データ保護法が本格始動へ、個人情報保護は進むのか（ケニア）
専門家に聞く進出企業にとっての留意点

イマキュレート・カッサイト氏は、ウフル・ケニヤッタ大統領にケニアの初代データ・コミッショナーの指名を受け、2020年10月28日の国会承認を経て、11月16日に就任宣誓式を行った。同氏は、民主主義教育研究所（IED）や女性弁護士連盟（FIDAケニア）を経て、独立選挙委員会（IEBC）で有権者登録や選挙管理、有権者教育に携わってきたという経歴を持つ。

ケニアでは、2019年11月にデータ保護法が施行され、個人情報の保護政策が強化されてきた（2019年12月20日付ビジネス短信）。違反した場合は、300万ケニア・シリング（約270万円、Ksh、1Ksh＝約0.9円）以下の罰金や10年以下の禁固刑が科される。データ・コミッショナーは、500万Ksh以下または前財務年度総売上高の1％以下の制裁金を科すこともできる。このような権限を持つデータ・コミッショナーの就任で、データ保護法の本格的な運用開始に向けて準備が徐々に整いつつある。

こうした中、進出企業などは何に留意すべきなのか。ケニアの法律事務所Anjarwalla & Khanna LLPに出向中の平林拓人弁護士（TMI総合法律事務所リージョナル・パートナー）に聞いた（2020年12月10日）。

質問:

データ保護法の概要と留意点は。

答え:

同法では、EUの一般データ保護規則（General Data Protection Regulation：GDPR）と同様に、「個人データ（personal data）」という用語が用いられている。同法の対象となる個人データの範囲は広く、名前やID番号のほか、生体情報やIPアドレス、クッキーといった情報も含まれる。企業にとっては、顧客情報にとどまらず、例えば自社の従業員や発注先の担当者の情報も同法の対象になる。したがって、ケニアで事業を行うほぼすべての企業が順守しなければならない法律といえる。

日本企業にとっては、域外適用にも注意が必要だ。同法では、個人データによって識別される自然人を「データ主体（data subject）」と呼ぶ。ケニアに所在するデータ主体の個人データ（簡単にいえば、ケニアにいる人の個人データ）を取り扱う事業者は、ケニアに拠点があるか否かにかかわらず、原則として同法の適用を受ける。例えば、日本企業がウェブサイトを通じて、ケニアにいる顧客向けにオンラインサービスを提供する場合も該当すると考えられる。さらに、自社ではケニアを対象とした事業をまったく行っていない日本企業でも、ケニアで事業を行っている企業から情報の分析や管理の委託を受け、ケニアに所在するデータ主体の個人データを取り扱う場合には、同法の適用を受ける可能性がある。

質問:

企業が果たすべき義務は。

答え:

まず、データ・コミッショナーへの登録義務がある。事業分野や取り扱う個人データの量、センシティブなデータの取り扱いの有無など、データ・コミッショナーが定める基準に基づいて登録することが事業者に義務付けられる。ただし、現時点ではまだ基準が公表されておらず、登録は始まっていない。

個人データを取り扱う際には、多くの義務が課される。「取り扱い」とは、データ保護法で「processing」と表され、取得、記録、編集、保存、修正、利用、開示など、さまざまな行為が含まれる。取得が最初のステップだ。こうした個人データの取り扱い行為は、同法が定める場合に限って認められることがポイントになる。同法第30条(1)項各号に列挙され、具体的には、データ主体の同意がある場合、データ主体が当事者になる契約の履行のために個人データの取り扱いが必要な場合、法的義務を順守するために必要な場合、などに認められる。事業者は、自社が行っている個人データの取得や利用がこの条項を根拠として認められるのか、確認する必要がある。

個人データの取得時には、データ主体に所定の通知を行う義務が課される。個人データの利用などの際には、目的の限定といった基本原則を順守しなければならない。個人データの保存などにおいては、データの保護措置を講じる義務もある。

さらに同法では、データ主体に多くの権利が付与されている。例えば、個人データの訂正権や消去権、個人データの取り扱いに異議を述べる権利、個人データを一定の形式で受領し他の事業者に移行するデータポータビリティ権、人が関与せず自動的に行われる個人データ処理による決定に服さない権利、などが挙げられる。これらは、データ主体が事業者に対して行使できる権利だ。すなわち、事業者には対応義務が生じることになる。

人種、健康状態、遺伝情報、性的指向などのセンシティブデータは、取り扱いにさらに厳格な義務が課される。例えば、データの国外移転にも特別の規制が適用される。個人データの取り扱いによって、高度のリスクが生じる可能性が高い場合には、データ保護影響評価を実施する必要もある。個人データが漏えいした場合、72時間以内に当局に通知する義務とデータ主体への連絡義務も重要だ。

質問:

EUのGDPRとの大きな違いは。

答え:

この法律は、GDPRに依拠して起草された。しかし、GDPRの緻密で複雑な制度をそのまま移入したわけではなく、端的にいえば、GDPRの主だった規定を単純化して持ち込んだ側面がある。その結果として、同法は、解釈適用上の問題を抱えているように思われる。

GDPRは、事業者に大きな負担を課す制度だ。それゆえに、それぞれの義務を定める条項には数多くの前提条件や例外事由が設けられた。それによって、規定の複雑化は避けられなかったが、実務上妥当な運用が可能になっている。しかし、ケニアのデータ保護法は制度を簡略化して持ち込んだ結果、規制の適用範囲がGDPRと比較して広くなっている箇所が見られる。例えば、データ保護法が域外適用される場合、個人データ漏えい時にデータ主体への通知が必要な場合、データ保護影響評価の実施が義務付けられる場合、などが挙げられる。また、GDPRではデータ管理者とデータ処理者を区別した上で、異なった規制が講じられている。しかし、ケニアのデータ保護法ではその区別が曖昧だ。

データ保護法は、GDPRにはない新たな条項も加えられている。しかし、趣旨が明確でないものや、他の条項との整合性を欠くように思われるものもある。個人データの商業利用を原則として禁止する旨の条項がその一例だ。「商業利用」といっても極めて抽象的で、何をどこまで制限する趣旨なのか明らかではない。

さらに、「国の安全や公共の利益に必要な個人データの取り扱いにはデータ保護法が適用されない」という広範な適用除外があることも、データ保護法の特徴だ。政府による個人データの利用にコントロールが及ばないという点で、問題があるように思われる。

データ保護法の適用を受ける日本企業には、まずはGDPRの制度を参考にしながら対応を進めることを推奨したい。先に述べたGDPRとの違いに関しては、データ保護法条文どおりの運用は行われず、実際にはGDPRと同様に運用される可能性もある。そうした状況にも目を配り、最新の規制動向を注視しながら、対応を進めていく必要がある。