個人情報保護法の制定（後編） －データ保護責任者の選任、越境移転規制、制裁、その他－（インドネシア）

5. データ保護責任者の選任（続き）

　データ保護責任者（Data Protection Officer）の制度は、個人情報保護法令の遵守を確保するための施策としてEUのGDPRやシンガポールの個人情報保護法等においても導入されている。本法においても、データ管理者（単独又は共同で、個人データの取扱いの目的を決定し、管理を行う個人、法人、公的機関又は国際機関）及びデータ処理者（単独又は共同で、データ管理者に代わって、個人データの取扱いを行う個人、法人、公的機関又は国際機関）は、以下の場合、データ保護責任者を選任することが義務づけられている。

• (1) 個人データが公共サービスの利益のために取り扱われる場合
• (2) データ管理者の主たる活動が、定期的かつ系統的で大規模な個人データのモニタリングを必要とする性質、領域又は目的を有する場合
• (3) データ管理者の主たる活動が、特別個人データ（健康に関する情報、生体情報、遺伝子情報、犯罪歴、子どもに関する情報、個人の財産に関する情報等の取扱いにあたり本人に重大な影響を及ぼしうる情報）又は犯罪に関連する個人データに係る大規模な個人データの取扱いで構成される場合

　データ保護責任者は、プロフェッショナリズム、法律知識、個人情報保護に係る実務経験、義務履行能力等に基づいて選任される必要があるが、データ管理者及びデータ処理者の内部から選任することも外部の第三者を選任することも可能とされている。データ保護責任者の任務には、データ管理者及びデータ処理者へのアドバイスや本法の遵守状況のモニタリング等が含まれる。

6. 越境移転規制

　海外子会社等が現地で取得した個人情報を日本の親会社に移転する場合、個人情報の越境移転規制が問題となる。本法では、以下(1)～(3)のいずれかを満たす場合、データ管理者が個人データをインドネシア国外のデータ管理者又はデータ処理者に移転することが認められている。

• (1) 移転先国における個人情報保護の水準が本法と同等以上である場合
• (2) 十分かつ拘束力のある個人情報保護が確保されている場合
• (3) 本人からの同意を取得する場合

　もっとも、本法の定める要件は抽象的な内容に留まるため、具体的にどのように対応によって要件が充足されるのかについては、今後制定される政令等を通じて明確化される必要がある。

7. 制裁

1. 行政罰

　データ管理者及びデータ処理者は、本法の定める義務に違反したり、越境移転規制に違反した場合、①文書での戒告、②個人データの取扱いの一時的な停止、③個人データの消去・削除、④過料の対象になる。

2. 刑事罰

　本法上、以下(1)～(4)の禁止行為を故意に行った者は刑事罰の対象となる。また、いずれの禁止行為についても追加刑罰（犯罪行為によって得た利益、資産等の没収、補償金の支払い）が科される可能性もある。

　禁止行為が法人によって行われた場合、当該法人、マネージメント、実質的支配者等に対して刑罰が科される可能性がある。特に法人に対しては、罰金の上限額は上記金額の10倍とされている。さらに、追加刑罰として、①犯罪から得た利益、資産等の没収、②事業の全部又は一部の停止、③一定の行為の恒久的な禁止、④事業場等の全部又は一部の閉鎖、⑤懈怠していた義務の完全な履行、⑥補償金の支払い、⑦許認可の取消し、⑧解散が認められていることにも注意を要する。

8. その他

1. 合併、買収、解散等の場合の通知義務

　データ管理者は、合併、買収、解散等を行う場合、これに伴う個人データの移転について本人に通知しなければならない。通知は合併等の前後に行う必要があるが、通知方法としては、本人への個別の通知のほか、マスメディアを通じた公表も認められている。

　本通知義務により合併等のスケジュールに影響が生じるかどうかは現時点では明らかではなく、通知手続の詳細は今後制定される政令に定められる。

2. 2年間の移行期間

　本法については公布から2年間の移行期間が設けられている。したがって、データ管理者又はデータ処理者に該当する者は、2024年10月17日までに本法に対応した個人情報保護体制を整備する必要がある。