データ保護法施行、個人情報の取り扱いなど企業活動にも影響

(ケニア)

ナイロビ発

2019年12月20日

ケニアで11月25日、個人情報の取り扱いなどを規定するデータ保護法(Data Protection Act)が施行された。EU一般データ保護規則(GDPR)に準拠しており、個人情報を扱う全ての業種を対象とする。同法の取り扱い規制はケニア国内外に及ぶため、ケニアと関連のある日本企業も注意が必要だ。

データ保護法により、ケニア国内で特定の目的と方法で個人情報を収集・保管・使用・譲渡・加工する人や事業者(データ・コントローラー)、データ・コントローラーからの委託など代理で個人情報を取り扱う人や事業者(データ・プロセッサー)は所定の基準に従い、ケニアの居住者か否かにかかわらず、大統領が指名し国会が承認するデータ・コミッショナーに登録する義務を負う。また、特定の条件を満たさない限り、ケニア国内で収集した個人情報の国外持ち出しを禁じている。個人情報を国外に持ち出す場合は、情報漏出などに対応するセーフガード(安全装置)が存在する証拠が必要だ。例えば、ケニアのパートナー企業が収集した個人情報を日本に移管し分析する場合、情報を収集したケニア企業だけでなく、分析に関わる日本企業もデータ・コミッショナーへの登録が必要で、セーフガードの存在を証明する書類を作成しなければならない。

例外は、(1)個人が個人または家族の活動のために収集したとき、(2)治安維持・公益のため不可欠なとき、(3)他の法令により公開が義務付けられているとき、(4)特定の特別な調査のために収集されたときなどに限られる。

違反した場合、300万ケニア・シリング(約330万円、Ksh、1Ksh=約1.1円)以下の罰金や10年以下の禁固刑が科される。データ・コミッショナーにより500万Ksh以下または前財務年度総売上の1%以下の制裁金が科される可能性もある。

地元報道によると、ウフル・ケニヤッタ大統領は米国のEC大手アマゾンと、かねて個人情報の保護政策について意見交換を行ってきた。同法の施行を受けてアマゾンは、同社クラウドの最先端地域(データセンター)「エッジロケーション」にケニアを追加したと報じられた(「デイリーネーション」電子版11月8日)。これまでアフリカでは、南アフリカ共和国のヨハネスブルクとケープタウンが登録されていた。一方、地場のeコマースや非正規雇用者を対象としたマイクロファイナンスなど、個人情報の活用を前提としたサービスは、迅速な対応に迫られる。日本企業を含む外資企業の活動にも影響が見込まれ、今後の動向に留意する必要がある。

(久保唯香)

(ケニア)

ビジネス短信 47d84a4e8d9a08f5