ASEAN各国のデータ移転規制・データローカライゼーション最前線
(全6回)
第4回:個人情報保護法が未制定のインドネシアの個人データ取扱規定
バックナンバー
2019/05/13
はじめに
インドネシアでは、本稿執筆日において一般的な個人情報保護法は制定されていません。一般的な個人情報保護法は、いまだ国会審議中でありその成立時期は明確となっていません。
もっともインドネシアでは、個別の法令においては個人データに関する取扱いについて定めを置いています。たとえば電子取引に関連する個人データについては、電子情報及び取引に関する法律2008年第11号(及び同改正法2016年第19号、以下総称して「電子情報法」といいます)、同法に関する政府規制2012年第82号(以下「政府規制82号」といいます)並びに同法実施規則の電子システムの個人データ保護に関するMOCI規制2016年第20号(以下「MOCI規制」とし、これらを総称して「電子情報法令」といいます)が、その取扱いについて定めています。
また、電子情報法令以外にも、個別の法律の規定の中で、個人データに関する規制を定めるものが複数あります(テレコミュニケーションに関する法律1999年第36号第40条、公的情報の開示に関する法律2008年第14号第6条、銀行法1992年第7号、キャピタルマーケットに関する法律1995年第8号等)。
このように、インドネシアでは、個人データの保護のありようについて、該当する取引や分野に応じて、個別的に規制を調査ないし把握する必要があるというのが現状であり、取引や分野の別なく、横断的に解釈及び運用される一般的な個人情報保護法の成立が待たれるところです。
インドネシアにおける個人情報保護法制の概観
上記のとおり、インドネシアではまだ一般的な個人情報保護法は定められておらず、電子情報法令が、インドネシアにおける一般的な個人情報に関する法制度であるように語られることが多いのですが、電子情報法令は、そもそもインターネットを通じた取引、電子署名の有効性等、ドメイン名のライセンス等の電子商取引に関する規制を定めるものであり、個人情報に関する一般法ではありません。
電子情報法令の適用対象は、このようなシステムを取り扱う、あるいはサービスを提供するElectronic Service Provider(以下「電子サービスプロバイダー」といいます)です。電子情報法令は、主に上記のような電子商取引のルールを規定した上で、そのような電子サービスプロバイダーにおいてインターネット等を通じて取得した個人データに関する取扱いを定める条項についても定めるものです※1。
しかし電子情報法令上の電子サービスプロバイダーの定義は幅広くその適用対象は広く解釈される余地があること、個人データに関する取扱いについて詳細な規定を置いていることから、同法令の理解が重要であると思われるため、電子情報法令の個人データに関する主要な内容を中心に解説します。
※1:なお、電子情報法令上、「電子サービスプロバイダー」は、「電子システム使用者のために、単独で又は共同で電子システムの提供、管理及び/又は運営を行うあらゆる者、国家機関、企業体並びに公共体」をいうとされており、「電子システム」は、電子情報の準備、収集、処理、分析、保管、表示、公開、送信及び/又は流布に供する一連の電子機器及び手続き」をいう。この点、電子システムプロバイダーの範囲は幅広く解釈される余地を残すが、実務上は、電子取引のために電子システムを提供する者がこれに該当し、たとえば、事業会社における社内システムを通じた個人データの取得が、電子取引ではなく社内の処理の目的で行われるような場合はこれに該当しないとされる解釈が一般的と思われる。
保護の対象となる「個人データ」の定義
電子情報法令上保護の対象となる「個人データ」は、政府規制82号及びMOCI規制上定義が置かれており、「特定の個人のデータであって、その正確性のために保管、管理及び維持され、その秘密のために保護されるもの」をいいます。また、「特定の個人のデータ」とは、「いかなる正確かつ実際の情報であって、特定の個人を直接又は間接に特定することが可能な情報」をいいます。
なお、電子情報法令は、「センシティブ情報」について特別の定義を置いていません。この点、個人情報保護法草案※2では、「センシティブ情報」について「特別の保護を要する個人データであって、宗教、信条、健康、心身の状態、性生活、個人の財務データ、及び当該データのプライバシーを危機及び害悪をもたらしうるその他の個人データ」をいうとされています。
※2:http://www.hukumonline.com/pusatdata/downloadfile/lt561f752b12783/parent/lt561f74edf3260
電子情報法令の域外適用
電子情報法は、インドネシアにおいて法的効果を有する、及び/又はインドネシアに害を与えるインドネシア国内及びインドネシア国外で行われる行為を対象としています※3。規制される行為は、インドネシア国内で行われる行為、インドネシア市民により行われる行為に加え、インドネシア市民、外国人又はインドネシア法人又は外国法人によりインドネシア国外で行われる行為も含みます。なお、インドネシアに害を与える行為とは、国家経済の利益、戦略的データ保護、国家の尊厳、安全保障、国家主権、市民及びインドネシア法人に与える害を含むものとされています。
このように、電子情報法の適用は域外にも及び、また、MOCI規制の適用範囲も同様に域外に及ぶものとされていますが、その具体的手続きや監督機関等が整備されていないため、現時点では、域外適用による運用及び規制は事実上難しい状況にあります。
※3:電子情報法2条
電子情報法令の主な規制
(1)同意の取得及び方法
電子情報法上、電子メディアを通じた個人データを含むいかなる情報の使用も、関連する者の同意を得る必要があります※4。MOCI規制によると、同意は書面によりなされる必要があり(電子的手段又はそれ以外の手段)、また、インドネシア語でなされる必要があります※5(ただし、英語との併記などについては明確に禁止されていません)。
※4:電子情報法26条
※5:MOCI規制6条
(2)個人データの取得、使用及び利用にあたっての義務
政府規制82号上、電子システムプロバイダーは、個人データの取得、使用及び利用がその所有者による同意に基づくように確保するものとすること、個人データの利用又は開示がその所有者の同意に基づくこと及び当該データが取得された時に当該所有者に通知された目的に合致するものであることを確保するものとされています※6(同違反については後記6参照)。
※6:政府規制15条
(3)個人データの処理及び分析にあたっての義務
MOCI規制は、電子システムプロバイダーによる個人データの取得については、同意に基づき、電子システムプロバイダーの目的に関連しその目的内でのみ取得され、正確な方法で取得されるべき旨を規定しています※7。また、個人データの処理及び分析は、その所有者の同意に従ってなされ、かつ、データ取得時に明確に宣言された電子システムプロバイダーの必要性に従ってのみ行うことができます※8。
※7:MOCI規制7条
※8:MOCI規制12条
(4)個人データの保管
電子システムに保管される個人データについては、
ア.その正確性が確認されること、
イ.暗号化されること、
ウ.現行の規制に従い保管されること、
エ.最低5年間保管されること(保管期間につき特定の規制のない限り)、
オ.公共サービスのための電子システムプロバイダー※9は、データセンターファシリティ及びディザスターリカバリーファシリティがインドネシアにおいて設置すること、
が要求されます※10。
当該個人データの所有者がそのデータを以後使用しない場合、電子システムプロバイダーは当該所有者が最後に当該個人データを使用した日から5年間保管することが要求されます。
※9:MOCI規制によると、「公共サービスのための電子システムプロバイダー」とは、政府に関連する法人(国家の機関、政府所有の会社等)その他の国家の任務に関連する法人をいうとされる。
※10:政府規制82号及びMOCI規制
(5)表示、公開、移転、流布及びアクセスの許容
電子システム内の個人データは、以下の場合にのみ、その表示、公開、移転、流布及び又はアクセスが許容されます※11。
ア.法及び規制により別段の定めのない限り同意に基づくこと、及び
イ.当該個人データの正確性と適合性が確認されること。
電子システムプロバイダーによる個人データの移転、とりわけ個人間の移転、インドネシアから国外への移転については、情報通信省又は権限のある高官との間で以下の調整の上なされなければなりません※12。
ア.個人データの移転計画(最低でも、移転先国の名称、受領者の名称、移転日並びに当該個人データの移転の理由及び目的を明記する必要)の報告
イ.必要に応じて弁護士の意見を求めること
ウ.当該移転の結果についての報告
※11:MOCI規制21条
※12:MOCI規制22条
(6)個人データの破棄
電子システム内の個人データの破棄は、以下の条件に基づいてのみ行うことができます。
ア.保管期間の経過
イ.所有者による要求
罰則規定
(1)個人データの処理に関連して、電子情報法32条及び48条は、
ア.いかなる者も、故意に、かつ、権限なく、又は不適法に、他の者又は公に帰属する電子情報及び/又は電子記録をいかなる方法でも、変更、追加、削減、移転、改ざん、削除、譲渡、隠匿してはならない。同違反について、最長8年の懲役及び/又は最高20億ルピアの罰金。
イ.いかなる者も、故意に、かつ、権限なく、又は不適法に、電子情報及び/又は電子記録を、いかなる方法でも、権限のない者に帰属する他の電子システムに移転又は譲渡してはならない。同違反について、最長9年の懲役及び/又は最大30億ルピアの罰金。
ウ.いかなる者も、秘密性のある電子情報及び/又は電子記録につき、公にアクセス可能な状態につながる上記に言及されるいかなる行為も行ってはならない。同違反について、最長10年の懲役及び/又は最大50億ルピアの罰金。
を定めています。
(2)また、上記で説明した電子情報法15条違反については、書面による警告、過料、暫定的業務停止の行政上の罰則が定められています。
(3)さらに、MOCI規制上も、権限のない方法又はMOCI規制若しくはその他の法規制に定める方法以外で、個人データを取得、処理、分析、保管、表示、公開、移転及び/又は流布した者は、以下の行政上の罰に服するものとされています※13。
ア.口頭による警告
イ.書面による警告
ウ.業務の停止
エ.オンラインウェブサイトでの公表
※13:MOCI規制36条
(4)実際の事例としては、Facebookがユーザーの個人データを漏洩した疑いがあるとして、情報通信相が2018年4月、Facebookに対して書面による警告を発した事例があります※14。同事例では、それに先立つ同年3月に、情報通信相による口頭による警告がなされており、それに対するFacebookの回答が十分なものではなかったため、次段階として書面による警告が出されたものです。
現時点では、上記以上に深刻な制裁(業務停止や罰金等)が科された事例はないようです。
個人情報保護に関する最新動向
以上のとおり、インドネシアにおいては、電子システムプロバイダーによる電子システムの提供に関連した個人データの取得等について規制がされていますが、いまだ一般的な個人情報保護法は草案の段階であり法律として成立していません。 インドネシア政府は、2019年においてもその草案の検討を優先する方針のようですが、成立時期はいまだ不透明です。そのため今後の法案の審議の過程、成立について引き続き注視する必要があります。
- 第1回:すでにFacebookも摘発!?ベトナムのサイバーセキュリティ法
- 第2回:今後法改正の可能性も?マレーシアの個人情報保護法
- 第3回:BPOで多くの個人情報が集積するフィリピンの個人情報保護法
- 第4回:個人情報保護法が未制定のインドネシアの個人データ取扱規定
- 第5回:ついに成立!タイの個人情報保護法
- 第6回:違反企業の実名公開でレピュテーションリスクも!?シンガポールの個人情報保護法
弁護士法人One Asia / One Asia Lawyersについて
弁護士法人One Asia/One Asia Lawyersは、ASEAN地域に特化した法律事務所であり、ASEANにおいてシームレスな法務アドバイザリー業務を日系企業に特化して行っております。各事務所には、現地弁護士に加えて、日本人弁護士、専門家、現地語法律通訳者が常駐しており、ASEAN地域に特化した進出法務、M&A、コーポレート・ガバナンス、労務、税務、知的財産、不動産、訴訟・仲裁対応などについて現地に根付いた最適なサービスを提供しております。
拠点:シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー、東京
メンバー数:187名(内日本人31名)
今回の執筆者:増田 浩之
弁護士法人One Asia シンガポールオフィス(インドネシアデスク担当)
弁護士登録後、日本の大手製薬企業法務部に勤め、日本国内外の契約法務を中心に、クロスボーダーのM&A、ライセンス契約その他企業提携関係(資本提携・業務提携含む)構築のための契約交渉その他の業務及び提携関係構築後の対応業務等に従事する。
その後、大阪にある事業再生・事業承継・M&Aを専門とする法律事務所に勤務し、契約法務・労務・総務等の一般企業法務業務のほか、事業再生・M&Aアドバイザリー業務、会社組織や株式・事業の譲渡等に関連して生じた紛争・訴訟の対応も数多く行う。
上記のような企業提携の構築からその後のフォロー、提携関係において紛争が発生した場合の対応、事業が行き詰った場合の対応といった会社のライフサイクルに沿った一連の業務の経験を活かし、ASEAN地域における企業提携に関わる業務やこれに関連する紛争対応を中心にアドバイスを提供している。