、建築関連行為について概ね以下のような規制を課している。

 マレーシアで建設工事を行う全ての法人は、CIBDに登録しなければならない。

 ローカルコントラクター(定義は後述)は、一度登録すれば有効期間中において、認定されたグレードの制限下において建設工事を行うことが可能である。これに対し、外国コントラクター(定義は後述)は、プロジェクト毎にCIDBに登録審査を行う必要がある。

例えば、外国コントラクターが10件のプロジェクトを請け負うことを希望する場合、同社は全てのプロジェクトについて10件の個別の登録証明書を申請する必要がある。

(2)規制対象となる建設工事とは何か

 CIDB法は、「何人も、CIDB法に基づく有効な登録証明書なくして、建設工事(construction work)を行ってはならない。」(同25条(1))と規定する。

 そのうえ、建設工事(construction work)とは、

(a)建物、壁、(b)道路、鉄道、(c)排水、河川、(d)電気、機械、(e)橋、高架道路、ダム等に対して行われる建設、増築、取付、修繕、メンテナンス、更新、除去、改装、変更、解体を行う行為であると定義されている(同2条(1))。

  注意を要する点が2点ある。

 まず、上記定義には、建物を建てるといった典型的な建設工事に留まらず、建物等のメンテナンス行為も含まれているという点であり、その適用範囲には注意が必要である。

 また、上記規制は、あくまで「建設工事を行う者」に対する規制であるため、例えば施主から工事を請け負ったものの、自社では一切実際の建設工事を行わず、全ての工事過程を下請け業者に発注する場合には、登録は要求されない(CIDB職員への複数回にわたる照会で確認した。)。

3 外国コントラクター

(1)外国コントラクターの定義

 CIDBが発行するHandbookでは、外国コントラクター(Foreign Contractor)とは、外国で設立された企業及び外資が保有するマレーシアで設立された企業の株式保有割合が30%を超える企業としている。

 他方で、ローカルコントラクターは、70%以上がマレーシア資本で保有される企業とされている。

(2)外国コントラクターの登録制度概要

1段階(事前登録-PRE REGISTRATION

内容:外国コントラクターは、CIDBに外国コントラクターとしての事前登録する必要がある。申請はオンラインを通じて行い、承認も自動で行われる。

所要期間:1日

要件:最低資本要件としてRM750,000(以下「最低資本金」)

備考:外国コントラクターとしての事前登録は一度きり要求されるものであるため、一度取得すれば完了となる。

2段階(一時登録-TEMPORARY REGISTRATION):入札がある場合のみ

内容:外国コントラクターは、プロジェクトの入札に参加する場合、入札を許可される前に、CIDBから入札期間中の一時登録証明書を取得しなければならない。申請はオンラインで行う。仮登録証明書の有効期間は、入札期間に3ヶ月の評価期間を加えたものとなる。

所要期間:3-5営業日(CIDBの審査期間)

費用:RM550

要件:事前登録の完了、入札案内、最低資本金、1名以上の技術者(後述)がいること、その他建設業の経験を示す書類を補助書類として提出できる。

3段階(本登録-REGISTRATION OF FOREIGN CONTRACTORS

内容:入札に成功した場合又は入札のない案件の場合、外国コントラクターは、建設工事を開始する前にこの本登録を申請しなければならない。申請はオンラインで行う。この証明書の有効期間は、プロジェクト期間に加えて2年間の瑕疵担保責任期間となる。

所要期間:3-5営業日(CIDBの審査期間)

費用:申請時に契約金額の0.125%の賦課金(RM500,000以上のプロジェクトにのみ適用)、申請承認時にRM5,000

要件:発注書、最低資本金、技術者2名(うち1名は建設業で5年以上の経験があること)

   ※技術者要件について

    技術者は、CIDBが建設業に関連するものとしてHandbook等で指定する学部を卒業していなければならない。

備考:この本登録は、(作業毎に契約する類の契約でない限り)プロジェクト期間の冒頭に1回登録すれば足り、この期間が更新される際には、更新の際に再度1回登録すれば足りる。例えば、メンテナンス契約等で、契約期間が1年~複数年にわたる場合、契約開始時に一回登録すれば足りる。

4 Non-Contractor

 以上とは別に、外資企業が、建設工事に関連するものの、実際の工事自体は現場で行わない場合にもCIDBに登録することが可能である。

 これはNon-Contractorと呼ばれる区分であり、上記2(2)で指摘した通り、一切工事を自社で行わない元請け・下請け業者となる場合や、コンサルタントとして建設工事に関与する場合に登録が可能となる。

 ただし、このような登録は、CIDB法上要求されたものではないため、あくまで任意のオプションに過ぎない。上記3の通り、外国コントラクターにおいては、個別のプロジェクト毎にCIDBの審査を受ける必要があるため、その審査をスムーズにするために、CIDBに対して工事実績を示すという目的でなされるものである。

 以上、CIDBの外国コントラクターに対する規制の概要を説明した。実際に現地マレーシアにおいて建設関連工事を行う場合には避けて通れない規制であることから、進出時又はその前に自社のビジネスモデルに基づく調査を行うことが肝要である。

2022年01月06日(木)12:04 PM

マレーシアにおける雇用法の改正案についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

2021年雇用法法案- 1955年マレーシア雇用法の改正案

 

2021年雇用法法案– 1955年マレーシア雇用法の改正案

2022年1月
One Asia Lawyers Group
マレーシア担当
日本法弁護士   橋本  有輝
マレーシア法弁護士  ナジャッド・ズルキプリ

1.はじめに

 Employment Act 1955(以下「雇用法」という)を改正する法案である Employment Bill 2021(以下、「本法案」という)は2021年10月25日にマレーシア議会に上程された。本法案は現在2回目の審議中で、法律として承認され施行される前に議会の手続きを踏むこととなる。

 本法案は以下に要約する通り雇用法に様々な改正を行うことを目指すものである。これらの改正案は国際労働機関(International Labour Organisation)から要求される基準に従おうとするものとされている。

 全ての雇用主は、これらの改正案を認識し、これが施行された際には従業員に関連する社内規定、契約及びガイドラインを改正する等して同法律を遵守する必要がある。

2.本法案の主要な改正点

(a) 国人労働者の雇用

 雇用法第60K条にかかるこの改正案は、外国人労働者を雇用しようとする雇用主は、申請書を労働局長官(Director General of Labour)から事前の承認を得ることが必要となる。従来は、雇用主が雇用主により外国人労働者の詳細について同局長に通知することだけが求められていたことから、外国人の雇用を厳格化するものである。

 また、雇用主の申請は以下を含む特定の条件を満たす必要がある。

 ・雇用法により基づく決定、命令もしくは指示に関連し未解決の事項がないこと;
 ・雇用法、1969年従業員社会保障法(SOCSO法)、労働者住宅最低基準法、1990年宿泊およびアメニティ最低基準法もしくは2011年国家賃金評議会法に違反する犯罪関する未解決事項乃至事案がないこと; 又は
 ・雇用主が人身売買防止および強制労働に関連する犯罪に対する有罪判決を受けたことがないこと。

 上記条項に違反した場合、有罪判決を受け、雇用主はRM100,000.00以下の罰金もしくは5年以下の禁錮、またはその両方の責任を負うことが提案されている。

(b) 妊婦保護および男性従業員への育児休暇の導入

 (i) 妊娠中の従業員の産休及び解雇

 本法案では、60日間の出産休暇を90日間の出産休暇に置き換える修正が提案されている。さらに、故意による雇用契約違反、不正行為もしくは事業閉鎖の場合を除いて、雇用主が妊娠中の従業員を解雇することは、雇用法違反となる旨の提案がなされている。現行法では、妊娠中の従業員の解雇の禁止は、雇用主による事業の閉鎖の場合にのみ除外されていますので、これら改正は女性従業員の保護を図ろうとするものである。

 (ii) 育児休暇の導入

 その他にも、男性従業員に対する育児休暇の導入が提案されている。男性従業員は、12ヶ月以上雇用され、かつ、その出産予定日を雇用主に30日以上前に通知した場合は、3日間の有給休暇を取得することができる権利を得るというものである。この改正案は従業員に最も肯定的に受け入れられるであろう改正案である。

 (iii) 第44A条の削除 – RM2,000以上の賃金の女性従業員の除外

 上記の通り、従業員にとっては肯定的な改正がある一方で、本法案は雇用法から第44A条を削除することを提案していることも重要である。現行雇用法の第44A条は、第XI章で提供されている産休等の妊婦保護の規定は、賃金額に関わらず全ての女性従業員に適用されると規定している。もしこの部分の改正がそのまま可決された場合には、妊婦保護の規定が適用される範囲は、月額RM2,000.00未満の女性従業員に限られることになる。

(c) セクシャル・ハラスメントに関する通知の掲示義務及び罰則の強化

 本法案は雇用主にセクシャル・ハラスメントの認識を高めるための通知を、雇用場所に目立つように掲示する新たな条項を提案するものである。さらに、本条項に関し、第81F条にて雇用主がセクシャル・ハラスメントの苦情に対し調査を怠った場合に対する罰則をRM10,000.00からRM50,000.00に引き上げる提案がされている。

(d) 一週間の最大就労時間の削減と病気休暇の条項の改訂

 一週間の最大就労時間が最大48時間から45時間へと短縮するよう提案されている。また病気休暇については、病気休暇の総数を規定している現行の第61F条にて、病気休暇の日数には入院日数60日を含むと規定されているが、これを削除することが提案されている。本条項の削除によって、従業員は通常の病気休暇から差し引くことなく60日間の入院休暇を利用できるようになる。

(e) 軟な就労形態

 本法案では従業員が雇用主に申請可能な柔軟な就労形態について導入されている。この申請において、従業員は、雇用に関する就労時間、就労日数もしくは勤務地の変更を申し出ることが出来る。当該申請を受領した雇用主は、承認もしくは却下することができるが、雇用主は却下した理由を書面で従業員に通知しなければならない。

 この改正は、多くの雇用主が、COVID-19の感染爆発を原因とする政府による移動制限令(MCO)の発令のために導入してきた柔軟な就労形態の発展に依拠して導入されようとしている。この改正はこの点を捉えたものであり、これが可決された場合、マレーシアの最先端技術に則した就労文化の向上に確実につながることと期待されている。

3.その他の改正

 上記の他にも様々な改正点が本法案にて提案されている。これらはひと月に満たない月の賃金の計算方法や強制労働に対する新しい罪の創設等の項目が含まれている。

4.結論

 本稿の発行時点では、法案はまだ手続き中であり法律として施行されていない。本法案がもし承認され議会で可決された場合、雇用主は既存の雇用体制の修正するための必要な手続きを取ることが要求される。

 弊所は本法案の影響に対し適切なアドバイスをお客様へ提供し、オーダーメイドの契約、社内規定もしくは雇用規則の作成のお手伝いをいたします。弊所のサービスに関してご不明な点がございましたら、どうぞお気軽にお問い合わせください。

参照: Employment Bill (Amendment) 2021 [PN(U2)3164]

2021年10月18日(月)1:58 PM

マレーシアにおける汚職防止法違反に対する企業の採り得る防衛策についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

汚職防止法違反に対する企業の採り得る防衛策

 

汚職防止法違反に対する企業の採り得る防衛策
~汚職防止ガイドラインの遵守方法~

2021年10月
One Asia Lawyers Group
マレーシア担当
日本法弁護士    橋本 有輝
マレーシア法弁護士  Najad Zulkipli

 

 マレーシアにおける汚職防止について、昨年大きな法改正があった。

すなわち、もとよりマレーシアにおいては、汚職防止法[1]が規定されていたところ、昨年、汚職防止改正法[2]が成立・施行され、汚職行為を行った者だけでなく、その者が帰属する法人及びその法人の取締役も合わせて責任を負う(以下、この責任を「企業責任」という)こととなったのである。

 この汚職防止法及び同改正法の適用範囲に関しては2021年8月に別稿にて紹介しているため、本稿では現地の会社がいかにしてこの企業責任を免れることが出来るのか、に焦点を当てることとする。

1 企業責任の内容

 会社は、その上層部や代表者がそのような汚職行為を認識しているか否かに関わらず、その会社の利益のために当該汚職行為が行われた場合には、その従業員等の汚職行為に対して責任を負う可能性がある(汚職防止改正法17A条)。

 会社や取締役が有罪となった場合、第17A条(2)の定める罰則は、賄賂の価値の10倍以上もしくは100万RM(約2,500万円)のいずれか高い方の罰金、または20年以下の懲役、もしくはその両方となる。

 上記の通り、この企業責任は、上層部の認識に関わらず適用されるものであるため、一見するとこの企業責任を回避することは極めて困難なように見える。しかし、この企業責任が免責される道が唯一用意されている。それが、以下に述べるガイドラインに基づく「適正な手続き」の実施である。

2 ガイドラインの遵守

(1)ガイドラインの法的な位置づけ

 汚職防止改正法のもと、会社に残された利用可能な唯一の防衛手段は、汚職のないビジネス環境を促進するための「適切な手続き」を確実に実施することである。

 そして、この「適切な手続き」とは何かを理解することを支援するために、「適切な手続きに関するガイドライン」(以下「本ガイドライン」)が導入された[3]

 ただし、本ガイドラインは網羅的なものではなく、また万能ではないことに留意する必要がある。「適切さ」の標準的な決定要因はなく、裁判所は各企業の手続きや規程内容が「適切」であるかどうかをケースバイケースで検討すると思われる。とはいえ、裁判所がガイドラインの遵守を重要視する可能性は非常に高いと考えられているため、各会社は、本ガイドラインの内容を十分に理解し、汚職防止規程等の整備に着手する必要がある。

(2)5つの基本原則

 本ガイドラインは、会社が「適切な手続き」を満たすために汚職防止体制を確立する際に参照することができる5つの基本原則に基づいて形成されている。これらの原則は、T.R.U.S.Tとそれぞれの原則の頭文字をとって表現されている。

– トップレベルのコミットメント=Top Level Commitment
– リスクアセスメント=Risk Assessment
– 対策の実施=Undertake Control Measures
– 体系的なレビュー、モニタリング、エンフォースメント=Systematic Review, Monitoring and Enforcement
– トレーニングとコミュニケーション=Training and Communication

(3)原則1:トップレベルコミットメント

 トップレベルの経営陣は、腐敗防止法の遵守を確実にし、組織の主要な腐敗リスクを効果的に 管理する上で重要な役割を果たすという原則である。経営陣は、特に以下のことを実施することにより、あらゆる汚職行為と闘うための組織の努力を先導しなければならない。

 ① コンプライアンスプログラム
 汚職リスクに適切に対処する明確な方針の策定を含む、汚職防止のためのコンプライアンスプログラムを確立し、維持し、定期的に見直すこと。

 ② コミュニケーション  
 汚職防止に関する組織の方針とコミットメントを社内外に伝えるための指示を出す。

 ③ 内部告発の仕組み
 疑わしいものや実際に生じた汚職行為及びコンプライアンスプログラムの不備に関連して、あらゆる報告(内部告発)チャネルの利用を奨励する。

 ④ 専門的なサービス
 汚職プログラムに関連して従業員および業務関係者に助言や指導を提供することを含む、すべての汚職防止コンプライアンス問題に責任を持つ適切な人材または機能(組織の外部であってもよい)を割り当て、適切に配置する。

(4)原則2:リスクアセスメント

 リスクアセスメントは不可欠であり、汚職防止体制の不可欠な部分を形成しなければならないものとされている。会社は、定期的なリスクアセスメントを実施しなければならず、また、法律や事業の状況に変化があった場合にも実施しなければならない。

 リスクアセスメントの目的は、汚職リスクを特定し、分析・評価し、対策の優先順位をつけることであり、その結果は、事業がさらされうる汚職リスクを軽減するための適切なプロセス、システム及び管理方法を確立するために使用される。

 本ガイドラインでは、3年ごとに包括的なリスクアセスメントを実施し、必要に応じて断続的にアセスメ ントを実施することを推奨している。また、適切な文書化を目的として、組織内の一般的なリスクレジスターの中に汚職防止のためのリスクアセスメントを組み込むことも合わせて推奨している。

(5)原則3:対策の実施

 上記アセスメントによって汚職リスクが特定された場合、会社は、組織の既存の体制の脆弱さから生じる汚職リスクを軽減するために、対策を講じる必要がある。

 要求される対策は以下の通りである。

 ① 関係者のデューデリジェンスの実施
 ② 汚職事案の報告ルート(内部告発)の確保
 ③ 組織のための一般的な贈収賄防止および汚職防止方針の策定
 ④ 利害相反に関する方針
 ⑤ 贈与、娯楽、接待、旅行、寄付、スポンサーシップに関する方針の策定
 ⑥  斡旋料、財務管理及びその他の非財務管理に関する確立された手順の確立
 ⑦ 適切な手順に関連した文書を管理するための記録の管理

 上記の方針については、トップレベルの経営陣によって承認され、最新の状態に保たれ、公開され、容易に入手できるものでなければならない。

(6)原則4:体系的なレビュー、モニタリング、エンフォースメント

 汚職防止プログラムやそれを支える体制の有効性及び効率性は、それが適切に実施されていることを確認するために定期的にレビューされなければならないとされています。このようなレビューの基本は、組織内で実施されている既存の汚職防止管理を改善することである。

 この目的のために、商業組織は特に以下を検討する必要があります。

 ① モニタリングのためのメカニズムの確立
 ② 内部監査を実施する能力のある人の特定
 ③ 少なくとも3年に一度、資格を有する独立した第三者による外部監査の検討
 ④ 方針や手順の継続的な評価
 ⑤ 職員のパフォーマンスを監視し、汚職防止ポリシーの理解と遵守を確認
 ⑥ プログラムを遵守していないことが判明した人員に対する懲戒手続の実施

(7)原則5:トレーニングとコミュニケーション

 組織内及び組織に関連する人々に対し、汚職のリスクと汚職行為の結果の重大性に対する意識を高めるために、 トレーニングは社内外で行われなければなりません。会社は、従業員や業務関係者が組織の汚職防止プログラムを完全に理解できるように、適切なトレーニングを提供しなければならない。

 また、コミュニケーションが重要と考えられている。したがって、汚職防止の方針及びプログラムが従業員や業務関係者に確実に伝達されているための手段を講じる必要がある。これは、電子メール、ニュースレター、行動規範、ウェビナー、タウンホールセッションなどで行うことができる。

3 結論

 マレーシアでは、今年3月、ある組織の職員が行った賄賂を理由に、17条A項に基づいて起訴された初の企業責任事件が発生した。組織が有罪となった場合、上級管理職(取締役、役員、コントローラー、その他経営に関わる者)が犯罪を犯したとみなされ、「適切な手続き」が行われていたことを証明できない限り、重い刑罰を受けることになる。

 このように、マレーシアでビジネスを行う上では汚職防止法及び同改正法への対応は不可避というべきであり、同法及びガイドラインに沿って汚職防止に向けた対策を進めていくことが重要である。

 なお、弊所では、汚職防止関連法規を踏まえ、企業が上記ガイドラインを踏まえた適切な汚職防止規程(内部通報制度構築を含む)を策定し、従業員らに対し適切なトレーニングを行うことをサポートし、現に数多くの企業が導入している。

 

[1] Malaysian Anti-Corruption Commission Act 2009

[2] Malaysian Anti-Corruption Commission (Amendment) Act 2018

[3] ガイドラインの原文

https://f.datasrvr.com/fr1/119/75252/Prime_Ministers_Department_-_Guidelines_on_Adequate_Procedures.pdf

2021年08月16日(月)4:44 PM

マレーシアにおける成績不良を理由とする降格・減給処分の実践についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシアにおける成績不良を理由とする降格・減給処分の実践

 

マレーシアにおける成績不良を理由とする降格・減給処分の実践

2021年8月
One Asia Lawyers Group
マレーシア担当<
日本法弁護士 橋本 有輝 

 本稿では、マレーシアにおいて事業を行う企業が成績不良の従業員を降格・減給処分する場合のあるべき実践について概説する。マレーシアにおいては、本稿執筆時点において、COVID-19の感染が蔓延する状況しており、ロックダウン等の影響で事業に重大な支障が出ている企業も多いため、給与の減額についての要請は大きいものがあると思われる。しかしながら、以下の通り、従業員の減給に関しては慎重な対応が求められるのが実情であり、本稿ではあくまで降格処分に伴う減給に焦点を当てて説明を試みる。

1 関連法規

 マレーシアにおいて、雇用及び降格・減給に関連する法規としては、Employment Act 1955(以下「雇用法」)、Industrial Relations Act 1967(以下「労使関係法」)が存在する。

 雇用法は、雇用契約の条件等使用者と労働者の関係を規律する法律である。ただし、マレーシアの雇用法の特徴として、月給が2,000リンギットを超えない労働者または肉体労働に従事している者等にしか適用されないため、雇用法の適用されない労働者との関係では、当事者間の雇用契約において定められた条件が、当事者間の労働問題を判断するうえで重要な意味を持つ。

 また、労使関係法は、労使間の関係の他、労働組合や労働争議の手続きについて定める法律であり、同法の20条(1)が雇用法の適用に関わらず、労働者は、使用者から正当な理由なく解雇されたと考える場合には、労使関係局に職場への復帰を申し立てることが出来る旨規定している。

2 そもそも使用者には労働者を降格させる権利があるのか

 まず、雇用法14条(1)は、労働者が雇用契約に違反する非行を行った場合には、適切な調査を行った上、降格処分が出来ると規定する。また、裁判例においても、適切な調査に基づく非行行為の認定を行った上で降格を行うことは使用者の固有の権利であると指摘する。

 したがって、使用者は、適切な調査と非行行為の認定の後に行うことを前提に、労働者に対して降格処分を行うことをなし得る。

 なお、実際の対応としては、使用者の上記権限を明確にするため、就業規則において、降格処分がなされ得ること、その際の手続きについて事前に定めておくことが推奨されている。

3 違法な降格・減給があった場合、どのような事態となり得るか

 上記の通り、降格を行うには一定の要件があるところ、降格・減給処分に納得しない労働者は、当該降格・減給処分が上記要件に違反していると考える場合、労使関係法20条(1)に基づき、この処分によって会社での雇用を維持できなくなった、つまりこの降格・減給処分は解雇に他ならないとして(これを「みなし解雇」”constructive dismissal”という)、労使関係局に救済を求めて申立を行うことが出来る。

 また、労使関係局やそれに続く人的資源大臣がこの紛争を解決できなかった場合には、労働裁判所(“Industrial Court”)が事件の審査を行うことになる。つまり、この問題は、最終的には、マレーシア裁判所で判断される問題となる。

4 使用者は成績不良の労働者を降格・減給できるか

 マレーシアの裁判例では、成績不良を理由とする降格及びこれに伴う減給が問題となったケースについて、労働者の成績不良が長期にわたって繰り返され、改善の機会を与えたにも関わらずこれが改善しなかったという使用者の主張を認め、労働者への降格・減給処分を肯定したものが多数存在する。

 つまり、使用者は、成績不良の労働者を降格・減給されることが出来ると考えられている。

5 成績不良を理由とする降格・減給を行う際の推奨される実践

 まず、マレーシアの法律における降格・減給の適法違法についての明確なルールは存在せず、結局は、ケースバイケースで判断されているのが実情である。

 したがって、基本的には、使用者が降格・減給を考える場合には、適宜専門家に相談することが推奨される。

一般論として、検討すべき事項を挙げるとすると、以下の通りである。

① 当該労働者へのカウンセリング(要改善事項の指摘、下記②についての検討)の実施

② 当該労働者へのトレーニング(要改善事項を改善する機会の提供)の実施

上記①②を欠いている降格処分は違法と判断される可能性が高いと言える。

③ 労働者の業績・成績の評価プロセス

一般的には、当該労働者の実際の勤務状況を見ている直属の上司による評価が望ましい。また、社内体制に応じ、評価は年1回とは限らずより頻回な評価が要求されることもある。

④ 他の労働者との均衡

同様の評価の他の労働者にも同様の処分を行っているか、という点も使用者の降格処分の真摯性を基礎づける事情となる。

 以上の通り、本稿では成績不良者に対する降格・減給処分に焦点を当てて説明を試みたものの、実際の事案における適切な措置は、まさにケースバイケースで検討されるものである。また、降格・減給処分を行う前提として、適切な就業規則・雇用契約書がそもそも整備されているか、という点も重要であるため、いざという際に当惑しないよう事前の準備が肝要である。

2021年08月16日(月)4:40 PM

マレーシア汚職防止委員会法改正法の適用範囲についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシア汚職防止委員会法改正法の適用範囲について

 

マレーシア汚職防止委員会法改正法の適用範囲について

2021年8月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 マレーシアにおける汚職防止については、マレーシア汚職防止委員会法(Malaysian Anti-Corruption Commission Act 2009:以下「MACC法」)が規定されていたところ、昨年法人及び取締役の責任を定めたMACC法の改正法(Malaysian Anti-Corruption Commission (Amendment) Act 2018:以下「MACC改正法」)が施行された。

そこで、本稿ではマレーシアにおける汚職防止に関する規制内容の概要及びMACC改正法について解説し、同法の適用対象となる企業の範囲等を明らかにする。

1 イントロダクション

 マレーシアは、トランスペアレンシー・インターナショナルが公開している世界各地の公務員等がどの程度汚職しているかを示す順位(2020年)で世界179か国中57位と、シンガポールの3位、日本の19位と比べると低く[1]、依然として汚職防止に向けたさらなる取り組みが要求される状況にある。

2 規制対象行為

 MACC法16条は、ある者が①自ら又は他の者と共同するなどして、②汚職の意図をもって、③ある者の作為・不作為/公務員の公務に関する作為・不作為について、④その誘因(inducement)、又は見返り(reward)として⑤便益(gratification)を⑤勧誘し、受領し、受領する合意をすること又は供与し、供与の約束をし、供与を申し出たことに対する罰則を設けている。同様にMACC法17条は、本人の業務に関する汚職について代理人の責任も定めている。

 上記の定義においては、汚職の当事者は公務員に限らず民間の当事者同士においても汚職が成立する、という点に注意が必要である。

 他方で、これまでのMACC法の下では、汚職を行った当該個人の刑事責任のみが定められているに過ぎなかった。

3 会社及び取締役等の責任

 そこで、MACC改正法は、以上の規制の在り方を変更し、汚職を行った個人のみならず、その個人が属する会社や関係者にも責任を拡大する規定を置いた(同法は2020年に施行)。

(1)会社に責任が及ぶ場面

 会社関係者が、会社の事業あるいは事業遂行上の利点を得る又は保持することを意図して、便益を供与し、供与の同意をし、供与の約束をし又は供与を申し出た場合、当該会社が処罰される(MACC改正法17A条(1))。

 ただし、後述の4記載の通り、会社には免責事由が定められている点が最も重要である。

 ここでいう「会社」とは、マレーシアの会社法のもと設立された会社、マレーシアで事業を行う会社(外国会社含む)、マレーシアの組合法(Partnership Act 1961)に基づく組合等を指す(MACC改正法17A条(8))。

 したがって、マレーシアにおいて事業を営むあらゆる類型の企業はこの規定の適用を受けることになることにまず留意すべきである。

 また、「会社関係者」とは、当該会社の取締役、パートナー若しくは従業員又は当該会社のために若しくは当該会社に代わって役務を提供する者を指し(MACC改正法17A条(6))、「当該会社のために若しくは当該会社に代わって役務を提供する者」か否かは、この者と会社との間の関係性の性質だけから判断するのではなく関連する全ての状況を加味して判断される(同条(7))。

したがって、「会社関係者」とは、会社内部の者に限られず非常に広い範囲の者が対象に含まれうる点にも留意すべきである。

(2)取締役等に責任が及ぶ場面

 上記(1)に基づいて会社が責任を負う場合、その汚職行為があった時点で取締役、役員及び当該汚職の管理に関係していた者などは、汚職行為の責任を負う可能性がある(17A条(3))。

 ただし、この汚職行為がその者の同意乃至黙認に基づかずに行われたものであること及びその者の職務に照らして汚職防止に向けた適切な注意を払っていたことを証明できた場合にはこの責任を免れることが出来る。

(3)会社に対する罰則の内容

 上記の各規定に基づき会社や取締役が有罪判決を受けた場合、①汚職行為の対象となった便益の価値の10倍又は100万リンギットのいずれか高い方の罰金、②20年以下の禁固刑、又は③その併科という重い罰則が定められている(17A条(2))。

4 会社及び取締役等が責任を免れるための方策

 以上の通り、MACC改正法により、会社及び取締役はその関係者による汚職行為につき責任を負いうることが明確となった。

 しかしながら、同法は会社がその責任を免れるための免責事由を定めている点に留意が必要である(17A条(4))。

 すなわち、同規定によれば、罪に問われている会社が、当該汚職行為を会社関係者が行うことを防止するための適切な措置を採っていた場合には、当該会社は免責されると規定されている。なお、取締役等の責任は、会社が責任を負うことが前提となっているため、会社にとっての免責事由は取締役等の責任の存否に対しても影響があるものと考えられる。

 さらに、ここでいう「適切な措置」の具体的内容は、別途発行される「ガイドライン」によって明らかにされると規定されていたところ、このガイドラインは2018年12月に公表された[2]

5 企業に求められる姿勢

 上記4のガイドラインの具体的内容及び企業の採るべき方策については、紙幅の関係上、別稿に譲ることとするが、上記に述べた通り、マレーシアで事業を行う企業はすべからくMACC改正法の適用を受けうること、「会社関係者」の概念の広範さゆえ企業が個人による汚職行為の責任を問われる範囲が広いこと及びその罰則の重さなどに鑑みれば、マレーシアでビジネスを行う上ではMACC法及び同改正法への対応は不可避というべきであり、法及びガイドラインに沿って汚職防止に向けた対策を進めていくことが重要である。

 

[1] https://www.transparency.org/en/cpi/2020/index/nzl 

[2] https://f.datasrvr.com/fr1/119/75252/Prime_Ministers_Department_-_Guidelines_on_Adequate_Procedures.pdf

 

2021年05月10日(月)4:51 PM

マレーシアにおける電子契約・電子署名の取扱いについてニュースレターを発行いたしました。
PDF版は以下からご確認ください。

マレーシアにおける電子契約・電子署名の取扱い

 

マレーシアにおける電子契約・電子署名の取扱い

2021年5月
One Asia Lawyers マレーシア
日本法弁護士
橋本 有輝 

 今日のグローバル化した世界では、契約当事者が常に同じ場所にいるとは限らず、電子機器・電子メールを使用する等して電子契約を成立させたり、電子文書にリモートで署名することが出来ればスムーズに取引を成立されることが可能となる。

 そこで、本稿ではマレーシアにおける電子契約及び電子署名の有効性、その要件等について解説する。

1 電子署名に関する法律

 マレーシアにおける電子署名は、Digital Signature Act 1997(以下、「デジタル署名法」)及びElectronic Commerce Act 2006(以下、「電子商取引法」)において、その有効性や要件が定められている。

 本稿では、このうち広く取引に一般的に適当されている電子商取引法に焦点をあてて解説をしている。

2 電子署名とは何か

(1)定義

電子署名とは、電子商取引法において「電子的に作成された文字、記号、数字、音、その他の符合、又はそれらの組み合わせで、人が署名として採用するもの」と定義されている[1]

 その上で、同法は、電子文書に署名が求められる場面において、以下のすべての要件を満たす電子署名がなされれば、当該電子署名は有効なものと規定している[2]

①電子文書に添付されているか、これに論理的に関連付けられていること。 ②署名者個人を適切に識別し、署名に関連する情報に対する個人の承認を適切に示していること。 ③署名が必要な目的と状況に鑑みて、適切な信頼性があること。

 さらに、上記③について、電子商取引法は、以下のいずれかの場合に「適切な信頼性がある」ものと認められると規定している[3]

 ア 当該電子的署名を作成する手段が、その個人にのみリンクされ、かつ、その人の管理下にある場合。
  イ 署名後に電子署名に加えられた変更が検出可能である場合。
 ウ 署名後にその文書に加えられた変更が検出可能である場合。

(2)要件充足性の不透明さ

 上記要件③の充足性については、果たして電子文書にJPEGやPDFの署名を添付するだけでこの要件を満たすと考えてよいのか、より厳格な手段が必要とされているのかについては法令上は明確ではない。

 この点に関し、過去の裁判例はほとんど存在しないものの、ショートメッセージの送信という形式でも個人の電話番号が表示されていることによって電子署名の要件を満たすと判断したマレーシアにおける裁判例がある。この解釈を前提とすれば、電子署名要件は大きなハードルではないと理解できるものの、あくまで事例判断に基づくケースに過ぎないため、今後の裁判例の集積を待つ必要があり、現時点では事案に応じて、個別に判断をしていく必要があるといえる。

(3)例外文書その他考慮すべき事項

 また、電子商取引法は、①委任状、②遺言の作成、③信託の組成、④約束手形、小切手等の特定の金員の支払を保証する文書については、同法の適用範囲から排除しているため注意が必要である。

 また、印紙税納付のスタンプが求められる不動産譲渡証書や株式譲渡証書においては、実務上オリジナル文書への署名が要求されている。

3 電子契約の有効性

 上記2では電子署名の有効性について解説した。しかし、法律上、あらゆる書面に署名が求められているわけではない。そこで、例えば電子メール等を通じたやりとりや「同意する/同意しない」といったボタンのクリックのみによって契約が成立するのか否かが別途問題となる場合がある(この場合、署名は存在しないため)。

 この点に関し、電子商取引法7条は、電子的な手段によって契約の申込、申込の承諾及び拒絶、申込及び承諾の撤回その他やり取りが可能であること、そのように成立した契約は法的に有効であることを認めている。

(1)電子契約の成立:当事者が同意している場合にのみ適用

 電子商取引法は、当事者間が電子的な手段を用いて契約を成立させることに同意している場合に適用される[4]。ただし、この同意は明示的なものでなくてもよく、同時者の行動から推定されるものであるため、電子的な手段で申込を行い、相手方が同意ボタンを押す等すれば、その行為をもって電子的な手段による契約成立への同意があったと推定されるものと考えられる。

(2)電子通信の発送と受領

 電子商取引法は、当事者間で別段合意ない限り、電子通信は、それが送信者の管理外の情報システムに入った時点で発送されたとみなされる、と規定している[5]

 他方で、受領については、受領者が受領するための情報処理システムを指定した場合は電子通信が当該情報処理システムに入った時点で、又は、受領者がそのような指定を指定していない場合は受領者が電子通信を認識するに至った時点で、受領したとみなされる[6]

 上記の電子契約の成立、電子通信の発送と受領があったとされるかについても、マレーシアにおける判例の集積などが待たれるが、個別具体的にビジネスの内容、契約の内容、契約の実態などに鑑み、個別に判断していくことが重要である。

[1] 電子商取引法5. [2] 電子商取引法9. (1)  “an electronic signature which— (a) is attached to or is logically associated with the electronic message; (b) adequately identifies the person and adequately indicates the person’s approval of the information to which the signature relates; and (c) is as reliable as is appropriate given the purpose for which, and the circumstances in which, the signature is required” [3] 電子商取引法9. (2)  “an electronic signature is as reliable as is appropriate if— (a) the means of creating the electronic signature is linked to and under the control of that person only; (b) any alteration made to the electronic signature after the time of signing is detectable; and (c) any alteration made to that document after the time of signing is detectable“ [4] 電子商取引法3. [5] 電子商取引法20. [6] 電子商取引法21.

2021年05月10日(月)8:45 AM

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルールについてニュースレターを発行いたします。
PDF版は以下からご確認ください。

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

 

マレーシアで収集した個人情報をマレーシア国外に移転する場合のルール

2021年5月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 今般、ビジネス上収集した個人情報を国境を越えて移転させるニーズが増加している。本稿では、マレーシアにおいて収集した個人情報を、本社や協力会社が存在する別の国(マレーシア国外)に移転する場合にどのような法規制が存在するのかを説明する。

1 個人情報の国外転送のルール

 今般、マレーシアで収集した個人情報を本社のある日本に置いているサーバーや、個人情報を分析しシステムやサービスの開発を行う協力会社に移転することの可否やその要件についての照会が多い。

(1) 個人情報とは何か

 まず、マレーシアにおける個人情報の処理については、Personal Data Protection Act 2010(以下「PDPA」といいます。)が規定している。PDPAは「個人情報(Personal Data)」とは、その情報又はその情報とデータ使用者の有する他の情報を併せて特定される情報主体(例えば個人)に関連するもので、商業的取引に関するあらゆる情報と定義している。

 したがって、企業の有する氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報であるため、個人情報に該当する可能性が高い。

(2) PDPAの適用対象者

 PDPAは、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用される[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じて国外からマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があることに注意が必要である。

 つまり、PDPAは、マレーシアにおける法人格の有無にかかわらず、マレーシアにおいて活動するほぼ全ての企業等に適用される。

(3) 個人情報の海外への移転とは何か

 一般的なイメージで「情報の国外への移転」という言葉を捉えると、ある企業がマレーシアにおいて収集した個人情報を海外にあるサーバーに保存する、といった行為を想起するかもしれない。

 しかし、例えばマレーシアにおいて収集した個人情報をマレーシア国内で保存している場合であっても、国外の関連拠点のPCを操作することで当該個人情報を呼び出してPC上に表示できるのであれば、当該個人情報へのアクセスをもって、個人情報の国外移転が生じることになることが一般である。

 このように、個人情報の国外への移転は、容易に発生しうる問題であるため、そのような国外移転へに対応する法令遵守要件を見過ごさないことが肝要である。

(4) 個人情報の国外移転の要件

 PDPAは、一般的に個人情報の国外移転を禁止した上で、①情報主体が個人情報の国外移転について同意している場合、または②データ使用者と情報主体の間の契約の履行に必要な場合、といった法律に定めた場合に限ってこれを適法とするスタンスをとっている[2]

なお、③担当大臣が官報で通知する場所への移転は認められる旨の規定はあるものの[3]、現時点でそのような場所が通知されたとの情報はない。

ア 国外移転への同意

  PDPAにおいて、上記のうち情報主体による国外移転への「同意」がどのような場合認められるのかについて、明確な定義や様式は存在しない。

  しかしながら、PDPAに関する規則では、データ使用者は情報対象者から得た同意を記録しなければならないと規定していることからすると、単にプライバシーポリシーの中に国外移転についての同意する旨の文言を定めるだけでは足りず、同意書への署名又は同意フォームにおける同意ボタンのクリックなど記録可能な様式が要求されると考えられる可能性がある。

イ データ処理者への移転

  個人情報の国外移転の問題と関連して、マレーシア国内で収集した個人情報を国外の協力会社に提供してデータ処理作業を委託する、というスキームが問題になることも多くみられる。

  ここでいう協力会社とは、「データ使用者に代わって個人情報を処理する者」であり、PDPAにおける”Data Processor”(以下「データ処理者」)に該当する可能性が高い。

PDPAでは、データ処理者は第三者の定義から除外されているため[4]、データ使用者がデータ処理者に情報を開示(移転含む)することについて同意は不要であると解釈されるのが一般的である[5]

  ただし、PDPAにおいては、データ処理者が個人情報を処理する場合には、データ使用者は、個人情報のあらゆる喪失、誤用、変更、不正による又は過失によるアクセス又は開示、改ざん又は破壊から保護するため、実行される処理を管理する技術的および組織的なセキュリティ対策に関して十分な保証を提供し、それらの対策の遵守を確実にするための合理的な措置を講じる必要がある旨規定している[6]

  すなわち、個人情報の処理を他の企業に委託することを予定しているデータ使用者は、①委託先の選定時において委託先の安全管理措置の内容を確認し、②提供される個人情報の取扱いに関し委託契約を締結することでその実践・履行を確保し、かつ③契約締結後においても定期的な監査を行う等の適切な措置を取ることが求められている。

2 まとめ

 以上の通り、日本などマレーシア国外に拠点を有する企業がマレーシアにおいて個人情報を取り扱う場合には、個人情報の国外移転が生じうることに留意した上で、対策を行うことが求めらる。

 PDPAに関する違反については、300,000リンギット以下の罰金、2年以下の禁固又はその両方が課せられるという罰則があり、マレーシアにおいては、数年前の大規模情報漏洩事件をきっかけにPDPA違反での検挙事例も増えている。

 以上を踏まえ、プライバシーポリシーや同意書を見直すこと、個人情報処理の委託先との契約内容をレビューすることが推奨される。

以上

[1] PDPA 2. (4)(d)
[2]
PDPA 129. (3)
[3]
PDPA 129. (1)
[4]
PDPA 4.
[5]
PDPA 8. (b) なお、日本の個人情報保護法においても、「個人データの取扱いの委託」(23条5項1号)の場合「第三者」に該当しない旨の規定が置かれている。
[6]
PDPA 9.

2021年04月06日(火)4:33 PM

マレーシアにおけるプライバシーポリシーの記載事項についてニュースレターを発行しました。
PDF版は以下からご確認ください。

マレーシアにおけるプライバシーポリシーの記載事項について

 

マレーシアにおけるプライバシーポリシーの記載事項について

 

2021年4月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝 

 本稿では、マレーシアにおいて事業を営む際、プライバシーポリシーに記載すべき事項を概説します。

1 プライバシーポリシーの作成は必須である

 マレーシアにおける個人情報保護法については、Personal Data Protection Act 2010(以下「PDPA」といいます。)に定めがあります。

(1) 「個人情報」の意義

 PDPAにおいて「個人情報(Personal Data)」とは、その情報又はその情報とその他の情報を併せて特定される情報対象者(例えば個人)に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

 したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。

(2) PDPAの適用対象者

 PDPAの適用対象者は、マレーシアにおいて設立された法人はもちろん、マレーシアにおいて継続的に活動している者にも適用されます[1]。したがって、日本の企業がマレーシアに現地法人を保有していない場合であっても、アプリ等を通じてマレーシアにおけるサービスを提供する場合には、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

 つまり、PDPAは、マレーシアにおいて活動するほぼ全ての企業乃至事業に適用されることになります。

(3) PDPAにおけるプライバシーポリシーの位置づけ

 上記(2)に該当する企業は、個人情報の処理にあたって、PDPAの規定を遵守する必要があります。

 そして、このPDPAには「通知及び選択の原則」[2]という考えがあり、個人情報の使用者が個人情報を収集する対象者に対して一定の事項を通知しなければならない、という義務が企業に課せられています。

 プライバシーポリシーとは、基本的には、この義務に対応するために作成され、公開されるものです。

従って、マレーシアにおいて何らかの事業を行う企業は、PDPAに従って、プライバシーポリシーを作成することが必要不可欠なのです。また、このプライバシーポリシーは、英語版だけでなく、マレー語版の作成も義務付けられている点にも注意が必要です[3]。。

(4) 従業員向けのプライバシーポリシーの必要性

 マレーシアに現地法人を有する企業は、従業員を雇用し事業を行う過程において、必然的に従業員の個人情報を取り扱うことになります。PDPAには従業員の個人情報について個人情報としての保護を除外するような規定は存在しませんから、従業員の個人情報もPDPAの適用を受けることになります。

つまり、現地にて従業員を雇用している企業は、顧客向けのプライバシーポリシーに加え、従業員向けのプライバシーポリシーの作成も法律上要求されているのです[4]

2 プライバシーポリシーに記載すべき事項

 PDPAでは、情報対象者の個人情報が処理されること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の類型などについて、通知することを企業に義務付けています。

 以下では、いくつかの記載事項を敷衍しつつ概説します。

① 個人情報が処理される目的

 文字通り、何のために個人情報を収集し処理するのかを記載する必要があります。

企業が、個人情報を収集した後になって、当初記載したのとは別の目的で個人情報を使用したいと考えた場合、その目的を対象者に通知しなければならず[5]、また第三者に開示することについて同意を取得しなければならなくなるため[6]、顧客向けのプライバシーポリシーでは、例えば「あなたに連絡を取る」「あなたにサービス又は商品を提供する」「広告の情報を提供する」などと、目的を広く記載することが一般的です。

② 個人情報を開示することができる第三者の類型

 例えば、企業が、収集した個人情報を用いて既存の顧客に対して広告を行いたいと考え、関連会社と共に作業を行う場合など、企業は個人情報を第三者に開示する場面が想定されます。この場合に対応するため、プライバシーポリシーには、収集した個人情報を開示する可能性のある第三者の類型を予め記載しておく必要があります。ここで記載された類型に該当しない第三者に対して個人情報を開示するには、対象者の個別の同意が必要となります[7]。従って、この規定についても、開示先の第三者の記載を広く行うことが一般的です。

③ 個人情報の処理についての同意

 PDPAでは、個人情報を処理するについて、情報対象者の同意が必要とされています[8]。この「同意」は、プライバシーポリシーとは別に、個人情報の入力フォーム等を通じて取得することも多いですが、網羅的に同意を取り付ける趣旨でプライバシーポリシーに「あなたは、個人情報の提供をもって、我々が個人情報をプライバシーポリシーに従って処理することに同意します」等と記載することもよく見られます。

④ その他

 上記した以外にも、プライバシーポリシーには、個人情報にアクセスする権利の記載や個人情報の国外移転への同意取付など様々な事項が記載されます。

3 まとめ

 以上の通り、プライバシーポリシーをPDPAに則って適切に作成することは、マレーシアにおいて事業を行うために必要不可欠といえます。

また、PDPAに違反した場合には、300,000リンギット以下の罰金、2年以下の懲役又はその両方が課せられる可能性があり、マレーシアでは近年取締りが強化されている傾向にあります。

 このようなことから、御社におけるプライバシーポリシーがPDPAに適合した内容となっているのかを再度見直されることを推奨いたします。

以上

[1] PDPA 2. (4)(d)
[2] PDPA 7.
[3] PDPA 7. (3)
[4] なお、顧客向けのものと従業員向けのものを分けなければならないという法律上の制限は存在しないものの、のちに述べる記載事項の関係で、一般的にはポリシー自体を別々に作成するのが一般的である。
[5] PDPA7. (2)(c)
[6] PDPA8. (a)
[7] PDPA8. (b)
[8] PDPA6. (1)

2021年04月06日(火)4:25 PM

マレーシアにおける個人情報保護法についてニュースレターを発行しました。
PDF版は以下からご確認ください。

マレーシアの個人情報保護法

 

マレーシアの個人情報保護法

2021年4月
One Asia Lawyers Group
マレーシア担当
日本法弁護士 橋本 有輝

 本稿では、マレーシアにおける個人情報保護に関する規制について概説します。

1 マレーシアにおける個人情報保護法

 マレーシアにおける、個人情報の保護に関する規制は、Personal Data Protection Act 2010(以下、「PDPA」といいます。)に定められています。

2 「個人情報」の意義

 PDPAにおいて「個人情報(Personal Data)」とは、その情報又はその情報とその他の情報を併せて特定される情報対(例えば個人)に直接的、間接的に関連する商業的活動に関するあらゆる情報を意味します。

 したがって、氏名、住所、生年月日、メールアドレス、電話番号等は、その情報自体又はその情報と他の情報を併せて個人を特定することを可能にする情報ですので、個人情報に該当します。なお、情報対象者の身体若しくは精神の健康又は状態に関するもの、政治的意見、信仰などは、個人情報の中でも「センシティブ個人情報」とされ、より一層厳格な規制が課せられます。

3 PDPAの適用対象者

 PDPAの適用対象者は、マレーシアにおいて設立された法人等及びマレーシアで設立されてはいないものの個人情報処理の設備をマレーシアにおいて使用する法人等で、商業的活動に関して個人情報を処理する者等です。さらに、PDPAは、上記に該当しない場合であっても、マレーシアに事務所を持っている者やマレーシアにおいて継続的に活動している者にも適用されるとしています[1]。したがって、例えば、日本の企業がスマートフォンのアプリ等を利用してマレーシア在住の個人を対象としたサービスを提供する場合には、マレーシア国内に個人情報を処理するためのデータサーバー等を有していない場合であっても、「マレーシアにおいて継続的に活動している」として個人情報保護法が適用される可能性があります。

 以上の通り、PDPAの適用範囲は、マレーシアにおいて活動するほぼ全ての企業に適用されるほど広いものとなっています。

4 個人情報保護諸原則

 上記3に該当する企業は、個人情報の処理にあたって、個人情報保護諸原則(Personal Data Protection Principles)を遵守する必要があります。 個人情報保護諸原則は以下の通りです。

① 一般原則[2]

 情報使用者は、情報対象者から処理の同意を得ていない場合は、情報対象者の個人情報を処理してはならないという原則です。ここでいう同意については、個人情報保護法規則3.(1)( the Personal Data Protection Regulations 2013)において、情報使用者により適切に記録、維持されることができるような様式であるべきと規定されています。

➁ 通知及び選択の原則[3]

  情報使用者は、情報対象者に対して、情報対象者の個人情報が処理されていること、個人情報が処理される目的、情報対象者が個人情報へのアクセスと訂正を要求する権利及び情報使用者が個人情報を開示することができる第三者の業種などについて、書面により通知するよう要求する原則です[4]。また、この通知は、国語(例えばマレー語)及び英語でなされなければならないとされています[5]

③ 開示原則[6]

  情報対象者の同意なしに個人情報を開示することを禁止する原則です(ただし、個人情報を収集する時点で開示されていた目的、その目的に直接関連している目的によるもの、または上記②の通知に明記されていた開示対象者へ開示する場合を除きます)。

④ 安全原則[7]

 情報使用者は、個人情報をいかなる紛失、不正使用、変更、不正アクセス、不正開示、改ざんもしくは破壊から保護するための具体的措置を取ることを要求する原則です。

⑤ 保持原則[8]

  収集された個人情報は、処理される目的を達成するために必要な期間を超えて保持してはならないという原則です。

⑥ 情報完全性原則[9]

 情報使用者は、個人情報を正確で、完全で、誤解を招かないもので、最新のものであるように合理的な対策を講じなければならないという原則です。

⑦ アクセス原則[10]

 情報対象者は、情報使用者の保有する自らの個人情報にアクセスする権利を有し、それが不正確、不完全であり、誤解を招く恐れのある、もしくは最新のものではない場合には、個人情報の訂正ができる権利を有するという原則です。

5 個人情報の国外移転について

 例えば、マレーシアで取得した個人情報を他の国に設置したサーバーで管理する場合には、個人情報の国外移転に留意する必要があります。
 PDPAは、当該国外移転について、情報対象者が同意をしている場合には、国外転送を認めているため[11]、この同意を取得することが肝要です。

6 罰則

 情報使用者が、上記の7つの原則のいずれかに違反した場合には、300,000リンギット以下の罰金、2年以下の懲役又はその他両方が課されます[12]

 また、マレーシアでは、2017年に大規模な個人情報の漏洩事件が発生しており、PDPAの規定に違反したとして罰則が適用される事案が複数発生しています。従いまして、マレーシアにおいて事業を行う企業にとってPDPAを遵守することは極めて重要です。

7 まとめ

 以上のとおり、PDPAの適用範囲は広範にわたっているため、マレーシアで事業を行うにあたっては、PDPAの規定を無視することは出来ません。また、その規制内容も複雑ですので、一度立ち止まって自社の取り組みが法律に適合しているのか検討してみることをお勧め致します。

以上

[1] PDPA 2. (4)(d)
[2] PDPA 6.
[3] PDPA 7.
[4] Web上で個人情報の収集が行われる場合には、「プライバシーポリシー」と呼ばれる文書で通知されることが多い。
[5] PDPA 7. (3)
[6] PDPA 8.
[7] PDPA 9.
[8] PDPA 10.
[9] PDPA 11.
[10] PDPA 12.
[11] PDPA 129. (3)(a)
[12] PDPA5. (2)