クライアントアラート – インドネシア語契約に関する最新情報
Indonesian qualified lawyer
Fiesta Victoria
インドネシア国会では2022年9月、8年以上にわたって議論されてきた個人データ保護法案が可決・成立しました。同法の成立に伴い、法律事務所ZeLo・外国法共同事業のFiesta Victoriaインドネシア法弁護士(日本では未登録)が、概要や注目すべき要点、遵守しなかった場合の制裁措置などについて解説します。
Fiesta Victoria is an Indonesian qualified lawyer with over 16 years of experience in M&A and general corporate. She graduated from the University of Pelita Harapan in 2006 and started her career as a lawyer in the same year at one of the largest and oldest law firms in Indonesia. She joined ZeLo in 2019 with the primary role of establishing and developing ZeLo’s Indonesian practice group. She won the title of "Business Development Lawyer of the Year" at the ALB Women in Law Awards 2021. Additionally, she was nominated as one of the top 5 finalists for "Foreign Lawyer of the Year" at the ALB Japan Law Awards 2023, following a nomination in the same category at the ALB Japan Law Awards 2022.
Graduated from the University of Tokyo, School of Law (J.D., 2011), Columbia Law School (LL.M., 2019), passed NY Bar Exam (Registered in 2022). Experience at Jones Day (2013-2019), Ministry of Foreign Affairs, International Legal Affairs Bureau, Economic Treaties Division (2019-2021), and joined ZeLo (2022-). Main areas of practice include domestic and cross-border transactions, competition law, general corporate governance, compliance, public affairs, IP, and real estate.
2022年9月20日、インドネシア国会にて、8年以上にわたって議論されてきた個人データ保護法案が遂に可決されました。同法案は、官報で公告され、同年10月17日に「個人データ保護法」(以下「PDP法」)として施行されました。
インドネシア政府は、高度なデータ保護法制を備えた他国と、同水準までインドネシア国内のデータ保護水準を向上させるうえで、PDP法が極めて重要な役割を果たすものと考えています。インドネシアでは、データ・セキュリティに関する違反行為が相次いでおり、最近では、インドネシア政府のシステムに対してハッキングが行われ、政府の機密情報にアクセスがされるという事態も発生していました。
PDP法は、EU 一般データ保護規則(GDPR)に範をとり、あらゆる形態のデータ処理(取得、収集、保存、更新、修正、削除など)を対象として規制を行うものです。これまでのインドネシアのデータ保護法制は、部門・分野別に規制するアプローチをとり、多数の異なる規制に分散するかたちで、個人データ保護に係る規定を設けていたものでした。PDP法はインドネシアのデータ保護法制の基盤となるよう設計され、個人データ保護に関して一貫性のある一元的な基準を全産業分野に対して示すことが期待されています。
「個人データ」とは、個人(自然人)または「データ主体」に係るデータであって、電子的システムや、非電子的な手段の利用により、直接または間接的に、それ自体で、または他のデータと組み合わせて、個人が識別され、または個人を識別され得る個々のデータをいいます。
「個人データ」は、以下のように分類されます。
ア 「一般的個人データ」には、以下のデータが含まれます。
(1)氏名
(2)性別(ジェンダー)
(3)国籍
(4)宗教
(5)既婚・未婚の別
(6)個人を識別するために組み合わせられた個人データ
イ 「特定個人データ」には、以下のデータが含まれます。
(1)健康に関するデータおよび情報
(2)生体認証データ
(3)遺伝子データ
(4)犯罪歴
(5)子供に関するデータ
(6)個人の財務データ
(7)法令に定めるその他のデータ
PDP法により導入される、注目すべき要件や変更としては、以下の点が挙げられます。
PDP法を遵守しなかった場合、書面による警告、個人データ処理の一時的な禁止、個人データの削除若しくは破壊、又は過料といった行政的な制裁が課されることとされています。
また、PDP法の刑事罰の規定ある条項に抵触した場合、拘禁、罰金、又は加えて以下の制裁が課されることとされています。
ア 当該犯罪行為によって生じ、もしくはこれによって得た資産の押収
イ 会社の全部または一部の事業の凍結
ウ 一定の行為の永続的な禁止
エ 会社の事業に係る敷地と活動の全部または一部の閉鎖
オ 不履行のあった義務についての履行命令
カ 賠償金の支払い
キ 登録や免許の取消し
ク 会社の解散
各企業に対して、事業活動をPDP法が遵守されたかたちに改善対応できるように、2年の猶予期間が認められます。各企業におかれては、自社の個人データ保護方針やその運用を再確認し、PDP法の遵守を確実にすることが望ましいと言えます。なお、PDP法の施行規則の公表のスケジュールは未定です。
*「データ管理者」は、個人データ処理について、その目的を決定して管理を行います。「データ処理者」は、データ管理者に代わって個人データを処理する者です。
本記事は、当事務所のFiesta Victoria 外国弁護士(インドネシア、日本では未登録)による英語記事"NEWS ALERT: INDONESIA PERSONAL DATA PROTECTION LAW"の和訳記事です。英語版と日本語版に何らかの齟齬があった場合、英語版が優先するものといたします。
本記事は、一般的な情報提供のみを目的とし、法的助言を構成するものではなく、そのような助言をする意図もありません。読者におかれましては、特定の法的事項に関して助言を得たい場合、弁護士にご連絡をお願い申し上げます。