ASEANで進むDX:日系企業の事例・規制対応の実態・人材の実像各国で個人情報保護法を整備、AI法にも動き
ASEANのDX(3)

2026年4月1日

総務省の令和7年版情報通信白書によると、日本では80.6%(2024年)の企業がクラウドサービスを利用しており、その割合は年々拡大している。同様に、ASEANに進出する日系企業でもクラウド活用の拡大が見込まれる(注1)。クラウドなどデジタルサービスの利用にあたっては、個人情報の保護や越境移転について、各国の法律に従う必要がある。本稿ではASEAN主要6カ国(インドネシア、マレーシア、フィリピン、シンガポール、タイ、ベトナム)を対象に、個人情報関連データを扱う際に企業が考慮すべき、各国における関連規制の最新状況と取り巻く課題を整理する。また、ASEANデジタル経済を取り巻く新たなテーマとして、人工知能(AI)規制の動向についても紹介する(注2)

ASEAN主要6カ国で個人情報保護法を整備

2016年に欧州連合(EU)で発効した「EU一般データ保護規則(General Data Protection Regulation:GDPR)」の影響を受け、2020年以降、ASEAN各国で個人情報保護法の制定や改正が相次いだ。これまで個人情報保護に関する一般法がなかったインドネシアやベトナムで個人情報保護法が施行され、ASEAN主要6カ国で個人情報保護に関する一般法が整備された。

タイでは、2019年に個人情報保護法が施行されたが、当初は一部条文のみの適用に限られていた。2020年に完全施行される予定であったが、新型コロナウイルスへの企業対応の負担を考慮して延期された。その後、2022年6月に全ての条文が施行された。さらに、セキュリティー対策や個人情報の越境移転に関しては、運用規則にあたる通達がその後、順次発出されている(2022年7月8日付2024年1月17日付ビジネス短信参照)。

インドネシアでは、これまで個別の法律や規則で規定されていたデータ保護規則を統一するかたちで、2022年10月に個人情報保護法が施行された。同法では、個人情報の越境移転規制、個人情報の利用に関する禁止事項、刑罰などが定められた。その後、2年間の移行期間を経て、2024年10月に全面施行された。なお、2023年8月には同法の運用規則にあたる政令のドラフトが公表されたが、2026年1月時点で施行に至っていない。

ベトナムにおける個人情報保護は、2023年7月施行の個人情報保護に関する政令13号(13/2023/ND-CP)によって規定されていた。その後、法律へ格上げされるかたちで、個人情報保護法(91/2025/QH15)が2025年6月に成立し、2026年1月に施行された。政令からの主な変更点として、(1)法令違反時の罰金が定められたこと、(2)越境移転規制の対象となる個人情報について、従来存在した「ベトナム国民」に限定する文言が削除されたこと、などが挙げられる。

シンガポールやマレーシアでは近年、個人情報保護法の改正の動きが見られた。シンガポールでは、2021年2月に個人情報保護法が改正・施行された(調査レポート「シンガポールにおける個人情報保護についてPDFファイル(416KB)」参照)。2014年に施行された同法は、当時、世界的にも厳格な法律であったが、その後、EUのGDPRの成立や、周辺国でのこれに基づく個人情報保護法の制定などを背景に、改正された。改正法では、法令違反時の罰則が強化され、年間売上高の10%まで罰金を科すことが可能と定められた。また、個人情報漏洩(ろうえい)が発生した場合の個人情報保護委員会および影響を受けた個人に対する通知義務が新たに導入された。

マレーシアでは、2025年に個人情報保護法の改正法が施行された。改正の主な内容として、(1)法令義務違反時の罰則の強化、(2)一定の条件に該当する個人情報を取り扱う事業者に対するデータ保護責任者(DPO)の任命・届け出の義務化、(3)個人情報漏洩時の通知義務の導入、などがある(2024年7月23日付ビジネス短信参照)。また、個人情報の越境移転についても、その要件が変更された。

個人情報の越境移転規制も各国で整備

個人情報の越境移転についても各国の法律で明確に規定され、企業にはその対応が求められている。インドネシア、マレーシア、フィリピン、シンガポール、タイでは、移転元国と同等のデータ保護基準を確保することなどを、要件として各国法令で定めている(表参照)。

ベトナムは、個人情報の越境移転について、他のASEAN主要5カ国とは異なる独自の要件を定める。データ移転者は、通常のデータ処理影響評価書に加え、データ移転影響評価書を作成する必要がある。また、移転から60日以内に、公安省傘下のサイバーセキュリティー・ハイテク防止局(A05)に必要書類を提出することを義務付けている。さらに、越境移転規制に違反した場合には、違反者の前年の売上高の5%または30億ドン(約1,800万円、1ドン=約0.006円)のいずれか高い方という高額な罰金が科される。法律と同時に施行された下位規則である政令356号(356/2025/ND-CP)では、評価書の新様式が定められており、実務対応にあたっては最新情報の確認が必要だ。

表:ASEAN主要国の包括的個人情報保護法および越境移転規制
国名 法律名 施行時期 越境移転規制
シンガポール 個人情報保護法 2021年2月1日改正法施行 移転先で同等の保護基準が確保されるなど、一定の要件を満たす場合は可能。
マレーシア 個人情報保護法 2025 年4月1日改正法施行 移転先で同等の保護基準が確保される、本人の明示的同意がある場合など、一定の要件を満たす場合は可能。
フィリピン データプライバシー法 2012年10月16日施行 移転先で同等の保護基準が確保されるなど、一定の要件を満たす場合は可能。
タイ 個人情報保護法 2022年6月1日施行 移転先で同等の保護基準が確保される、本人の明示的同意がある場合など、一定の要件を満たす場合は可能。
インドネシア  個人情報保護法 2022年10月17日施行
※運用細則は未施行 		移転先で同等の保護基準が確保される、本人の明示的同意がある場合など、一定の要件を満たす場合は可能。
ベトナム 個人情報保護法  2026年1月1日施行 移転者がデータ移転影響評価を実施し、移転から60日以内に公安省傘下のサイバーセキュリティー・ハイテク防止局(A05)に必要書類を提出することが必要。

出所:「ASEANのデジタル経済とデータ関連規制」などを基にジェトロ作成

個人情報については、各国とも一定の条件の下で国外移転を認めているが、ベトナムとインドネシアでは、データ・ローカライゼーションに関する規制が存在する。ベトナムでは、サイバーセキュリティー法(注3)および政令53号(53/2022/ND-CP)において、データ・ローカライゼーション義務が定められている。具体的には、ベトナム国内で通信、インターネット、オンラインサービスを提供する国内事業者に対し同義務を課している。個人情報を含むサービス利用者のデータが対象で、ベトナム国内で保管することが求められる。また、外国事業者も、公安省から要求を受けた場合には、関連データをベトナム国内で保存する必要がある。インドネシアでは、個人情報保護法において、特に機密性の高い個人情報について、インドネシア国内で保管しなければならないと規定している。現在、具体的な運用規則が政府内で策定されている段階だ。

データ・ローカライゼーション規制に対応するため、企業は国内におけるサーバーの確保などの対応が必要となる。こうした規制は、ビジネスの柔軟性の低下やコスト増加といった課題を引き起こしているという意見が日系企業からも挙がっており、ビジネス上の制約の1つとなっている(調査レポート「ASEAN におけるデジタル分野の企業動向 および日系企業へのヒアリング調査PDFファイル(1.09MB)」参照)。

ベトナムでは初のAI法が施行予定

ASEAN各国ではAIのガバナンスに関するガイドラインの策定や法制化の動きが進んでいる。(2025年8月27日付地域・分析レポート参照)。多くの国では、まず法的拘束力を伴わないガイドラインの策定から着手し、将来的な法制化に向けた動きが徐々に具体化していくという潮流だ。

そうした中、ベトナムでは、2026年3月にAI法の施行が予定されている。ASEANにおけるAI分野の包括的な法律として初めての事例となる。同法は、AI分野への投資インセンティブを盛り込むとともに、EUのAI法に類似するかたちでAIシステムをリスクベースで分類し、その管理手法を定めている。特に、高リスクに分類されたAIシステムの提供者には、定期監査、リスク評価など厳格な管理が求められる。なお、施行後は、分野によって最大18カ月間の経過措置が設けられる予定だ。

シンガポールは、2019年にAIによる経済発展を目指す「国家AI戦略(NAIS)」を策定した。2023年には、生成AIなど最新の技術発展を反映した改訂版「NAIS2.0」を公表している。同戦略では、政府や産業、研究機関が向こう3~5年間で取り組む15の行動計画を設定している。規制・セキュリティーの項目では、AIガバナンスの規制枠組みの見直しやAI活用を支える法規制の改定検討など、AI規制環境の整備についても言及している。フィリピンでも、2026年度をめどに、ASEANの法的枠組みに基づき、AIに関するルールの草案を提案する計画がある。

各国で異なる制度、不明確な運用方針などが課題

これまで見てきたように、個人情報保護については、EUのGDPRの影響を受けつつも、その内容は国ごとに異なる制度となっている。こうした制度の違いは、ASEANで事業展開する日系企業にとって負担や課題となっている。また、ASEANの一部の国では、法律が施行された後も、詳細な実施規則やガイドラインが整備されていないケースが多く、企業のコンプライアンス対応に不確実性をもたらしている。例えば、インドネシアでは、個人情報保護法が制定されたものの、その運用規則にあたる政令はいまだ施行されていない。さらに、2025年には、DPOの専任義務対象について、憲法裁判所が従来の法解釈と異なる決定を下した結果、その義務対象が拡大するという事案が発生し、日系企業にも影響が及んだ。義務に違反した場合には、罰則の対象となる場合もある。ベトナムで施行予定のAI法についても、今後、政令の草案などが発表される予定だ。ベトナムでは、SNSの利用を含むサイバーセキュリティー強化方針が示されるなど、国は情報の集約・管理を一層強める姿勢を示している。

ASEAN主要各国で個人情報保護に関する法律が整備されたことは、課題を残しつつも、企業にとってはコンプライアンス対応の指針が示されたという点で、一定の前進として評価できるだろう。今後、ASEANで事業展開する企業は、短期的には、各国における不明確な運用方針の施行状況や、AIなど新しいルール形成の動向をフォローしていく必要があると考えられる。また、本稿では触れていないが、デジタル関連規制としては、このほかにもサイバーセキュリティー、デジタル課税、電子商取引に関する規制などが各国で整備されており、企業がカバーすべき範囲は幅広い。2026年に署名予定のASEANデジタル経済枠組み協定(DEFA)では、個人情報保護や越境データ移転に関する基準や共通枠組みの確立に向けた交渉が継続している(2026年2月16日付地域・分析レポート参照)。長期的には、次のステップとして域内ルールの統合が実現するのかどうかも、注目される。

注1:
ジェトロ「2025年度 海外進出日系実態企業調査(アジア・オセアニア編)」によると、ASEANで管理業務効率化のためにデジタル技術の導入・利用・投資を拡大すると回答した企業のうち56.2%が「クラウド」をその具体的な分野・技術として選択(複数回答)した。 本文に戻る
注2:
本稿の内容は、執筆時点(2026年2月)の情報に基づく。 本文に戻る
注3:
改正サイバーセキュリティー法が2025年12月に成立しており、2026年7月1日から施行される予定だ。本稿の内容は改正前の内容に基づく。 本文に戻る
執筆者紹介
ジェトロ海外調査部アジア大洋州課リサーチ・マネージャー
菊池 芙美子(きくち ふみこ)
2009年、ジェトロ入構。ジェトロ茨城、ジェトロ・ヤンゴン事務所(実務研修生)などを経て、2020年9月から現職。

これまでの特集

よく見られているレポート

  1. 中東リスクと物流(1)中東情勢悪化がホルムズ海峡に与える影響 (2026年04月10日)
  2. 不確実なトランプ米政権、2026年中間選挙で民主党勝利の可能性は (2025年05月20日)
  3. 中東リスクと物流(2)日本と中東の貿易とホルムズ海峡封鎖の影響 (2026年04月14日)
  4. 急成長を遂げる南米の新興国ガイアナ(1)石油発見で潤う国内経済 (2025年12月12日)
  5. 中国のレアアース輸出管理(1)日本への磁石輸出に大きな影響 (2026年03月10日)
  6. EUの包装・包装廃棄物規則(PPWR)は不確定事項が山積 (2026年03月31日)
  7. 紅海情勢悪化に伴う陸海空の代替ルートを探る (2024年11月07日)
  8. 中国のレアアース輸出管理(2)輸出許可取得プロセスにおける課題 (2026年03月24日)
  9. 2025年度 海外進出日系企業実態調査(アジア・オセアニア編)(2025年11月)
  10. 急成長を遂げる南米の新興国ガイアナ(3)日系など外資はどう見る (2026年01月15日)