1. サイトトップ
  2. 海外ビジネス情報
  3. 地域・分析レポート
  4. ASEAN主要国における個人情報保護規程

ASEAN主要国における個人情報保護規程
越境データ移転やローカリゼーション要求の観点から

2021年7月27日

個人情報の取り扱いは、ビジネスを行う上で避けて通ることはできない。反面、その不適切な取り扱いや漏えいなどの事象は時に報道で取り上げられ、企業イメージを大きく損ないかねない。欧州連合(EU)では「EU 一般データ保護規則(General Data Protection Regulation:GDPR)外部サイトへ、新しいウィンドウで開きます」が2016年に発効し、2018年から適用が開始された。法律や規則を整備し、個人情報を保護する施策は、EUだけでなく世界の様々な国・地域で進められ、東南アジアも例外ではない。東南アジア地域で事業展開をする企業が、域内で個人情報を取り扱う事業を展開するにあたり、域内主要国(シンガポール、タイ、インドネシア、マレーシア、フィリピン、ベトナム)で留意すべき法律などについて、本レポートで解説する。

個人情報保護に関する一般法制定が進む

東南アジアでは、個人情報の保護に関する一般法の法整備が進みつつある(表1参照)。

まず、シンガポールでは改正個人情報保護法(2020)外部サイトへ、新しいウィンドウで開きますが、マレーシアでは個人情報保護法(2010)PDFファイル(外部サイトへ、新しいウィンドウで開きます)(396.79KB)がそれぞれ制定済みだ。両者ともGDPRに準拠する。金融や通信などセクターごとの各種規制は、シンガポールでは特別法、マレーシアでは行動規範という形で規定されている。フィリピンでは、一般法としてデータプライバシー法(2012)外部サイトへ、新しいウィンドウで開きますが制定されているが、政府機関に対してのみ各種通達という形で詳細が定められている。

タイにも、GDPRに準拠した個人情報保護法が存在する。しかし、2019年5月28日から施行されたのは、一部条文だけに限られていた。換言すれば、個人情報の収集・利用・開示や違反時の罰則など、企業が対応を要する主要な章には移行期間が設けられていた。それらを含む法律全体の完全施行は、新型コロナ禍の影響で遅れている状況だ(2021年5月7日付ビジネス短信参照)。

一方、インドネシアやベトナムでは、これまで一般法の整備が行われていなかった。すなわち、個人情報保護に関する複数の法律・規則が存在し、それぞれで個人情報の定義や取り扱い方法が異なる状況にある。例えば、インドネシアの「電子システムと取引の運用に関する政府規制 2019 年第 71 号外部サイトへ、新しいウィンドウで開きます」では、個人情報を「それ自体で個人を識別可能なもの、または電子的・非電子的なシステムを通して直接的または間接的に他の情報と組み合わせることで識別可能となるもの」と定義する。一方、「電子システムにおける個人情報保護に関する通信情報省規程2016年第20号外部サイトへ、新しいウィンドウで開きます」では「真実のために保存、維持、管理され、機密性によって保護される特定の個人データ」とされる。それぞれ異なった定義が示されている。

しかし、両国とも、一般法の制定に向けて準備が進んでいる。例えばベトナムでは2021年2月、「個人情報保護に関する政令案」が公表された。草案上の施行日は2021年12月1日とされ、ベトナム公安省がパブリックコメントを受け付けていた(2021年4月2日付ビジネス短信参照)。インドネシアでも、「個人情報保護法案」PDFファイル(外部サイトへ、新しいウィンドウで開きます)(451.93KB)が2021年7月現在、下院で審議されている。

表1:ASEAN主要国の包括的個人情報保護法
国名 法律名 状況 規制者
シンガポール 改正個人情報保護法(2020) 施行済 個人情報保護委員会
マレーシア 個人情報保護法(2010) 施行済 マレーシア通信マルチメディア委員会
フィリピン データプライバシー法(2012) 施行済 国家プライバシー委員会
タイ 個人情報保護法 当該法律の完全履行は、さらに1年間(6月1日~2022年5月31日)延長 個人情報保護委員会
インドネシア 個人情報保護法 国会審議中 通信情報省
ベトナム 個人情報保護規定 国会審議中 公安省

出所:各国法令などよりジェトロ作成

越境データ移転未規制国も条件付き許可制へ

次に、個人情報の「越境データ移転」について、各国がどのように規制を行っているか確認する。ここで「越境データ移転」とは、特定のデータを特定の国から他の国(海外)へ移動させることとする。各国の関連法令を確認する限り、多くの国でデータ原産国と同等レベルの保護水準を求めるという条件のもとに許可されていることが分かる(表2参照)。

表2:越境データ移転に係る各国規制
法律名 ポイント
シンガポール 個人情報保護規則(2014) 条件つき許可:シンガポールと同水準のデータ保護を備える国についてだけ許可される
マレーシア 個人情報保護法(2010) 条件つき許可:マレーシア通信マルチメディア委員会の個人情報保護責任者(コミッショナー)によって承認され、マレーシアと同水準のデータ保護を備える国についてだけ許可される。
フィリピン データプライバシー法(2012) 条件つき許可:フィリピンと同水準のデータ保護を備える国についてだけ許可される
タイ 個人情報保護法 条件つき許可:タイと同水準のデータ保護を備えている国についてだけ許可される。
インドネシア 個人情報保護法案 条件つき許可:1)インドネシアと同水準のデータ保護を有する2)当該国がインドネシアと既に合意を結んでいる、などの要件が課される。
現行法(複数存在) 原則として、とくに規定なし。ただし、金融セクターに限って、通信情報省への報告が義務付けられる。
ベトナム 個人情報保護に関する政令案 条件つき許可:1)データ主体の合意がある、および2)元の個人情報がベトナムに保存される3)当該国がベトナムと同水準のデータ保護を備える、などすべての条件を満たす必要あり。
現行法(複数存在) 特になし

出所:各国法令などからジェトロ作成

ベトナムでは、これまで越境データ移転に関する規制は存在しなかった。しかし、国会審議中の個人情報保護規定案では、厳しい条件が課されるようになる見込みだ。具体的には、(1)本人の同意(2)原データがベトナムに保管されること(3)移転先の国・領域などが本政令の規定と同等かより厳しい規定を有する証明文書があること(4)公安省管轄の個人情報保護委員会の同意文書があること、の4つの条件を満たす必要があるとされており、今後の動向に注意が必要だ。

インドネシアでは現状、原則として個人情報の越境データ移転には規制がない。ただし、銀行のリスクマネジメントに関する規程PDFファイル(外部サイトへ、新しいウィンドウで開きます)(90.14KB)および保険会社のリスクマネジメントに関する規程PDFファイル(外部サイトへ、新しいウィンドウで開きます)(250.34KB)に基づき、金融セクターについてだけは通信情報省に報告が必要とされている。個人情報保護法が制定されると、他国と同様に同水準のデータ保護を移転先の国に求めることが条件となる可能性があり、やはり注意が必要だ。

データローカリゼーション要求の動きに要注意

データローカリゼーションとは、自国の産業や国家の安全保護を目的に、個人情報などの重要なデータを自国にとどめるための規制だ。東南アジアでは現状、厳しい規制は行われていない(表3参照)。主要国では、シンガポールやタイ、マレーシアでは規定されていない。フィリピンでは、公的セクター限定で規定されている。

一方、インドネシアでは、金融・保険業など特定のセクターで定められており、実際にデータセンターを自社に設置した企業も存在する。もっとも、そのインドネシアで現在国会審議中の個人情報保護法草案においては、データローカリゼーションに関する記載が存在しない。こうしてみると、既存規程がどのように扱われるか留意する必要がある。

また、ベトナムでは現状、「サイバーセキュリティ法」において、「IT・技術、商業セクター(特にeコマース)では、政府によって規制されている期間中は、ベトナムで収集・利用・分析・処理した個人情報データをベトナム国内に保存する必要がある」とされている。ただし、ここで言う「期間」について現時点では定めがない。なお国会審議中の個人情報保護規定では、前述の通り、越境データ移転の要件として「原データがベトナムに保管されること」が課される見込みだ。これが、データローカリゼーションの観点で規定・運用されることがないものか、注意していく必要があるだろう。

表3:データローカリゼーションに係る各国規制
国名 法律名 公的セクター 民間セクター その他
金融・保険業 医療・健康 商業 IT・技術 銀行
シンガポール 個人情報保護規則(2014) × × × × × × ×
マレーシア 個人情報保護法(2010) × × × × × × ×
フィリピン データプライバシー法(2012) × × × × × ×
タイ 個人情報保護法 × × × × × × ×
インドネシア 銀行のリスクマネジメントに関する規程など × × × ×
ベトナム サイバーセキュリティ法 × × × × ×

注:「×」は規制なし、「〇」は規制あり、「△」は条件付きで規制があることを示す。
出所:各国法令などよりジェトロ作成

国際的な枠組みにも留意を

GDPRではEU域内に拠点がない場合であっても、サービスや商品の提供などの目的で在EUの個人情報を処理する場合、その適用を受ける可能性(域外適用)が生じる可能性がある。一方で、東南アジア諸国連合(ASEAN)諸国には、個人情報保護に関して複数の国際協定が関係する。例えば「ASEAN個人情報保護フレームワークPDFファイル(外部サイトへ、新しいウィンドウで開きます)(45.76KB)」(2016年11月制定)は、個人情報保護および越境データ移転に関しASEANの共通ルールを定めたものだ。ただし、同フレームワークは法的拘束力がなく、加盟国に自主的な対応が任されている。

一方、「環太平洋パートナーシップに関する包括的および先進的な協定(CPTPP、いわゆるTPP11)」では、個人情報を含むデータの自由移転やデータサーバーの国内設置要求の禁止を規定するなど、先進的な内容が盛り込まれている(注)。また、ASEAN全加盟国参加の「地域的な包括的経済連携(RCEP)協定」も、電子商取引促進のためにデータ・フリーフローなどが盛り込まれた。これらにより、域内外での環境整備が進むことに期待したい。

このように、国境をまたいで個人情報を扱う際、企業は活動を行う国だけでなく、データ移転先の国の法律・規制状況を確認する必要がある。各国の個人情報保護法には、しばしば規程に違反した場合の罰則についても定められるので注意が必要だ。例えばシンガポールの改正個人情報保護法では、企業・団体が法令に違反した場合、罰金として、年間売上高が1,000万シンガポール・ドル(約8億1,000万円、Sドル、1Sドル=約81円)以上の企業には年間売上高の10%、それ以外の企業は100万Sドルを上限に科せられる。世界的にも、本分野は関心が高まっているため、ルールは今後も変化していく可能性がある。日頃から関連情報を収集し、適切な個人情報管理に努めることが肝要だろう。


注:
TPP11には、現時点で、ASEANからシンガポール、ベトナム、マレーシア、ブルネイが加盟している。ただし、マレーシアとブルネイについては、2021年7月現在未発効。
執筆者紹介
ジェトロ・ジャカルタ事務所
上野 渉(うえの わたる)
2012年、ジェトロ入構。総務課(2012年~2014年)、ジェトロ・ムンバイ事務所(2014年~2015年)、企画部企画課海外地域戦略班(ASEAN)(2015年~2019年)を経て現職。ASEANへの各種政策提言活動、インドネシアにおける日系中小企業支援を行う。

この情報はお役に立ちましたか?

役立った

役立たなかった

ご質問・お問い合わせ