icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

2022年の振り返りと2023年の展望 ~アジア編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

著者等
長谷川良和鹿はせる福本尚記(共著)
出版社
長島・大野・常松法律事務所
書籍名・掲載誌
NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~No.25(2023年2月)
関連情報

本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.21(2023年1月)「2022年の振り返りと2023年の展望 ~日本編~
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~
No.24(2023年2月)「2022年の振り返りと2023年の展望 ~欧州編~

特集
個人情報保護・データプロテクション

業務分野
キーワード
※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

 2022年は、アジアでも個人情報保護・データプライバシーに関して各種の重要な動きが見られた一年になりました。そこで、日本編米国編及び欧州編に続く本シリーズの最終回としていて、日系企業にとって特に重要と思われる中国を含むアジアにおける個人情報保護・プライバシーに関する動きについて振り返ると共に、2023年の展望についてご紹介します。

重要な法令改正・当局ガイダンス

(1) 中国~個人情報保護・データセキュリティに関するデータ三法の具体化~

 中国では2021年までに「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」のいわゆるデータ三法が成立し、個人情報保護及びデータセキュリティに関する基本法制は整備されました。しかし、各法律では情報の越境移転等の具体的なルールは下位規則に委ねられるとされており、2022年にはそれらの下位規則の法案が相次いで公表又は成立・施行されました。

 日系企業にとって特に関心が高い個人情報・データの越境移転については、概ね、個人に対する告知・同意の取得の他、①当局の安全評価審査を経る、②(海外の情報受領者がグループ内である場合等)専門機関による保護認証を取得する、又は③当局の定める標準契約を海外の情報受領者との間で締結することにより、中国からの越境移転が認められることとなりました。このうち、①については、2022年7月7日に「データ越境移転安全評価弁法」が成立し、9月より施行されています。②については、2022年6月24日に「個人情報の越境処理活動に関する安全認証規範」、12月6日にそのVer.2.0が公表されています。③については、「個人情報のデータ越境標準契約規定」のパブリックコメント版が公表されていますが、未だに成立・施行されていません※1。特に重要な点は、一定の要件を満たす個人情報及び重要データについては、個人の同意又は②③の要件にかかわらず、越境移転させる場合には①の当局による安全評価審査が必要とされることにあり、事業者はこの点や各下位規則の内容も踏まえた対応を行う必要があります。

(2) タイ~個人情報保護法の全面施行~

 2020年に全面施行が予定されながら二度に亘り事業者の義務に係る主要部分の施行が延期されていたタイの個人情報保護法が、2022年6月1日に遂に全面的に施行されました※2

 また、施行後も以下のような下位規則等の整備が着々と進んでおり、事業者はこれらの下位規則やガイドライン等も踏まえて対応を行う必要があります。

  • 2022年6月20日に、①情報管理者に課される処理記録保持義務が免除される事業者、②情報処理者において処理記録を作成・保管するための基準及び方法、③情報管理者によるセキュリティ対策実施の具体化、④罰則の適用に際しての基準に関する告示が出されました。①③④は告示の翌日の2022年6月21日、②は公布から180日後の2022年12月17日から施行されています。
  • 2022年9月7日に、情報主体からの同意取得方法に関するガイドライン及び情報主体に対する取得目的等の通知に関するガイドラインが公表されました。
  • 2022年9月29日に、越境移転に関する告示の草案が公表されてパブリックコメントの募集が行われています※3
  • 2022年12月15日に、データ侵害発生時の報告義務に関する告示が出され、同日施行されています。

 既に多くの日系企業は個人情報保護法対応に取り組んでいると思われますが、未対応の事業者は対応が急務となりますので、ご注意ください。

 また、今後も、越境移転に関する下位規則の動向を含め、引き続き下位規則・ガイドラインの動向を注視する必要があります。

(3) インドネシア~個人情報保護法の制定~

 2022年10月17日、インドネシアの個人情報保護法が、大統領の署名を受け、制定されました。同法には欧州のGDPRの強い影響が見受けられます※4

 同法制定以前、インドネシアでは、各事業分野に応じて個別に個人情報の取扱いについて規制がされていた他、電子システム上で取り扱われる個人情報については通信情報大臣令2016年第20号や政令2019年第71号が規制を定めているという状況でした。これに対し、同法は包括的に個人情報の保護を定めたものであり、事業分野にかかわらず、また、電子システム上の取扱いであるか否かにかかわらず適用されます。また、同法所定の行為を行う者であれば、当該行為がインドネシア国内で行われる場合のみならず、インドネシア国外で行われる場合でも、インドネシア国内にその法的影響が及ぶ場合、又は国外所在のインドネシア人である情報主体にその法的影響が及ぶ場合には、同法の適用(域外適用)対象とされていますので、日系企業を含む広い範囲の事業者に影響を与えると思われます。

 同法はデータ管理者による同法遵守の準備期間として2年の猶予期間を設けておりますので、猶予期間を含めて考えると、2024年10月までに同法を遵守するための体制を構築する必要があります。今後、下位規則の整備やガイドラインによる規制内容の明確化が図られていくと思われますので、動向を注視する必要があります。

(4) ベトナム~サイバーセキュリティ法の施行規則を定める政令53号の制定~

 ベトナムには個人情報保護に関する包括的な法令は存在せず、個別の法令が関連する規制を行っています。そのうちの一つのサイバーセキュリティ法は、ベトナムにおいてオンラインサービスを提供する企業等を対象に、一定の場合にデータをベトナム国内に保存する義務(いわゆるデータローカライゼーション)を課していますが、これまで政令が制定されていなかったため、その詳細が不明であり、実務上もデータ保存義務は空文化していました。

 しかしながら、2022年8月15日に、サイバーセキュリティ法の施行規則を定める政令53号が制定され、データ保存義務の対象となるデータやデータ保存義務が課される場面等の詳細が明らかになりました。

 当該政令は2022年10月1日から施行されており、当局の運用状況も含め引き続き注視する必要があります。

(5) シンガポール・オーストラリア~罰則の強化等~

 シンガポールにおいては、2022年10月1日付けで、事業者による個人情報保護に関する所定の義務違反時の制裁金上限を引き上げる改正個人情報保護法が施行されています。従前、かかる違反時の制裁金上限は100万シンガポールドル(約1億円)とされていましたが、新たに施行された規定では、①シンガポール国内の年間売上が1,000万シンガポールドル(約10億円)超の事業者については当該事業者のシンガポール国内売上額の10%、②それ以外の場合は1,000万シンガポールドルが上限となりました。

 オーストラリアにおいても、2022年12月に改正プライバシー法が公布、施行され、罰則及び執行権限の強化等※5がなされました。例えば、重大なプライバシー侵害又は反復してプライバシー侵害を行った法人事業者に対する民事罰は、従前、上限が222万豪ドル(約2億400万円)とされていましたが、新たに施行された規定では、①5,000万豪ドル(約46億円)、②当該行為から事業者又はその関係会社が得た利得額を裁判所が決定可能な場合は当該額の3倍、③裁判所が当該利得額を決定できない場合は当該行為があった期間の所定の年間連結売上(侵害継続期間が12ヶ月未満の場合には、12ヶ月の金額に調整)の30%のうち最も高い金額が上限となります。オーストラリアにおいては、大手電気通信会社が2022年9月にサイバー攻撃を受けて900万人以上の個人情報が漏えいする等、重大な漏えい事故が発生しており、このような事故の発生も改正の動きを加速させました。

 これらの国々では、法令違反時や漏えい等のデータ侵害の発生時のリスクが上昇していますので、事業者は当該リスクに見合った管理体制を構築できているか、改めて法令遵守体制を確認することが考えられます。

注目を集めたトピック~インドにおける2019年個人情報保護法案の白紙撤回~

 インドには、個人情報保護に関する包括的な法令は存在せず、IT分野についてのみ、2000年情報技術法に基づく限定的な規制が存在します。かかる法制を背景に、2019年12月に個人情報保護のための包括的な法令として個人情報保護法案が国会に上程され、以来、同法案の内容について多くの議論がなされ、日系企業を含め多くの企業が注目していました。

 しかしながら、2022年8月3日、インド政府は同法案を白紙撤回しました。インド政府は、白紙撤回の理由について、同法案を検討するための議会合同委員会から多数の修正提案及び勧告があったことを受け、同法案とは異なる枠組みを用いて整理すべきと考えたことを挙げています。

2023年の展望

(1) 中国~データ三法の包括的な下位規則等の制定~

 中国国務院が公表している立法計画によれば、「サイバーデータセキュリティ管理条例」及び「未成年サイバー保護条例」等の制定が予定されており、前者はデータ三法の包括的な下位規則として、データ三法に定められた抽象的なルールを明確・具体化するものとなる見込みとのことであり、注目されます。

 また、越境移転を行う際に必ず当局による安全評価審査が求められる「重要データ」については、「重要性」の判断が企業にとって困難とされてきましたが、「サイバーデータセキュリティ管理条例」の他、当局及び各業界団体によるガイドラインが制定されることで、判断の基準が明確となることが期待されています。

(2) インド~デジタル個人情報保護法案の草稿の公開~

 上記のとおり、従前国会に上程されていた個人情報保護法案が白紙撤回されたインドですが、約3ヶ月後の2022年11月18日に電子情報技術省が新たにデジタル個人情報保護法案の草稿を公開しています※6

 その適用範囲はオンラインで収集された個人情報及びオフラインで収集されてデジタル化された個人情報の取扱いに限定されており、また条文数も従前の個人情報保護法案と比べて3分の1以下に減る等、重点分野に特化した構成となっています。

 詳細は割愛しますが、主要な事項として例えば以下のような内容が規定されています。

  • 個人情報の取得等について原則情報主体への目的通知と情報主体の同意取得を必要とする旨
  • 情報受託者※7による個人情報の安全管理その他取扱いに係る各種義務
  • 情報受託者による個人情報の国外への越境移転について、中央政府が特定の国や地域について当該移転を認めるための条件を指定できる旨。なお、従前の法案と異なり、インド国内における情報保存義務は規定されていない。
  • 中央政府が別途指定する類型の重要情報受託者について、インドに所在する情報保護責任者の選任や同法遵守を評価する独立情報監査人の選任等を必要とする旨
  • 情報主体の各種権利
  • デジタル個人情報の取扱いがインド国内の情報主体等への商品又は役務の提供の分析等又は活動に関連する場合には、インド国外におけるデジタル個人情報の取扱いにも域外適用される旨

 仮に新法が成立すれば、インドビジネスに関わる多くの日系企業にも影響を与えることが予想されますので、今後の法改正動向を注視する必要があります。

(3) マレーシア~個人情報保護法改正の動向~

 個人情報保護法が既に導入されているマレーシアでは、2022年8月4日に、通信マルチメディア大臣が以下の内容を含むより厳格な規制の導入を企図する個人情報保護法改正案を同年10月に議会に上程する予定であると発表しました※8

  • 情報使用者※9における情報保護責任者の選任義務の導入
  • 違反事故が生じた場合の個人情報保護委員会への通知義務の導入
  • 情報主体の個人情報を他の情報使用者に移転する義務を負う、いわゆるデータポータビリティに関する規定の導入
  • 越境移転について、ホワイトリスト法域を指定する方法に代えて、ブラックリスト法域として指定された地域への個人情報の国外移転を禁止するという方法への転換

 未だ改正案の上程や法制化は実現していませんが、仮に改正案どおりに法制化が実現する場合には、情報使用者は新たに情報保護責任者を選任する等、日系企業としても法改正対応が必要となることから、法制化に向けた今後の動向を注視する必要があります。

(4) 韓国~個人情報保護法改正の動向~

 2022年12月5日に、改正個人情報保護法案が国会の国家政策委員会を通過しています。当該改正法案は、情報主体の権利の拡張、オンラインサービスプロバイダーにのみ適用される条項の一般条項への統合、特定の経済的制裁を伴う刑事罰の行政罰への転換(ただし、制裁金の基準額は上方修正されます。)等を内容とするものであり、引き続き今後の法制化に向けた状況を注視する必要があります。

脚注一覧

※1
①についてはアジア最新法律情報2023年1月No.137、個人情報保護・データプライバシーニュースレター2023年1月No.22合併号(「中国からの情報・データの越境移転に必要な安全評価申告の動向」)、②及び③についてはアジア最新法律情報2022年10月No.127(「中国におけるデータプロテクション規制の最新動向(個人情報国外移転標準契約規定の制定及びインターネット安全法の改正に関するパブコメ)」)及び個人情報保護・データプライバシーニュースレター2022年7月No.18(「中国における個人情報越境移転のための標準契約等の公表」)をご参照ください。また、個人情報保護法成立以降の処罰事例及び日系企業の留意点については、アジア最新法律情報2022年6月No.112(「中国個人情報保護法施行後の処罰事例及び日本企業の留意点」)をご参照ください。

※2
全面施行にあたってのチェックポイントは、アジア最新法律情報2022年6月No.111(「個人情報保護法:①全面施行にあたってのチェックポイントと②下位規則の制定状況を踏まえた今後の注意点」)をご参照ください。

※3
当該草案の概要についてはNO&T Thailand Legal Update(November, 2022)No.21(「Draft of the PDPC Notification on International Transfers of Personal Data」)をご参照ください。

※4
同法の内容については、アジア最新法律情報2022年11月No.128(「個人情報保護法の制定(前編)-個人データの定義、適用対象、個人データの取扱い、本人の権利-」)及びアジア最新法律情報2022年12月No.132(「個人情報保護法の制定(後編)-データ保護責任者の選任、越境移転規制、制裁、その他-」)をご参照ください。

※5
その他、域外適用要件の見直し、データ侵害発生時に当局へ通知すべき情報の具体化等の改正も行われています。

※6
当該草案の概要については、NO&T Asia Legal Review(January, 2023)No.55(「The Draft Digital Personal Data Protection Bill, 2022」)をご参照ください。

※7
個人情報の取扱いの目的及び態様を決定する者(GDPRでいうところのデータ管理者とほぼ同じ概念だと考えられます。)をいいます。

※8
マレーシアの個人情報保護法の法制、適用範囲及び改正動向については、アジア最新法律情報2022年10月No.126(「マレーシア個人情報保護法の改正動向」)をご参照ください。

※9
個人情報を取り扱い、又は個人情報を管理し若しくは取扱いの指示をする者(専らその者のために情報を取り扱い、独自の目的をもって取り扱わない者は含みません。)をいいます。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

決定 業務分野を選択
決定