長谷川良和 Yoshikazu Hasegawa
パートナー
シンガポール
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.21(2023年1月)「2022年の振り返りと2023年の展望 ~日本編~」
No.23(2023年2月)「2022年の振り返りと2023年の展望 ~米国編~」
No.24(2023年2月)「2022年の振り返りと2023年の展望 ~欧州編~」
中国では2021年までに「サイバーセキュリティ法」、「データセキュリティ法」及び「個人情報保護法」のいわゆるデータ三法が成立し、個人情報保護及びデータセキュリティに関する基本法制は整備されました。しかし、各法律では情報の越境移転等の具体的なルールは下位規則に委ねられるとされており、2022年にはそれらの下位規則の法案が相次いで公表又は成立・施行されました。
日系企業にとって特に関心が高い個人情報・データの越境移転については、概ね、個人に対する告知・同意の取得の他、①当局の安全評価審査を経る、②(海外の情報受領者がグループ内である場合等)専門機関による保護認証を取得する、又は③当局の定める標準契約を海外の情報受領者との間で締結することにより、中国からの越境移転が認められることとなりました。このうち、①については、2022年7月7日に「データ越境移転安全評価弁法」が成立し、9月より施行されています。②については、2022年6月24日に「個人情報の越境処理活動に関する安全認証規範」、12月6日にそのVer.2.0が公表されています。③については、「個人情報のデータ越境標準契約規定」のパブリックコメント版が公表されていますが、未だに成立・施行されていません※1。特に重要な点は、一定の要件を満たす個人情報及び重要データについては、個人の同意又は②③の要件にかかわらず、越境移転させる場合には①の当局による安全評価審査が必要とされることにあり、事業者はこの点や各下位規則の内容も踏まえた対応を行う必要があります。
2020年に全面施行が予定されながら二度に亘り事業者の義務に係る主要部分の施行が延期されていたタイの個人情報保護法が、2022年6月1日に遂に全面的に施行されました※2。
また、施行後も以下のような下位規則等の整備が着々と進んでおり、事業者はこれらの下位規則やガイドライン等も踏まえて対応を行う必要があります。
既に多くの日系企業は個人情報保護法対応に取り組んでいると思われますが、未対応の事業者は対応が急務となりますので、ご注意ください。
また、今後も、越境移転に関する下位規則の動向を含め、引き続き下位規則・ガイドラインの動向を注視する必要があります。
2022年10月17日、インドネシアの個人情報保護法が、大統領の署名を受け、制定されました。同法には欧州のGDPRの強い影響が見受けられます※4。
同法制定以前、インドネシアでは、各事業分野に応じて個別に個人情報の取扱いについて規制がされていた他、電子システム上で取り扱われる個人情報については通信情報大臣令2016年第20号や政令2019年第71号が規制を定めているという状況でした。これに対し、同法は包括的に個人情報の保護を定めたものであり、事業分野にかかわらず、また、電子システム上の取扱いであるか否かにかかわらず適用されます。また、同法所定の行為を行う者であれば、当該行為がインドネシア国内で行われる場合のみならず、インドネシア国外で行われる場合でも、インドネシア国内にその法的影響が及ぶ場合、又は国外所在のインドネシア人である情報主体にその法的影響が及ぶ場合には、同法の適用(域外適用)対象とされていますので、日系企業を含む広い範囲の事業者に影響を与えると思われます。
同法はデータ管理者による同法遵守の準備期間として2年の猶予期間を設けておりますので、猶予期間を含めて考えると、2024年10月までに同法を遵守するための体制を構築する必要があります。今後、下位規則の整備やガイドラインによる規制内容の明確化が図られていくと思われますので、動向を注視する必要があります。
ベトナムには個人情報保護に関する包括的な法令は存在せず、個別の法令が関連する規制を行っています。そのうちの一つのサイバーセキュリティ法は、ベトナムにおいてオンラインサービスを提供する企業等を対象に、一定の場合にデータをベトナム国内に保存する義務(いわゆるデータローカライゼーション)を課していますが、これまで政令が制定されていなかったため、その詳細が不明であり、実務上もデータ保存義務は空文化していました。
しかしながら、2022年8月15日に、サイバーセキュリティ法の施行規則を定める政令53号が制定され、データ保存義務の対象となるデータやデータ保存義務が課される場面等の詳細が明らかになりました。
当該政令は2022年10月1日から施行されており、当局の運用状況も含め引き続き注視する必要があります。
シンガポールにおいては、2022年10月1日付けで、事業者による個人情報保護に関する所定の義務違反時の制裁金上限を引き上げる改正個人情報保護法が施行されています。従前、かかる違反時の制裁金上限は100万シンガポールドル(約1億円)とされていましたが、新たに施行された規定では、①シンガポール国内の年間売上が1,000万シンガポールドル(約10億円)超の事業者については当該事業者のシンガポール国内売上額の10%、②それ以外の場合は1,000万シンガポールドルが上限となりました。
オーストラリアにおいても、2022年12月に改正プライバシー法が公布、施行され、罰則及び執行権限の強化等※5がなされました。例えば、重大なプライバシー侵害又は反復してプライバシー侵害を行った法人事業者に対する民事罰は、従前、上限が222万豪ドル(約2億400万円)とされていましたが、新たに施行された規定では、①5,000万豪ドル(約46億円)、②当該行為から事業者又はその関係会社が得た利得額を裁判所が決定可能な場合は当該額の3倍、③裁判所が当該利得額を決定できない場合は当該行為があった期間の所定の年間連結売上(侵害継続期間が12ヶ月未満の場合には、12ヶ月の金額に調整)の30%のうち最も高い金額が上限となります。オーストラリアにおいては、大手電気通信会社が2022年9月にサイバー攻撃を受けて900万人以上の個人情報が漏えいする等、重大な漏えい事故が発生しており、このような事故の発生も改正の動きを加速させました。
これらの国々では、法令違反時や漏えい等のデータ侵害の発生時のリスクが上昇していますので、事業者は当該リスクに見合った管理体制を構築できているか、改めて法令遵守体制を確認することが考えられます。
インドには、個人情報保護に関する包括的な法令は存在せず、IT分野についてのみ、2000年情報技術法に基づく限定的な規制が存在します。かかる法制を背景に、2019年12月に個人情報保護のための包括的な法令として個人情報保護法案が国会に上程され、以来、同法案の内容について多くの議論がなされ、日系企業を含め多くの企業が注目していました。
しかしながら、2022年8月3日、インド政府は同法案を白紙撤回しました。インド政府は、白紙撤回の理由について、同法案を検討するための議会合同委員会から多数の修正提案及び勧告があったことを受け、同法案とは異なる枠組みを用いて整理すべきと考えたことを挙げています。
中国国務院が公表している立法計画によれば、「サイバーデータセキュリティ管理条例」及び「未成年サイバー保護条例」等の制定が予定されており、前者はデータ三法の包括的な下位規則として、データ三法に定められた抽象的なルールを明確・具体化するものとなる見込みとのことであり、注目されます。
また、越境移転を行う際に必ず当局による安全評価審査が求められる「重要データ」については、「重要性」の判断が企業にとって困難とされてきましたが、「サイバーデータセキュリティ管理条例」の他、当局及び各業界団体によるガイドラインが制定されることで、判断の基準が明確となることが期待されています。
上記のとおり、従前国会に上程されていた個人情報保護法案が白紙撤回されたインドですが、約3ヶ月後の2022年11月18日に電子情報技術省が新たにデジタル個人情報保護法案の草稿を公開しています※6。
その適用範囲はオンラインで収集された個人情報及びオフラインで収集されてデジタル化された個人情報の取扱いに限定されており、また条文数も従前の個人情報保護法案と比べて3分の1以下に減る等、重点分野に特化した構成となっています。
詳細は割愛しますが、主要な事項として例えば以下のような内容が規定されています。
仮に新法が成立すれば、インドビジネスに関わる多くの日系企業にも影響を与えることが予想されますので、今後の法改正動向を注視する必要があります。
個人情報保護法が既に導入されているマレーシアでは、2022年8月4日に、通信マルチメディア大臣が以下の内容を含むより厳格な規制の導入を企図する個人情報保護法改正案を同年10月に議会に上程する予定であると発表しました※8。
未だ改正案の上程や法制化は実現していませんが、仮に改正案どおりに法制化が実現する場合には、情報使用者は新たに情報保護責任者を選任する等、日系企業としても法改正対応が必要となることから、法制化に向けた今後の動向を注視する必要があります。
2022年12月5日に、改正個人情報保護法案が国会の国家政策委員会を通過しています。当該改正法案は、情報主体の権利の拡張、オンラインサービスプロバイダーにのみ適用される条項の一般条項への統合、特定の経済的制裁を伴う刑事罰の行政罰への転換(ただし、制裁金の基準額は上方修正されます。)等を内容とするものであり、引き続き今後の法制化に向けた状況を注視する必要があります。
※1
①についてはアジア最新法律情報2023年1月No.137、個人情報保護・データプライバシーニュースレター2023年1月No.22合併号(「中国からの情報・データの越境移転に必要な安全評価申告の動向」)、②及び③についてはアジア最新法律情報2022年10月No.127(「中国におけるデータプロテクション規制の最新動向(個人情報国外移転標準契約規定の制定及びインターネット安全法の改正に関するパブコメ)」)及び個人情報保護・データプライバシーニュースレター2022年7月No.18(「中国における個人情報越境移転のための標準契約等の公表」)をご参照ください。また、個人情報保護法成立以降の処罰事例及び日系企業の留意点については、アジア最新法律情報2022年6月No.112(「中国個人情報保護法施行後の処罰事例及び日本企業の留意点」)をご参照ください。
※2
全面施行にあたってのチェックポイントは、アジア最新法律情報2022年6月No.111(「個人情報保護法:①全面施行にあたってのチェックポイントと②下位規則の制定状況を踏まえた今後の注意点」)をご参照ください。
※3
当該草案の概要についてはNO&T Thailand Legal Update(November, 2022)No.21(「Draft of the PDPC Notification on International Transfers of Personal Data」)をご参照ください。
※4
同法の内容については、アジア最新法律情報2022年11月No.128(「個人情報保護法の制定(前編)-個人データの定義、適用対象、個人データの取扱い、本人の権利-」)及びアジア最新法律情報2022年12月No.132(「個人情報保護法の制定(後編)-データ保護責任者の選任、越境移転規制、制裁、その他-」)をご参照ください。
※5
その他、域外適用要件の見直し、データ侵害発生時に当局へ通知すべき情報の具体化等の改正も行われています。
※6
当該草案の概要については、NO&T Asia Legal Review(January, 2023)No.55(「The Draft Digital Personal Data Protection Bill, 2022」)をご参照ください。
※7
個人情報の取扱いの目的及び態様を決定する者(GDPRでいうところのデータ管理者とほぼ同じ概念だと考えられます。)をいいます。
※8
マレーシアの個人情報保護法の法制、適用範囲及び改正動向については、アジア最新法律情報2022年10月No.126(「マレーシア個人情報保護法の改正動向」)をご参照ください。
※9
個人情報を取り扱い、又は個人情報を管理し若しくは取扱いの指示をする者(専らその者のために情報を取り扱い、独自の目的をもって取り扱わない者は含みません。)をいいます。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
若江悠
(2024年12月)
前川陽一
(2024年12月)
前川陽一
(2024年11月)
福井信雄