【2020年4月14日】公開
近年アジア各国だけではなく世界的に、「個人情報・プライバシーデータの取扱い」に監視する法整備が整備・強化されています。
適正な取り扱いをしないと、制裁金などの行政処分の対象になったり、評価の低下を招いたりする重要な問題のひとつです。
そこで今回は、アジア各国の個人情報・プライバシーデータに関する法律をご紹介します。
タイ
関連する法律
2019年に「個人情報保護法(Personal Data Protection Act (PDPA)」が制定されています。
個人情報の取得に関する法律上の要件
調査又は研究目的等の一定の例外を除いて、個人情報を収集・利用・開示する際に、事前もしくは同時に同意を取得することが必要です。
収集の対象となる当該個人情報が PDPA において規定される収集の目的などの一定の情報を含む場合には、データ管理者はデータの主体に対して収集と同時もしくは事前に通知を行う必要があります。
個人情報の漏洩又は不正利用に関する報告義務
ある個人の権利もしくは自由に対して高度の危険性を課するものではない場合には、データ管理者はデータ主体に対して、漏洩から72時間以内に通知をする必要があります。
また、個人情報保護委員会によって規定された数を超える個人情報の漏洩がおきた場合に関しては、データ管理者は個人情報保護委員会に対し、当該破損と適時に取られた回復措置に関する報告をする必要があります。
ベトナム
関連する法律
ベトナムでは、民法やIT法を中心に多彩な法律や規制があります。
「サイバー情報保護法(No. 86/2015/QH13)」があったものの、個人情報の取り扱い規制のみにとどまっていました。
データローカライゼーションに関することを規制するために、「サイバーセキュリティ法(No. 24/2018/QH14)」が施行されました。
個人情報の国外移転に関してはまだ規則がありません(2019年時点)が、今後規制が行われる可能性があります。
個人情報の取得に関する法律上の要件
個人を個別に識別することができる個人(小規模組織を含む)に関するものか、それに属する情報を「個人情報」と定義しています。
保護をするための法律及び規則は、「どの情報が個人情報を構成するのか」ということに対して、一貫した定義がなく規則/法律が適用される分野によって異なります。
個人情報の取得には、収集や使用及び移転に関して事前告知を行って同意を得る必要があります。
個人情報を収集する組織は、組織の属性や収集する個人情報の種類、収集の目的や開示先を提供する必要があるのです。
更に、どうやって個人情報を維持・保管・移転するか、データ主体の権利やアクセス並びに収集方法についても、データ主体である個人(小規模組織を含む)に提供する必要があります。
インドネシア
関連する法律
「電子情報および取引法」で、データローカライゼーションの規制をスタートしました。
個人情報の取得に関する法律上の要件
個人データの使用や取得そして収集は、事前に書面によるインドネシア語でのデータ主体の明確な同意が必要です。
更に事前の同意を取得する前に、データ主体に対し「個人データの詳細な使用目的」を明らかにする必要があります。
個人情報の漏洩又は不正利用に関する報告義務
とくにありません。
マレーシア
関連する法律
2013年に「個人情報保護法(Personal Data Protection Act 2010 (PDPA)」で、データローカライゼーションの規制をスタートしました。
個人情報の取得に関する法律上の要件
個人情報の処理や取得については、データ主体の同意が必要で、データを使用する方は同意について記録や管理を行う必要があります。
データ使用者は、データ主体が当事者である契約の履行のために必要となるケースなどでは、個人情報の処理が可能です。
個人情報を取得する際、データ使用者はデータ主体に対して、利用目的を英語とマレー 語で書面によって通知する必要があります。
また、データ使用者は個人情報の処理に際して、「第三者への開示の際の同意取得」だけではなく、「適切なデータセキュリティ措置の実施」などを行う義務があります。
個人情報の漏洩又は不正利用に関する報告義務
現時点(2019年)では、マレーシア当局への通知義務はありません。
フィリピン
関連する法律
2012年に「個人情報保護法(Data Privacy Act (DPA))」で、データローカライゼーションの規制をスタートしました。
個人情報の取得に関する法律上の要件
DPA の下において、個人情報は「公正かつ合法的」に収集する必要があります。
データが収集されていることを通知するだけではなく、契約上の義務を履行する場合などの例外を除き同意を得て、個人情報の修正もしくは誤った情報を削除する権利を付与する必要があります。
また、データは特定の正当な目的のために収集され、データ量が目的に比例する必要があります。
データを安全に保管し、必要な期間に限って保持することが認められています。
個人情報を収集されるデータ主体は、収集された情報にアクセスすることができる必要があります。
さらに、データの不正確さについて異議を唱えることや、 データを修正又は削除すること、不正確又は不完全なデータ収集によって損害が生じた場合に補償を受ける権利があります。
上記の一般規則には、例外が定められており、「国家の緊急事態及び公的機関が関与する場合」は例外になります。
外国の居住者に関しては、当該国の法律に従って収集された個人情報は適用の範囲外です。
シンガポール
関連する法律
2014年に「個人情報保護法(Personal Data Protection Act 2012(PDPA))」で、データローカライゼーションの規制をスタートしました。
個人情報の取得に関する法律上の要件
個人情報の収集や使用又は開示は、データ主体の同意を得た場合もしくは法令上の要件を満たした場合に行えます。
例えば、ある個人情報が公共の利益のために必要とされるなどの場合には、同意を得ることなく個人情報の収集や使用もしくは開示を行うことができます。
個人の同意を得なければならない際には、データ主体に対し通知を行う必要があります。
事業者は、個人情報の収集や使用もしくは開示の目的を、情報を収集・使用・開示すると同時もしくは先立ってデータ主体に通知をする必要があるのです。
個人情報の漏洩又は不正利用に関する報告義務
現時点では(2019年)、当局に対する報告義務はありませんが、規定の導入が見込まれています。
おわりに
2019年時点の資料を基に、アジア各国の個人情報・プライバシーデータに関する法律をご紹介しました。
新しい法律や規制が想定されますので、最新の情報をキャッチアップしていきましょう。
【関連記事】
いよいよタイでもPDPA(個人情報保護法)が施行
東南アジアのBtoBマーケティング最前線
