ASEAN主要国における個人情報保護規程
越境データ移転やローカリゼーション要求の観点から

個人情報の取り扱いは、ビジネスを行う上で避けて通ることはできない。反面、その不適切な取り扱いや漏えいなどの事象は時に報道で取り上げられ、企業イメージを大きく損ないかねない。欧州連合（EU）では「EU 一般データ保護規則（General Data Protection Regulation：GDPR）」が2016年に発効し、2018年から適用が開始された。法律や規則を整備し、個人情報を保護する施策は、EUだけでなく世界の様々な国・地域で進められ、東南アジアも例外ではない。東南アジア地域で事業展開をする企業が、域内で個人情報を取り扱う事業を展開するにあたり、域内主要国（シンガポール、タイ、インドネシア、マレーシア、フィリピン、ベトナム）で留意すべき法律などについて、本レポートで解説する。

個人情報保護に関する一般法制定が進む

東南アジアでは、個人情報の保護に関する一般法の法整備が進みつつある（表1参照）。

まず、シンガポールでは改正個人情報保護法（2020）が、マレーシアでは個人情報保護法（2010）（396.79KB）がそれぞれ制定済みだ。両者ともGDPRに準拠する。金融や通信などセクターごとの各種規制は、シンガポールでは特別法、マレーシアでは行動規範という形で規定されている。フィリピンでは、一般法としてデータプライバシー法（2012）が制定されているが、政府機関に対してのみ各種通達という形で詳細が定められている。

タイにも、GDPRに準拠した個人情報保護法が存在する。しかし、2019年5月28日から施行されたのは、一部条文だけに限られていた。換言すれば、個人情報の収集・利用・開示や違反時の罰則など、企業が対応を要する主要な章には移行期間が設けられていた。それらを含む法律全体の完全施行は、新型コロナ禍の影響で遅れている状況だ（2021年5月7日付ビジネス短信参照）。

一方、インドネシアやベトナムでは、これまで一般法の整備が行われていなかった。すなわち、個人情報保護に関する複数の法律・規則が存在し、それぞれで個人情報の定義や取り扱い方法が異なる状況にある。例えば、インドネシアの「電子システムと取引の運用に関する政府規制 2019 年第 71 号」では、個人情報を「それ自体で個人を識別可能なもの、または電子的・非電子的なシステムを通して直接的または間接的に他の情報と組み合わせることで識別可能となるもの」と定義する。一方、「電子システムにおける個人情報保護に関する通信情報省規程2016年第20号」では「真実のために保存、維持、管理され、機密性によって保護される特定の個人データ」とされる。それぞれ異なった定義が示されている。

しかし、両国とも、一般法の制定に向けて準備が進んでいる。例えばベトナムでは2021年2月、「個人情報保護に関する政令案」が公表された。草案上の施行日は2021年12月1日とされ、ベトナム公安省がパブリックコメントを受け付けていた（2021年4月2日付ビジネス短信参照）。インドネシアでも、「個人情報保護法案」（451.93KB）が2021年7月現在、下院で審議されている。

出所：各国法令などよりジェトロ作成

越境データ移転未規制国も条件付き許可制へ

次に、個人情報の「越境データ移転」について、各国がどのように規制を行っているか確認する。ここで「越境データ移転」とは、特定のデータを特定の国から他の国（海外）へ移動させることとする。各国の関連法令を確認する限り、多くの国でデータ原産国と同等レベルの保護水準を求めるという条件のもとに許可されていることが分かる（表2参照）。

出所：各国法令などからジェトロ作成

ベトナムでは、これまで越境データ移転に関する規制は存在しなかった。しかし、国会審議中の個人情報保護規定案では、厳しい条件が課されるようになる見込みだ。具体的には、（1）本人の同意（2）原データがベトナムに保管されること（3）移転先の国・領域などが本政令の規定と同等かより厳しい規定を有する証明文書があること（4）公安省管轄の個人情報保護委員会の同意文書があること、の4つの条件を満たす必要があるとされており、今後の動向に注意が必要だ。

インドネシアでは現状、原則として個人情報の越境データ移転には規制がない。ただし、銀行のリスクマネジメントに関する規程（90.14KB）および保険会社のリスクマネジメントに関する規程（250.34KB）に基づき、金融セクターについてだけは通信情報省に報告が必要とされている。個人情報保護法が制定されると、他国と同様に同水準のデータ保護を移転先の国に求めることが条件となる可能性があり、やはり注意が必要だ。

データローカリゼーション要求の動きに要注意

データローカリゼーションとは、自国の産業や国家の安全保護を目的に、個人情報などの重要なデータを自国にとどめるための規制だ。東南アジアでは現状、厳しい規制は行われていない（表3参照）。主要国では、シンガポールやタイ、マレーシアでは規定されていない。フィリピンでは、公的セクター限定で規定されている。

一方、インドネシアでは、金融・保険業など特定のセクターで定められており、実際にデータセンターを自社に設置した企業も存在する。もっとも、そのインドネシアで現在国会審議中の個人情報保護法草案においては、データローカリゼーションに関する記載が存在しない。こうしてみると、既存規程がどのように扱われるか留意する必要がある。

また、ベトナムでは現状、「サイバーセキュリティ法」において、「IT・技術、商業セクター（特にeコマース）では、政府によって規制されている期間中は、ベトナムで収集・利用・分析・処理した個人情報データをベトナム国内に保存する必要がある」とされている。ただし、ここで言う「期間」について現時点では定めがない。なお国会審議中の個人情報保護規定では、前述の通り、越境データ移転の要件として「原データがベトナムに保管されること」が課される見込みだ。これが、データローカリゼーションの観点で規定・運用されることがないものか、注意していく必要があるだろう。

注：「×」は規制なし、「〇」は規制あり、「△」は条件付きで規制があることを示す。
出所：各国法令などよりジェトロ作成

国際的な枠組みにも留意を

GDPRではEU域内に拠点がない場合であっても、サービスや商品の提供などの目的で在EUの個人情報を処理する場合、その適用を受ける可能性（域外適用）が生じる可能性がある。一方で、東南アジア諸国連合（ASEAN）諸国には、個人情報保護に関して複数の国際協定が関係する。例えば「ASEAN個人情報保護フレームワーク（45.76KB）」（2016年11月制定）は、個人情報保護および越境データ移転に関しASEANの共通ルールを定めたものだ。ただし、同フレームワークは法的拘束力がなく、加盟国に自主的な対応が任されている。

一方、「環太平洋パートナーシップに関する包括的および先進的な協定（CPTPP、いわゆるTPP11）」では、個人情報を含むデータの自由移転やデータサーバーの国内設置要求の禁止を規定するなど、先進的な内容が盛り込まれている（注）。また、ASEAN全加盟国参加の「地域的な包括的経済連携（RCEP）協定」も、電子商取引促進のためにデータ・フリーフローなどが盛り込まれた。これらにより、域内外での環境整備が進むことに期待したい。

このように、国境をまたいで個人情報を扱う際、企業は活動を行う国だけでなく、データ移転先の国の法律・規制状況を確認する必要がある。各国の個人情報保護法には、しばしば規程に違反した場合の罰則についても定められるので注意が必要だ。例えばシンガポールの改正個人情報保護法では、企業・団体が法令に違反した場合、罰金として、年間売上高が1,000万シンガポール・ドル（約8億1,000万円、Sドル、1Sドル＝約81円）以上の企業には年間売上高の10％、それ以外の企業は100万Sドルを上限に科せられる。世界的にも、本分野は関心が高まっているため、ルールは今後も変化していく可能性がある。日頃から関連情報を収集し、適切な個人情報管理に努めることが肝要だろう。

---

注：

TPP11には、現時点で、ASEANからシンガポール、ベトナム、マレーシア、ブルネイが加盟している。ただし、マレーシアとブルネイについては、2021年7月現在未発効。