【最新情報】インドネシアの個人データ保護法 （PDP法）の成立

インドネシアの個人データ保護法（PDP法）の概要

2022年9月20日、インドネシア国会にて、8年以上にわたって議論されてきた個人データ保護法案が遂に可決されました。同法案は、官報で公告され、同年10月17日に「個人データ保護法」（以下「PDP法」）として施行されました。

インドネシア政府は、高度なデータ保護法制を備えた他国と、同水準までインドネシア国内のデータ保護水準を向上させるうえで、PDP法が極めて重要な役割を果たすものと考えています。インドネシアでは、データ・セキュリティに関する違反行為が相次いでおり、最近では、インドネシア政府のシステムに対してハッキングが行われ、政府の機密情報にアクセスがされるという事態も発生していました。

PDP法は、EU 一般データ保護規則（GDPR）に範をとり、あらゆる形態のデータ処理（取得、収集、保存、更新、修正、削除など）を対象として規制を行うものです。これまでのインドネシアのデータ保護法制は、部門・分野別に規制するアプローチをとり、多数の異なる規制に分散するかたちで、個人データ保護に係る規定を設けていたものでした。PDP法はインドネシアのデータ保護法制の基盤となるよう設計され、個人データ保護に関して一貫性のある一元的な基準を全産業分野に対して示すことが期待されています。

個人データの定義と概念

「個人データ」とは、個人（自然人）または「データ主体」に係るデータであって、電子的システムや、非電子的な手段の利用により、直接または間接的に、それ自体で、または他のデータと組み合わせて、個人が識別され、または個人を識別され得る個々のデータをいいます。

「個人データ」は、以下のように分類されます。

ア　「一般的個人データ」には、以下のデータが含まれます。
（1）氏名
（2）性別（ジェンダー）
（3）国籍
（4）宗教
（5）既婚・未婚の別
（6）個人を識別するために組み合わせられた個人データ

イ　「特定個人データ」には、以下のデータが含まれます。
（1）健康に関するデータおよび情報
（2）生体認証データ
（3）遺伝子データ
（4）犯罪歴
（5）子供に関するデータ
（6）個人の財務データ
（7）法令に定めるその他のデータ

PDP法導入にあたり、注目すべき変更点

PDP法により導入される、注目すべき要件や変更としては、以下の点が挙げられます。

1. 域外適用
   インドネシア国外に拠点を置く組織（個人、政府機関、及び国際機関を含みます）であっても、在外インドネシア人に影響を与えうる活動を行う場合やインドネシアに影響を及ぼしうる活動を行う場合には、PDP法の適用を受けます。
   
2. 「データ管理者」と「データ処理者」の区別*
   従前のデータプライバシー法制では、この２者が区別されていませんでした。
   
3. データ保護担当者の選任義務
   PDP法に定められる一定の事由に該当する場合には、選任義務が課されます。選任を要する事由の一つには、「データ管理者」の主業務が、個人データに関する大規模、高頻度、かつ体系的な監視を伴う場合、が挙げられます。
   
4. 「データ管理者」のデータ保護影響評価（DPIA）の実施義務
   データ主体にとって高度の潜在的なリスクを伴う個人情報の処理をする場合に課される義務です。
   
5. データの越境移転（個人データをインドネシア国外に移転すること）に関する階層的な新要件
   (1)データを受領する側の国が、PDP法における個人データ保護の水準と同等またはそれ以上の保護水準を有しているか（「保護の十分性」）を評価すること、(2)保護の十分性に欠ける場合、データを受領する側の国にて、受領者に対して拘束力のある十分な保護がある状況を確保すること、(3)前記の(1)も(2)も無い場合、データ主体の同意を得ることが求められます。
   特定の国について、保護の十分性を有しているかどうかを、誰がどのように判断すべきかについては、PDP法において説明はありません。
   
6. データ主体に対して、保有者の組織的行為について事前および事後の通知を行う義務
   当該行為の例として、合併、買収、スピンオフ、解散などが挙げられます。
   
7. データ保護機関
   大統領の指揮監督を受ける独立したデータ保護機関が設立されます。

PDP法を遵守しなかった場合の制裁措置

PDP法を遵守しなかった場合、書面による警告、個人データ処理の一時的な禁止、個人データの削除若しくは破壊、又は過料といった行政的な制裁が課されることとされています。

また、PDP法の刑事罰の規定ある条項に抵触した場合、拘禁、罰金、又は加えて以下の制裁が課されることとされています。

ア　当該犯罪行為によって生じ、もしくはこれによって得た資産の押収
イ　会社の全部または一部の事業の凍結
ウ　一定の行為の永続的な禁止
エ　会社の事業に係る敷地と活動の全部または一部の閉鎖
オ　不履行のあった義務についての履行命令
カ　賠償金の支払い
キ　登録や免許の取消し
ク　会社の解散

各企業に求められる対応

各企業に対して、事業活動をPDP法が遵守されたかたちに改善対応できるように、2年の猶予期間が認められます。各企業におかれては、自社の個人データ保護方針やその運用を再確認し、PDP法の遵守を確実にすることが望ましいと言えます。なお、PDP法の施行規則の公表のスケジュールは未定です。

---

*「データ管理者」は、個人データ処理について、その目的を決定して管理を行います。「データ処理者」は、データ管理者に代わって個人データを処理する者です。

本記事は、当事務所のFiesta Victoria 外国弁護士（インドネシア、日本では未登録）による英語記事"NEWS ALERT: INDONESIA PERSONAL DATA PROTECTION LAW"の和訳記事です。英語版と日本語版に何らかの齟齬があった場合、英語版が優先するものといたします。

本記事は、一般的な情報提供のみを目的とし、法的助言を構成するものではなく、そのような助言をする意図もありません。読者におかれましては、特定の法的事項に関して助言を得たい場合、弁護士にご連絡をお願い申し上げます。