Global Reachグローバル展開する企業を支援

MENU

コラム|Column

ASEAN各国のデータ移転規制・データローカライゼーション最前線
(全6回)

第2回:今後法改正の可能性も?マレーシアの個人情報保護法

バックナンバー

index

2019/03/11

1.はじめに

前回のベトナムに続き、本連載の第2回は、ASEAN各国の中ではシンガポールと同じく英米法諸国の1つであるマレーシアの個人情報保護法の概要及び最新動向について説明させていただきます。
マレーシアでは2013年11月15日に個人情報保護の基本法となるPersonal Data Protection Act 2010※1が施行されました。これにより、個人情報の収集、記録、保持、保管等の処理を行うためには原則として個人情報の主体の同意が必要となっています。

※1:http://www.agc.gov.my/agcportal/uploads/files/Publications/LOM/EN/Act%20709%2014%206%202016.pdf

2.マレーシアの個人情報保護法(Personal Data Protection Act 2010)

マレーシアでは、2010年に個人情報保護に関する規制を全般的に定めた個人情報保護法Personal Data Protection Act 2010(以下「PDPA」)が成立し、2013年11月15日に施行されました。また、PDPAの関連法規として以下があります。

  • Personal Data Protection (Class of Data Users)Order 2013※2:PDPA上、登録が必要な業種を規定
  • Personal Data Protection Regulations 2013※3:PDPAに関する規則
  • Personal Data Protection (Registration of Data User)Regulations 2013※4:PDPAに基づく登録の詳細を規定
  • Personal Data Protection(Fees)Regulations 2013※5:PDPAに基づきアクセス要求を行う場合の上限費用等を規定
  • Personal Date Protection Standard 2015※6:安全原則、保持原則、情報完全性原則に関して情報使用者が取るべき行動を規定
  • Personal Data Protection (Compounding Of Offences) Regulations 2016※7:罰金の対象となる違反を規定
  • Personal Data Protection (Class Of Data Users) (Amendment) Order 2016※8:PDPA上、登録が必要な業種に関する規定の変更
  • Appointment And Revocation Of Appointment Of Personal Data Protection Commissioner※9:Personal Data Protection Commissionerの任命

※2:http://www.pdp.gov.my/images/pua_20131114_P.U._A_336-PERINTAH_PERLINDUNGAN_DATA_PERIBADI_GOLONGAN_PENGGUNA_DATA_2013.pdf
※3:http://www.pdp.gov.my/images/pua_20131114_P.U._A_335_-_PERSONAL_DATA_PROTECTION_REGULATIONS_2013.pdf
※4:http://www.pdp.gov.my/images/pua_20131114_P.U._A_337_-_peraturan-peraturan_perlindungan_data_peribadi_pendaftaran_pengguna_data_2013.pdf
※5:http://www.pdp.gov.my/images/apua_20131114_P.U._A_338-PERATURAN-PERATURAN_PERLINDUNGAN_DATA_PERIBADI_FI_2013.pdf
※6:http://www.pdp.gov.my/index.php/en/akta-709/standard
※7:http://www.federalgazette.agc.gov.my/outputp/pua_20160314_P.U.%20(A)%2060_PerlindunganDataPeribadi(PengkompaunanKesalahan)2016.pdf
※8:http://www.federalgazette.agc.gov.my/outputp/pua_20161215_P.U.%20(A)%20326%20-%20PERINTAH%20PERLINDUNGAN%20DATA%20PERIBADI%20(GOLONGAN%20PENGGUNA%20DATA)%20(PINDAAN)%202016.pdf
※9:http://www.federalgazette.agc.gov.my/outputp/pub_20170126_P.U.%20(B)%2049.pdf

(1)PDPAの適用範囲

PDPAの適用対象となる「個人情報」は、「商業的経済活動」に関連する情報で、情報使用者(data user)が持つ当該情報から、または当該情報とその他の情報を併せて特定できる情報主体(data subject)に直接または間接的に関連するものと規定されています(PDPA第4条)。
PDPAの適用対象者は、「商業的経済活動」に関連して個人情報の処理または処理の管理を行う者に限定されています(PDPA第2条)。「商業的経済活動」とは、契約によるか否かを問わず、経済的性質を有する全ての活動を意味し、商品もしくは役務の提供、代理、投資、融資、銀行業又は保険業に関連するいかなる事項も含むとされているため(但し、クレジットレポーティングビジネスは含まない)(PDPA第4条)、企業が行う事業活動で取得する個人情報は基本的にPDPAにおける「個人情報」に該当すると考えられます。
また、個人情報の「処理(processing)」とは、個人情報を収集・記録・保存することまたは個人情報に対して何らかの作業をすることとされており(PDPA第4条)、企業において個人情報を取り扱う行為は基本的に「処理」とみなされると考えられます。
なお、本法は民間のみに適用されるもので、連邦政府または州政府には適用されません。また、マレーシアの国外で個人情報を処理する者にも、マレーシア国内でさらに個人情報の処理が予定されていない限り適用されません(PDPA第3条)。

(2)個人情報保護の7原則

PDPAの適用対象者は、個人情報保護について、下記の7つの原則を遵守しなければなりません(PDPA第5条)。

  • 一般原則(General Principle):情報使用者は、個人情報を処理する場合、原則として情報主体から同意を得なければならない。また、身体的又は精神的な健康状態、政治的意見、宗教的信条、犯罪歴等を含む「センシティブな個人情報(sensitive personal data)」を取得する際には、情報主体から「明示的」な同意を取得することが必要となる。
  • 通知及び選択原則(Notice and Choice Principle):情報使用者は、情報主体に対し、個人情報の処理について書面による通知をしなければならない。
  • アクセス原則(Access Principle):情報主体は、情報使用者が保有する自らの個人情報にアクセスする権利を有し、当該個人情報が不正確、不完全、誤解を招くもの、又はアップデートを要するものである場合には、訂正することができる。
  • 開示原則(Disclosure Principle):情報使用者は、個人情報収集時に開示した目的又はそれに直結する目的以外の目的(「その他の目的」)のために個人情報を第三者に開示する場合には、原則として情報主体から同意を得なければならない。
  • 安全原則(Security Principle):情報使用者は、個人情報の紛失や不正使用などを防止するため、個人情報の保管場所に注意を払うことなどによって具体的な措置をとらなければならない。
  • 保持原則(Retention Principle):個人情報は、目的達成のために不要となった場合には、破棄されなければならない。
  • 情報完全性原則(Data Integrity Principle):情報使用者は、個人情報が正確かつ完全で、誤解を招かないものであり、また常に最新のものであるように、合理的な措置をとらなければならない。

(3)個人情報の国外移転

原則として、情報使用者は、大臣(Minister)が通知により指定した場所でない限り、マレーシア国外に情報主体の個人情報を送信することはできません。大臣が指定する場所とは、基本的には本法と同様の法律がある国となります。ただし、例外として、情報主体が同意した場合であれば、情報使用者及び情報主体間の契約の履行に情報の国外送信が必要な場合などに、大臣が指定する場所でなくても、マレーシア国外へ個人情報を送信することができるとされています(PDPA第129条)。
なお、個人情報の国外移転については、2017年にPersonal Data Protection (Transfer of Personal Data to Places Outside Malaysia) Order 2017の原案※10が作成されています。本規則は個人情報の国外移転が許可される国/地域を定めるもので、原案では日本を含む23の国/地域がリストアップされています。現時点では大臣の承認を得ていないようですが、承認されれば、情報使用者は情報主体の同意の取得等、PDPAの規定に関わらず、許可された国・地域への個人情報の国外移転が可能になります。

※10:http://www.pdp.gov.my/images/pdf_folder/PUBLIC_CONSULTATION_PAPER_1-2017_.pdf

(4)Personal Data Protection Commissionerへの登録

Personal Data Protection Commissioner(以下「Commissioner」)が指定するClass of Data Userとして特定されている者は、Commissionerに登録しなければなりません(PDPA第15条)。現在登録が必要なClass of Data Userには、通信、銀行・金融機関、保険、医療、観光・ホスピタリティ、輸送、教育、直接販売、サービス、不動産、公共サービス等が含まれています。登録証書は更新が必要であり、PDPAに違反した場合や登録証書における条件の遵守を怠った場合には登録が取り消される可能性があります。

(5)個人情報漏洩通知

2018年8月、Commissionerは、個人情報漏洩通知についての諮問書(Public Consultation Paper No. 1/2018 - The Implementation of Data Breach Notification※11、以下「本諮問書」)を発行しました。本諮問書は、マレーシアにおける個人情報漏洩通知制度の確立を目的としたもので、組織内で個人情報漏洩が起きた場合に、情報使用者は関連当局及び当事者に対して通知する義務を負うことになります。本諮問書では個人情報漏洩通知に含めるべき内容が検討されており、個人情報漏洩の詳細、漏洩に対する措置、通知先及び通知期限だけでなく、組織が行ってきた個人情報保護に関する研修等の詳細も通知内容に挙げられています。Commissionerは、情報使用者に発行される登録証書に条件を付す形で個人情報漏洩通知の義務を課すことを提案しているため、Commissionerへの登録が不要な業種に該当する情報使用者に対してはこの義務が課せられるのかどうか等不明瞭な部分も多く残った内容となっています。

※11:http://www.pdp.gov.my/images/pdf_folder/PCP-1-2018-DBN-Ver2.pdf

(6)罰則

7つの原則のいずれかに違反した情報使用者には、300,000リンギット以下の罰金もしくは2年以下の懲役またはその両方が科せられます(PDPA第5条2項)。また、登録が要求されるにもかかわらず、登録証明書の発行を受けずに個人情報を処理した者には、500,000リンギット以下の罰金もしくは3年以下の懲役またはその両方が科せられます(PDPA第16条4項)。

罰則適用の具体例※12
例1.ホテル

  • 違反内容:登録証書を取得せずに個人情報を処理、情報主体の同意を得ることなく個人情報を処理
  • 罰則:合計20,000リンギットの罰金(各違反につき10,000リンギット)または8カ月の懲役
例2.高等教育機関
  • 違反内容:登録証書を取得せずに個人情報を処理
  • 罰則:10,000リンギットの罰金または3カ月の懲役
例3.就職エージェント
  • 違反内容:登録証書を取得せずに個人情報を処理
  • 罰則:10,000リンギットの罰金

※12:https://globalcompliancenews.com/malaysia-enforcement-personal-data-protection-20171101/

3.個人情報保護に関する最新動向

PDPAの導入にも関わらず、2017年10月には、マレーシアの携帯電話加入者4600万人もの顧客情報が漏洩するという大規模な個人情報漏洩が起きました※13。この漏洩は、マレーシアの人口のほぼ全体を巻き込んだと考えられ、アジアでも最大級の顧客情報漏洩として報道されました。また上述の通りPDPAは商業目的での個人情報使用のみを規制するものであり、オンライン・プライバシー等の問題に関する条項は規定されていません。オンライン化が進む中、オンライン上で急速に増加する個人情報を保護するため、既存の個人情報保護法を強化することが必要となっています。
また、PDPAでは、情報漏洩があった場合の情報使用者による当局への通知の義務は規定されていません。上述の通り、マレーシアでも情報漏洩時の政府当局への通知義務を含めるため政府が取り組み出しており、早ければ2019年の中旬には法律の改正があるとも報道されています。

※13:https://www.reuters.com/article/us-malaysia-cyber/malaysia-investigating-reported-leak-of-46-million-mobile-users-data-idUSKBN1D13JM?il=0

4.公益通報者保護法

マレーシアでは、2010年12月15日に施行されたWhistleblower Protection Act 2010※14(以下「WPA」)によって、汚職・不正行為の通報者を法的に保護しています。不正行為の抑制を目的としたこの法律では、通報者および通報内容についていかなる者に対しても開示してはならない旨、定められています(WPA第8条1項)。この条項に違反した場合、50,000リンギット以下の罰金もしくは10年以下の懲役またはその双方が科せられます(WPA第8条4項)。

※14:http://www.bheuu.gov.my/pdf/Akta/Act%20711.pdf

5.おわりに

マレーシアにおける個人情報保護法は他国の法律や規制と比較して遅れをとっている部分があり、特にオンライン化が進む世界で個人情報を保護するための法律や規制の制定が必要となっています。個人情報の国外移転、情報漏洩通知義務の結果の公表等、今後の動向に注目が集まっています。



弁護士法人One Asia / One Asia Lawyersについて

弁護士法人One Asia/One Asia Lawyersは、ASEAN地域に特化した法律事務所であり、ASEANにおいてシームレスな法務アドバイザリー業務を日系企業に特化して行っております。各事務所には、現地弁護士に加えて、日本人弁護士、専門家、現地語法律通訳者が常駐しており、ASEAN地域に特化した進出法務、M&A、コーポレート・ガバナンス、労務、税務、知的財産、不動産、訴訟・仲裁対応などについて現地に根付いた最適なサービスを提供しております。

拠点:シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー、東京
メンバー数:187名(内日本人31名)

今回の執筆者:佐野 和樹

弁護士法人One Asia 弁護士(日本法)/マレーシア代表

タイで、進出支援・リーガルサポート等を行うM&A Advisory Co., Ltd.で3年間勤務後、One Asia Lawyers ミャンマー事務所にて執務を行い、現在は主にマレーシア案件を担当。マレーシアを中心にクロスボーダーM&Aをはじめアジア法務全般のアドバイスを提供している。
タイ、ミャンマー、マレーシアでの複数年に渡る進出戦略(M&A等)を中心とした法務コンサルティングや進出後の契約・労務・法務等の日系企業のビジネスサポートに関する知識と実務経験をもとに、現地の規制・法令の改正等を踏まえたASEAN進出戦略の策定、リーガルフォロー、進出後の契約・労務・法務・各種コンプライアンス・紛争発生時の対応等の法務コンサルティングを執り行う。

こんな記事も読まれています