東南アジアのBtoBマーケティング最前線
東南アジアのBtoBマーケティング最前線
シンガポールを拠点に、ジョイントベンチャー、スタートアップ投資、デジタルトランスフォーメーション(DX)、個人情報保護・データセキュリティ、コンプライアンスなどのアドバイスを数多く行っている煎田勇二さんが、ASEANでのマーケティングに必要な各国の個人情報の現状について講演しました。
講演の冒頭で、煎田さんはASEANにおける個人情報に関連する法整備に関して、次の3つのポイントを整理します。
・ASEAN個人情報保護法の整備状況
・個人情報保護法の域外適用の問題
・欧州GDPRから見た域外適用の可能性の検討
煎田さんは「本日の講演では、シンガポールとタイにインドネシア、そしてベトナムの4カ国を対象として、ASEAN個人情報保護法の整備状況について説明します」と前置きして、それぞれの国の状況を一枚の表で示します。
「タイに関しては、2020年の5月に個人情報保護法が施行される予定でしたが、コロナの影響もあり全面施行が難しく、現在は2022年の6月まで延期されている状況です」と煎田さんは補足します。
インドネシアでは、日本のような個人情報保護法はないものの法案は策定中にあり、現在は、電子システムを提供する会社に対しては、電子情報法が個人情報保護規制の役割を担っています。
ベトナムに関しては、個人情報保護政令が施行されるまでは、サイバーセキュリティ法が主な個人情報保護規制となります。
続いて煎田さんは、各国の個人情報保護法とデータ保護規制の違いについて、一枚の図で示します。
図では、人権を重視した法律が優先されるのか、公益の保護を重視しているのかにより、4つのエリアに分類されています。
日本やヨーロッパでは、個人の権利や自由を尊重した法律が中心ですが、中国やベトナムにインドネシアなどは、現時点では公益を重視していると分類できます。
個人データの保護レベルが高い例として、煎田さんは欧州GDPR(General Data Protection Regulation)とシンガポールのPDPA(Personal Data Protection Act)の違いを紹介します。
GDPRは、個人データ保護のレベルが高く、当局による取締も厳格です。その一例として、2020年に英国のBritish Airwaysが、£20millionの制裁金が課せられた事件を紹介すると共に「英国だけでも3万件を超える漏えい通知があります」と煎田さんは指摘します。
一方でシンガポールのPDPAでは、個人データ保護および取締の厳格度はGDPRよりも低くなっています。一例として、多くの個人情報が漏洩したIHISの件でも制裁金はSDG750,000にとどまり、摘発件数も2020年までに170件ほどです。
GDPRとPDPAののデータ保護のレベルの違いを、煎田さんは一枚の表に示します。
タイの個人情報保護法について、煎田さんは対象や同意原則などの状況を整理した表を示します。
保護措置は現時点で施行されています。保護措置とは、個人情報を管理する会社が、個人情報を取り扱うときに、基本的には個人情報が漏洩しないように安全に管理する体制を意味しています。
インドネシアの現状では、対象と同意原則と報告義務などが表のようにまとめられています。
煎田さんは「インドネシアでは、個人情報保護法が策定中なので、電子情報法を紹介します。ここで注意するのは、同意原則の中にある『個人の同意』に関して、『インドネシア語で事前に行われる』必要がある点です」と説明します。
日本国内の事業者がインドネシアの電子情報法に対応するためには、インドネシアで電子システム運営に携わる事業者に業務を委託する方法が考えられます。
また、データローカライゼーションに関しては、民間電子システム運営者には、国内でのデータ保存義務はありません。一方で、公的電子システム運営者には、国内でのデータ保存義務があります。
ベトナムの現状については、個人情報保護政令案を最初にご説明いただきました。
煎田さんは「ネックとなるポイントは、書面の同意が必要という点です。海外の企業が、もしも個人情報を取り扱う場合には、現地で書面による同意を得なければなりません」と注意を促します。
日本国内の事業者が、ベトナムの個人情報保護政令案に対応するためには、ベトナムの業者に業務を委託する方法が考えられます。
また、データローカライゼーションに関しては、ベトナムに支店や駐在員事務所などを設置して、国内でのデータ保存義務が生じます。ただし、現時点では施行規制が未制定です。
国をまたいだ個人情報の利用と域外適用の問題を整理するために、煎田さんは国内法が適用される典型的な例を紹介します。
こうしたケースでは、それぞれの国ごとに個人情報保護法が適用されます。各国に拠点があるかどうかが、国内法が適用されるかどうかの主な基準となります。
インドネシアとベトナムの場合には、サイバーセキュリティ法や電子情報法に基づいて、その国のデータセンターに個人情報を保存しなければならない可能性もあります。現時点では、日本企業に対して適用される可能性は低い状況です。
域外適用とは、対応する国に拠点などがないものの、その国の顧客が物やサービス提供の対象となるケースです。
このようなケースでは、対象となる各国の個人情報保護法が適用されます。その基準を煎田さんは、次の表のように整理します。
シンガポールに関しては「シンガポールにおいて」という部分が重要になります。ただし、どういう場合においてシンガポールでのデータ収集、利用及び開示とされるかは明確ではないので「解釈が難しい」と煎田さんは補足します。
タイでは、まだ施行されていませんが、施行後として2つの基準が示されています。その2つは、欧州のGDPRを参考としたものです。
インドネシアでは、域外適用がされるという規定があるものの不明確なルールとなっており、解釈が難しくなっています。
ベトナムには、2つの法律があります。サイバーセキュリティ法では、域外適用される場合現地にデータを保存するだけではなく、現地に拠点を作る必要があります。ただし、現在はまだ細則が制定されていないので、日本企業が直ちに、現地に拠点を作らなければならないという状況には至っていません。もうひとつの個人情報保護政令案では、域外適用を基本的にはしない方向の法律になるはずです。すなわち、現地に拠点がなければ、日本の親会社に適用される可能性は低くなります。
4カ国における域外適用の実務上の問題点について、煎田さんは次のように整理します。
域外適用範囲が明確ではない/域外適用される場合にも法の執行が容易ではない
▼
域外適用範囲をGDPRなどを参考にする/域外適用がされた事案の確認及び傾向を分析する
「事案を見ていって、そのリスクを判断するしか、域外適用への解決策はないでしょう」と煎田さんは説明します。
最後に、欧州GDPRから見た域外適用の可能性に関してもお話いただきました。
EEA域外から日本やシンガポールなどの拠点を通して物品やサービスの提供を行う場合、すなわち、非域内拠点経由では、一般論として、企業相手(B to B)の取引では、GDPRが適用される可能性が低く、一般消費者(B to C)が対象とになると、適用される可能性は高くなります。
なお、域外適用に関しては、物品やサービスの提供型と、行動監視型に分かれます。
まず、物品やサービスの場合には、次のようになります。
✔取扱活動が、有償か否かを問わず、EEA域内のデータ主体に対する物品又はサービスの提供と関連する場合、本規則はEEA域内で設立されていない管理者または処理者によるEEA域内のデータ主体の個人データに適用される
講演内では、適用される可能性が高い具体的な例も紹介いただきました。
アプリのサービスでは、現地の言語や通貨に特化した内容になると、GDPRが適用される可能性が高くなります。
反対に、日本語のみのサービス提供とか、日本のマーケットだけを対象にしたものは、適用の可能性は低くなります。
2つ目の行動監視型では、ターゲット広告などの目的に利用される個人データの取得になります。
✔取扱活動が、EEA域内で行われるデータ主体の行動の監視と関連する場合、EEA内で設立されていない管理者又は処理者によるEEA域内のデータ主体の個人データに適用される
仮に、直接のクライアントが企業であっても、個人の行動を監視している場合には、GDPRの適用が想定されます。
サービス提供型では、対象が明確にEAA域内の個人かどうか、行動監視型では監視対象がEAA域内の個人かどうかが、GDPRの域外適用の基準となっています。
まず、日本からASEAN各国にサービスを提供する場合には、対象国における個人情報保護法やサイバーセキュリティ法などの法令があるかどうかを確認し、法令が存在する場合には、適用の範囲などを確認する必要があります。
また、その国に拠点がなくても、国外からサービスを提供するときには、域外適用の有無も検証します。そして「グローバルでの動向や各国の摘発事例を検証して、対応にあたるべきでしょう」と煎田さんはまとめます。
