長谷川良和 Yoshikazu Hasegawa
パートナー
シンガポール
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、5回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.50(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~日本編~」
No.51(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~米国編~」
No.52(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~欧州編~」
No.54(2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~東アジア編~」
ニュースレター
個人情報保護法の制定(前編) -個人データの定義、適用対象、個人データの取扱い、本人の権利-(インドネシア)(2022年11月)
個人情報保護法の制定(後編) -データ保護責任者の選任、越境移転規制、制裁、その他-(インドネシア)(2022年12月)
個人データ保護に関する政令(ベトナム)(2023年5月)
個人情報保護法違反を理由に制裁金が課された初めての事例(タイ)(2024年9月)
個人データの消去・破棄・匿名化の基準に関する下位規則の制定(タイ)(2024年10月)
Introduction to new Data Law (Vietnam)(2025年1月)
東南アジア主要国及びインドにおける昨年から現在までの個人情報保護・データプライバシーに関する動きは、主に以下のとおりです(年数の記載がないものは、2024年中の出来事を示しています。)。
2024年7月31日、マレーシア上院は、個人データ保護法(以下「PDPA」といいます。)※1の改正法案を可決しました。改正法は2024年12月24日に公布され、事業者にとって主要な規定は以下のとおり段階的に施行予定です。
改正PDPAは、大要、以下のような内容を含んでいます。
| 項目 | 改正前 | 改正後 |
|---|---|---|
| 1. データ保護責任者(DPO)の選任義務 | データ管理者及びデータ処理者にDPO選任義務なし |
|
| 2. 個人データ漏えい時の通知義務 | データ漏えい発生時の当局又は本人宛通知義務なし |
|
| 3. 越境移転先国に着目した越境移転要件の変更 | 官報に公示された通知に指定された国(ホワイトリスト国)にのみ許容される(※現在、指定国なし) |
|
| 4. データポータビリティ権の新設 | データポータビリティ権に関する規定なし |
|
| 5. 主要なデータ保護原則違反時の罰則強化 | 30万リンギット(約1,055万円)※2以下の罰金、若しくは2年以下の禁錮、又はその併科 |
|
| 6. 機微な個人データの定義拡大 | 生体データは機微な個人データに含まれない |
|
2024年11月、当局はPDPAに基づく4つのガイドライン案(①個人データ漏えい通知、②DPO、③データポータビリティ、④個人データ越境移転に関するもの)を2025年の早い時期に発令予定である旨を公表しており、これらのガイドラインを通じて、改正PDPAの具体的な運用方法等が示されることが見込まれています。そのため、同法の適用を受ける事業者は、これらのガイドラインの発令状況を注視し、発令後はその内容を確認し、適切な対応を行う必要があります。
ベトナムでは、2023年7月1日、初の個人情報保護に関する包括的な法令である個人データ保護政令(以下「PDPD」といいます。)※3が施行される一方、事業者がPDPDの規定に違反した場合の罰則が定められていませんでしたが、2024年6月に、PDPD違反時の処分に関する政令が施行されるに至りました。
2024年9月24日、新たにベトナム個人データ保護法(以下「PDPL」といいます。)の草案が公開されました。PDPDは、サイバーセキュリティ法に基づく下位規則として位置づけられていますので、PDPLが成立すれば、ベトナムにおける個人データ保護法制が、政令から法律に格上げされることになります※4。PDPLは、PDPDよりも適用対象範囲が広く、PDPDよりも厳しい要件が課されていることに留意が必要です。PDPLでは、暫定的な施行時期が2026年1月1日に指定されており、一部※5を除き、猶予期間が設けられていないことに留意が必要です。
2024年11月30日、ベトナム国会はデータ法案を可決しました。データ法は、個人データのみならず、非個人データも対象としている点に特徴があり、また、ベトナム国内の事業者のみならず、ベトナム国内のデジタルデータ活動に直接関与する外国企業にも適用されます。また、同法は、適用対象となるデータを「コアデータ」、「重要データ」、「その他のデータ」に分類した上で、越境移転等、データの分類に応じて特別の要求事項を定めているため、同法の適用対象となる日系企業は、自社が取り扱うデータを分類管理することが求められる点に留意が必要です。他方で、「コアデータ」及び「重要データ」の判断基準や越境移転規制の詳細を含む多くの要求事項については未だ詳細が明らかでなく、政府の今後のガイダンスに委ねられています※6。データ法は、2025年7月1日から施行される予定です。
2023年8月、インド初の包括的な個人情報保護法であるデジタル個人データ保護法(Digital Personal Data Protection Act, 2023)(以下「DPDPA」といいます。)が成立しましたが、現時点においても、施行時期は未定のままです※7。
そのような状況下、2025年1月3日、インド政府は個人データ保護規則案を公表し、2025年2月18日まで意見募集を行っています※8。この規則案では、データ主体からの同意取得時の通知内容、最低限講ずるべき安全管理措置の内容、個人データ漏えい時の当局及びデータ主体宛通知の内容等が含まれています。そのため、DPDPAの適用を受ける日系企業は、同規則の成立及び施行に向けた状況を注視し、当該施行時まではその内容に従って、プライバシーポリシーの内容を整備し、安全管理体制や個人データ漏えい時の体制を整備しておくことが重要です。
インドネシアでは、2024年10月17日、個人データ保護法(以下「PDP」といいます。)がその制定から2年間の移行期間を経て、全面施行されました※9。PDPの主なポイントは、以下のとおりです。
本法の適用を受ける日系企業は、プライバシーポリシーの整備や、本人同意の取得等の対応が急務であり、また、詳細な施行規則やガイドラインが今後制定される予定であるため、当該動向を注視するとともにそれらに基づく具体的な実務対応を求められることにも留意が必要です。
タイにおける個人データ越境移転の枠組みとしては、個人データの移転を許可する国・地域をPDPC(データ保護当局)が認定するホワイトリスト方式が採用されていますが、拘束的企業準則(BCR)、標準契約条項(SCC)又はデータ主体の同意がある場合には、ホワイトリストに登録されていない国への移転も許容されます。越境移転に関連して、2024年3月24日、以下の2つの告示が施行されました。
また、2024年8月、個人データの消去・破棄・匿名化の基準に関する下位規則が制定され、同年11月11日に施行されました。同下位規則は、データ主体から個人データの消去等を請求されたときに、データ管理者が個人データを消去等するための手続・方法や個人データを匿名化する際に採るべき措置の手順を規定するものです※10。
2024年8月には、個人データ保護法違反に対する初の制裁金事例がPDPCによって公表されました※11。この事例は、個人データの侵害事案に端を発して、DPOの未設置、不十分な安全管理体制が発覚したこと等を理由に制裁金が課されたものであり、事業者にとって重要な教訓が得られる事例と言えます。
シンガポールでは、2024年1月、情報通信メディア開発庁(IMDA)がModel AI Governance Framework(Generative AI)を発表し、5月に最終化されました※12。このフレームワークは、政府が2019年1月に策定した既存のAIガバナンス・フレームワーク(2020年1月に第二版策定)に関して、生成AIに対応したフレームワークを提案するものです。信頼性のある生成AIを構築するための9つの分野及び事業者が採るべき行動指針を提供しています。EUや韓国等、包括的なAI法を導入する動きが見られ、各国でも法規制の導入を検討する動きが加速していますが、シンガポールでは、現時点ではAIに関して法的拘束力を持たないソフトローアプローチを採用する方針が維持されていると言えます。
上記で紹介したマレーシアの個人データ保護法改正への対応として今後発令される予定のガイドラインの状況等も踏まえ、改正法の施行までに、データ保護体制の整備を進める必要があります。特に、2025年6月1日に施行予定のデータ保護責任者(DPO)の選任義務や個人データ漏えい時の通知義務等は、広い範囲の事業者に適用されることが見込まれるため、適時に法令改正対応を図ることが重要となります。
上記で紹介した2025年7月1日から施行予定であるベトナムのデータ法導入への対応について、規制対象データの判断基準や越境移転規制の詳細を含む多くの要求事項については未だ詳細が明らかでなく、政府の今後のガイダンスに委ねられていることから、かかるガイダンスの状況を注視しつつ、体制整備を進める必要があります。
※1
正式名称は、The Personal Data Protection Act 2010 [Act 709]
※2
1リンギット=約35.15円(現在為替)で計算。以下同様。
※3
正式名称は、個人データ保護に関する政令第13/2023/ND-CP号。政令13号の概要については、アジア最新法律情報No.150/個人情報保護・データプライバシーニュースレター No.28「個人データ保護に関する政令(ベトナム)」をご参照ください。
※4
もっとも、PDPLの成立によってPDPDが廃案になるかどうかについては、PDPLの文言上、必ずしも明らかではありません。
※5
零細企業、中小企業及びスタートアップについては、データ保護部門の設置を2年間免除されます。
※6
詳細については、NO&T Asia Legal Review No.94「Introduction to new Data Law (Vietnam)」をご参照ください。
※7
DPDPAを含むインドの個人情報保護法制を解説するものとして、山本匡・椎名紗彩著「インドの個人情報保護法制」(上)(下)(NBL No.1268、1270)を参照。
※9
詳細については、アジア最新法律情報No.128「個人情報保護法の制定(前編) -個人データの定義、適用対象、個人データの取扱い、本人の権利(インドネシア)」及びNo.132「個人情報保護法の制定(後編) -データ保護責任者の選任、越境移転規制、制裁、その他-(インドネシア)」をご参照ください。
※10
詳細については、アジア最新法律情報No.213/個人情報保護・データプライバシーニュースレターNo.49「個人データの消去・破棄・匿名化の基準に関する下位規則の制定(タイ)」をご参照ください。
※11
詳細については、アジア最新法律情報No.205/個人情報保護・データプライバシーニュースレターNo.48「個人情報保護法違反を理由に制裁金が課された初めての事例(タイ)」ご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
(2025年1月)
澤山啓伍
東崎賢治、羽鳥貴広、加藤希実(共著)
(2025年3月)
東崎賢治、鳥巣正憲(共著)
殿村桂司、小松諒(共著)
殿村桂司、松﨑由晃(共著)
殿村桂司、小松諒(共著)
殿村桂司、松﨑由晃(共著)
殿村桂司、松﨑由晃、近藤正篤(共著)
殿村桂司、松﨑由晃、近藤正篤(共著)
(2025年2月)
殿村桂司、小松諒、今野由紀子、松宮優貴(共著)
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
殿村桂司、近藤正篤、丸田颯人、小宮千枝(共著)
カラ・クエック、室憲之介(共著)
松本岳人
塚本宏達、福原あゆみ、小山田柚香(共著)
大久保涼、大橋史明(共著)
カラ・クエック、室憲之介(共著)
松本岳人
(2025年2月)
酒井嘉彦
(2025年1月)
前川陽一
