見出し画像

インドネシア最新法令UPDATE Vol.20:インドネシア個人情報保護法

三浦法律事務所/Miura & Partners

2022年10月17日にインドネシア個人情報保護法が公布・施行されています。

インドネシアには、従前は個人情報保護に特化した法律がなく、個人情報保護法の制定動向が長年にわたり注目されていました。

以下では、個人情報保護法のうち、重要と思われる部分につき解説します。

1. 個人情報保護法の適用範囲

個人情報保護法はインドネシアに所在する全ての個人・法人だけでなく、①インドネシア国内に法的効果を有する活動を行ったり、②外国に所在するインドネシア人に対する法的効果を有する活動を行う外国の法人・個人に対しても適用されるものとされています(2条1項)。

このため、インドネシアに法人を設立せず、日本からクロスボーダーでインドネシアに向けてアプリを提供しているような場合には、アプリの提供元となる日本企業にもインドネシア個人情報保護法が適用され得る点に留意する必要があります。

2. 特定個人情報

個人情報保護法においては、「特定個人情報」(Data Pribadi Yang Bersifat Spesifik)という類型が設けられています。

特定個人情報には、以下が含まれるとされています。

・医療データ、医療情報
・生物学的データ
・遺伝データ
・犯罪歴
・児童のデータ
・個人の金融データ
・その法令で定められるデータ

「特定個人情報」に該当する場合のインパクトとしては、後述の個人情報保護オフィサー選任義務、個人情報保護影響評価実施義務等への影響があります。

3. 児童・障碍者の個人情報

個人情報保護法では、児童および障碍者の個人情報について特別の規定が設けられています。

児童の個人情報の処理については、両親および/または代表者の同意を取得しなければならないとされています(25条2項)。

障碍者の個人情報の処理は法令に従い特別な方法を用いたコミュニケーションを通じて行うとされています(26条2項)。また、障碍者の個人情報の処理に関する同意は、障碍者自身または/および障碍者の代表者から行うとされています(26条3項)。

4. 個人情報保護オフィサー

(1)選任が必要となる場合

個人情報管理者は、以下の場合には、個人情報保護オフィサー(Pejabat atau Petugas Yang Melaksanakan Fungsi Pelindungan Data Pribadi)を選任しなければならないとされています(53条1項)。

・公共のサービスのために個人情報の処理を行う場合
・個人情報管理者の主たる活動が、個人情報に対する定期的かつシステマチックで大規模なモニタリングを必要とする性質、スコープ、目的を有する場合
・情報の大規模な処理により構成される場合

(2)選任基準・方法

個人情報保護オフィサーは、個人情報保護の原則に対するコンプライアンスおよび個人情報保護違反のリスクを軽減する責任を負う者を指すとされています(53条1項注釈)。個人情報保護オフィサーは、プロフェッショナリティー、法律に対する知識、個人情報保護に関するプラクティス、職責を満たす能力などに基づき選任されるものとされています(53条2項)。個人情報保護オフィサーは、個人情報管理者内(社内)の人間を必ず選任しなければならないわけではなく、外部の第三者を個人情報保護オフィサーとして選任することも可能です(53条3項)。

(3)個人情報保護オフィサーの職務

個人情報保護オフィサーの職務には、以下が含まれるとされています(54条1項)。

・個人情報管理者等に対して、個人情報保護法を遵守するための情報提供やアドバイスの提供を行うこと
・個人情報保護法や個人情報管理者等のポリシーの遵守につきモニタリングを行い、その遵守を確保すること
・個人情報保護影響評価に関するアドバイスを提供し、個人情報管理者のパフォーマンスをモニタリングすること
・個人情報処理に関する問題についての連絡窓口としての活動やコーディネーションを行うこと

5. 個人情報保護影響評価

インドネシア個人情報保護法では、「個人情報保護影響評価」(Penilaian Dampak Pelindungan Data Pribadi)というコンセプトが新たに導入されています。「個人情報保護影響評価」は、①個人情報の処理によって発生し得るリスクを評価し、②そのリスクを軽減し、個人情報保護法を遵守するための努力およびステップであるとされています(34条1項注釈)。

個人情報管理者は、個人情報の処理により個人情報主体に対する高いリスクが発生する可能性がある場合には、「個人情報保護影響評価」を行わなければならないとされています(34条1項)。

「個人情報主体に対する高いリスクが発生する可能性がある場合」として、具体的には以下が列挙されています(34条2項)。

・個人情報の自動的処理(個人情報の処理に関する決定が自動的に行われるもの)で、個人情報保護主体に対して重大な法的結果・影響が生じうるもの
・特定個人情報の処理
・大規模な個人情報処理
・個人情報主体に対するシステマチックに行われる評価、スコアリング、モニタリング活動
・あるグループのデータのマッチング・統合
・新たなテクノロジーを使用した個人情報の処理
・個人情報主体の権利の行使を制限するような個人情報の処理

6. 個人情報の国外移転

(1)個人情報保護法以前の規定

個人情報保護法制定以前、個人情報保護の国外移転については通信情報大臣規則2016年20号に規定されていました。

同規則では、個人情報の国外移転については「通信情報大臣との連携」が必要とされていました(同規則22条1項)。通信情報大臣との連携の内容としては、①個人情報の国外移転に関する計画の報告(少なくとも、移転先国の名称、受領者の名称、実施予定日、国外移転の理由・目的を含む)、②弁護士の助力(必要な場合)、③実施結果の報告を含むものとされていました(同規則22条2項)。

しかし、通信情報大臣への報告の手続やフォーマットが定められておらず、「通信情報大臣との連携」の具体的な内容は明らかではなく、実務上悩みの種となっていました。

(2)個人情報保護法における規定

個人情報保護法では、個人情報の国外移転につき、3段階に分けた規定ぶりとなっています(56条2項~4項)。


第1段階:移転先の外国がインドネシアと同等以上の個人情報保護法制を有する場合には国外移転可能

第2段階:(第1段階の要件を満たさない場合)個人情報の国外移転を行う者は、適切で拘束力のある個人情報保護が受けられることを確保しなければならない

第3段階:(第1段階、第2段階の要件を満たさない場合)個人情報保護主体の同意を得なければならない

個人情報国外移転に関する詳細は政府規則で定められるものとされており、個人情報保護法レベルでは抽象的な規定がなされているにとどまります。

第1段階の「移転先の外国がインドネシアと同等以上の個人情報保護法制を有する」か否かにつき、個人情報保護法レベルではそれ以上の説明はありません。インドネシアと同等以上の個人情報保護法制を有する国の一覧がいわゆるホワイトリストのような形でリストアップされる想定であるのかなど、個人情報保護法のみからは分かりません。政府規則による明確化が期待されます。

第2段階の「適切で拘束力のある個人情報保護が受けられることを確保」が具体的に何を指すのかは、個人情報保護法レベルからは不明確です。条文を合理的に解釈すると、例えば、インドネシア法人から外国法人に個人情報を移転する場合に、インドネシア法人と外国法人との間でデータ移転に関する契約を締結し、その中でデータ受領者である外国法人の義務として、移転される個人情報につき、インドネシア個人情報保護法で求められているのと同等以上の保護措置を講じる義務を課しておくことで、「適切で拘束力のある個人情報保護が受けられることを確保」したと整理する余地があるように思われます。

第3段階として、上記の第1段階、第2段階のいずれも充足できない場合には、個人情報主体の同意を得ることが必要とされています。逆に、個人情報保護法の規定を素直に読むと、第1段階、第2段階を満たせば、個人情報の国外移転を行う際に個人情報主体の同意は不要であると解釈できるように思われ、諸外国の個人情報保護法と比較しても、個人情報国外移転の要件が緩やかになっているという評価も可能であるように思われます(ただし、政府規則による規制の具体化を注視する必要があります。)。

7. 刑罰

(1)刑罰の内容

個人情報保護法において、以下のような刑罰が設けられています。

いずれも「故意」や「目的」が要求されており、過失による犯罪は罰しない建付けとなっています。このため、日系企業としてのコンプライアンスとしては、個人情報保護遵守体制をしっかりと構築し、万が一個人情報保護法違反が発生したとしても、「故意」や「目的」は存在しなかったことを立証できるように準備しておくことが重要です。

なお、法人については罰金につき上記の10倍までが科され得るものとされ(70条3項)、以下の追加の刑罰が科され得るものとされています。

・犯罪により取得された利益・財産の没収
・法人の事業の一部又は全部の凍結
・一定の行為を行うことの永久の禁止
・法人の事業又は活動場所の一部又は全部の閉鎖
・懈怠された義務の履行
・損害賠償
・ライセンスの取り消し
・法人の解散

個人情報保護法違反を理由に、ライセンスの取り消しや法人の解散といった厳しい刑罰が科され得るものとされている点が注目されます。

(2)刑罰の科される範囲

上記の各犯罪が法人により行われた場合、刑罰は経営者、支配者、命令を与えた者、受益者、法人に対して科され得るものとされています(70条1項)。

「受益者」の具体的な基準は個人情報保護法には定められていません。しかし、法人の受益者決定に関する基準を定めた大統領令2018年13号4条1項aでは、「受益者」に該当する形式基準として株式の25%を有することが挙げられていることが注目されます(ただし、形式基準を満たさなくてもほかの諸事情から受益者と認定される可能性がある点には留意が必要です)。

8. 各種対応事項

個人情報保護法には、個人情報管理者が対応しなければならない各種対応事項が定められています。その概要を整理した「個人情報保護法対応事項チェックリスト」を作成しておりますので、ご希望の方は弊職(ryoichi.inoue@miura-partners.com)までお問い合わせ下さい。

9. 猶予期間

事業者には、個人情報保護法を遵守するための期間として、個人データの処理に関しては、個人情報保護法の公布から2年間の猶予期間が与えられます。個人情報保護法が公布されたのは2022年10月17日ですので、各事業者においては、2024年10月17日までに個人情報保護法の個人データの処理規則への対応を行う必要があります。

Author

弁護士 井上 諒一(三浦法律事務所 パートナー)
PROFILE:2014年弁護士登録(第二東京弁護士会所属)。2015~2020年3月森・濱田松本法律事務所。2017年同事務所北京オフィスに駐在。2018~2020年3月同事務所ジャカルタデスクに常駐。2020年4月に三浦法律事務所参画。2021年1月から現職。英語のほか、インドネシア語と中国語が堪能。主要著書に『オムニバス法対応 インドネシアビジネス法務ガイド』(中央経済社、2022年)など

この記事が気に入ったらサポートをしてみませんか?