2022.10.27
インドネシア【インドネシア】森・濱田松本法律事務所 アジアニュース/第84回「個人情報保護法の施行」- 【インドネシア】森・濱田松本法律事務所 アジアニュース/第84回「個人情報保護法の施行」
-
このたび、森・濱田松本法律事務所アジアプラクティスグループでは、東南・南アジア各国のリーガルニュースを集めたニュースレター、MHM Asian Legal Insights第143号(2022年10月号)を作成いたしました。今後の皆様の東南・南アジアにおける業務展開の一助となれば幸いに存じます。
◇インドネシア: 個人情報保護法の施行
インドネシアでは、2022年10月17日付けで個人情報保護に関する法律2022年27号(「個人情報保護法」)が施行されています。
これまでインドネシアには個人情報保護に関する包括的・横断的な法律はなく、電子情報及び取引に関する法律や銀行法等の個別業法において、個別に個人情報保護に関する規定が存在している状況でした。
個人情報保護法は、インドネシアで初めて、個人情報保護に関する包括的な規制枠組みを規定しています。
本レターでは、個人情報の定義といった基本的な事項と併せて、日本企業が特に留意すべき個人情報の国外移転、法案の域外適用の有無等についてご紹介します。
(1) 個人情報の定義及び分類
個人情報保護法上、個人情報は、「単独・他の情報との組み合わせであるか否かを問わず、直接・間接か否かを問わず、電子的・非電子的システムを通じたものか否かを問わず、ある特定された又は特定可能な個人に関連する情報」と定義されています。
さらに、個人情報保護法上、個人情報は、一般個人情報と特別個人情報に分類されています。一般個人情報とは、個人の氏名、性別、国籍、宗教、婚姻状況及びその他個人を特定することが可能な個人に関する複合的な情報を含むものと定義されています。他方で、特定個人情報とは、個人の診療履歴、生体データ、遺伝子情報、犯罪歴、子供に関する情報、財産に関する情報を含むものと定義されています。
上記分類によって、後述する情報管理者及び情報処理者が個人情報を取り扱う際の義務が若干異なることになります(具体例については、下記(7)をご参照下さい)。
(2) 個人情報主体、個人情報の処理及び個人情報主体の権利
個人情報保護法上、個人情報主体は、当該個人情報に紐づく自然人と定義されています。
個人情報の取得、収集、処理、分析、第三者への移転、利用、及び消去(「処理」)は、①個人情報の処理の目的及び個人情報主体の権利等を明示の上で個人情報主体の同意を得た場合、②個人情報主体との契約上の義務の履行に必要な場合等、一定の場合に可能とされています。
上記の個人情報主体の権利には以下のものが含まれます。
(a)個人情報を収集する主体、個人情報を提供する法的根拠、個人情報を収集・処理する目的について知
らされる権利
(b)個人情報処理の目的に沿って、個人情報を補完、更新及び修正する権利
(c)個人情報へアクセスし、複製を取得する権利
(d)個人情報の処理を終了させ、個人情報を削除又は破棄させる権利
(e)情報処理者による個人情報の処理についての同意を撤回する権利
(3) 情報管理者及び情報処理者の概念の導入
個人情報保護法上、情報管理者及び情報処理者の概念が導入されています。
情報管理者とは、単独又は共同で個人情報の処理目的を決定し、管理を行う個人又は法人、公的機関及び国際機関と定義されています。また、情報処理者は、単独又は共同で、情報管理者の指示に従って個人情報の処理を行う個人又は法人、公的機関及び国際機関と定義されています。
個人情報保護法上、情報管理者は、個人情報の処理に関する全ての関与者(情報処理者を含む。)を監督する義務を含め、情報処理者に比べてより重い義務を負います(情報管理者の指示に従った情報処理者による行為の責任も負います。)。また、情報処理者は、情報管理者の指示の下、情報を取り扱う限りにおいて、個人情報の守秘義務といった、情報管理者にも課せられる義務の一部を負うこととされています。
(4) 個人情報漏洩等の場合の通知義務
個人情報保護法上、個人情報漏洩等が発生した場合、情報管理者は、当該事実を覚知してから72時間以内に個人情報主体及び管轄当局へ書面で通知を行う必要があることとされています。その際には、漏洩した情報、いつ、どのように漏洩等が起きたか、当該事案についてどのように対処をしているかといった事項を通知内容に含める必要があるとされています。
(5) 国外移転・ローカライゼーション
個人情報保護法上、個人情報の国外移転については、①情報の移転先国における個人情報保護の水準がインドネシアと同等以上である場合に認められるとされています。また、上記の条件が満たされない場合であっても、②法的拘束力を持った適切な個人情報保護体制が確保されている場合にも認められるとされています。さらに、②の条件すら満たされない場合であっても、③個人情報主体から同意があった場合にも認められるとされています。
なお、個人情報保護法上、個人情報が保存されるサーバー等をインドネシア国内に設置する等の義務(いわゆるデータローカライゼーション義務)は規定されていません。
(6) 域外適用
個人情報保護法上、個人情報保護法はインドネシア国内において法的行為を行う個人又は法人、公的機関及び国際機関に対して適用があるのみならず、国外の者の行為についても、それにより①インドネシア国内において法的効果が生じるものや②国外のインドネシア国籍の個人情報主体に影響を及ぼすものについては適用があるものとされています。
(7) 個人情報保護委員会の創設・情報保護責任者の任命
個人情報保護法上、個人情報保護体制の構築・実施を担う機関として個人情報保護委員会が大統領により創設され、同委員会が、個人情報保護体制について大統領に対して直接の責任を負うものとされています。
また、個人情報保護法上、①情報管理者の主たる事業行為の性質上、大規模な個人情報の定期的・体系的な監視が必要となる場合、②情報管理者の主たる事業行為が大規模な特別個人情報の処理を含む場合等一定の場合に、情報保護責任者(Data Protection Officer)を任命しなければならないものとされています。
(8) 罰則
個人情報保護法上、個人情報保護法に違反した場合の行政罰として、書面警告、個人情報の処理の一時停止、個人情報の削除又は破棄、過料が規定されています。
また、第三者の個人情報を違法に収集、開示、使用又は改ざん等した場合には、刑事罰の対象にもなり、刑事罰としては罰金、懲役刑、犯罪により得た収益についての没収等が規定されています。
さらに、上記行為が法人によってなされた場合、①法人自体が罰金(個人に対する罰金の上限の10倍を上限とした罰金)や犯罪により得た収益についての没収等の刑事罰の対象となるだけでなく、②当該法人の経営者、支配者等が罰金及び懲役の対象となり得ます。
以上のとおり個人情報保護法は、個人情報保護に関する包括的な枠組みを規定するものとなっており、その詳細については、施行規則等で今後さらに規定されることになります。
また、個人情報保護法上、経過措置が規定されており、個人情報管理者又は個人情報処理者に該当する者は、個人情報保護法を遵守する体制を構築するまでに2年間の猶予期間が与えられることとされています。もっとも、当該2年間で相当程度の施行規則が制定されることも予想され、それらについて上記の猶予期間内での対応が求められる可能性もあるため、今後の実務動向を注視する必要があります。
本レター第143号(2022年10月号)
https://www.mhmjapan.com/content/files/00065711/20221020-104028.pdf
(直近記事)
○
○
○第83回【タイ】民商法改正草案(吸収合併の創設等)
- 【掲載元情報】
- 森・濱田松本法律事務所アジアプラクティスグループ 制作
