データ保護規則を発表、施行スケジュールに注意が必要

(ケニア)

ナイロビ発

2022年02月22日

ケニアのデータ保護コミッショナー・オフィス(ODPC)は1月14日、官報でデータ保護規則(2021年)の内容を発表した。同規則は、2019年11月25日に施行したデータ保護法(2019年12月20日記事参照)の具体的な内容を規定している。

ODPCによると、データ保護規則は以下3つの規則で構成する見込み。

・2021年データ保護(一般)規則

・2021年データ保護(データ・コントローラーおよびプロセッサーへの登録)規則

・2021年データ保護(苦情の申し出の手続き)規則

主なポイントは以下のとおり。

○データ管理者・処理者としての登録対象者

  • ケニアのサーバーやデータセンターで個人情報を処理している
  • ケニアのデータセンターに少なくとも1つの個人情報を保有している

【想定される活動】

・市民登録・個人管理システム

・選挙の実施

・公的財務システムの監視

・犯罪防止事業

・教育事業

・保健・医療事業

※年間の収益が500万ケニア・シリング(約500万円、Ksh、1Ksh=約1円)以下、かつ従業員数が10人未満の組織は免除。年間の収益が500万Ksh以上、または従業員数が10人以上の組織は対象となる。

○初期登録は2年間有効で、登録料は収益と従業員数に応じて4,000~4万Kshに設定。更新費用は2,000~2万5,000Ksh。

実際に施行したかどうかは公表されておらず、今後のスケジュールには注意が必要だ。2021年データ保護(データ・コントローラーおよびプロセッサーへの登録)規則によると、猶予期間は公表から6カ月としている。また、行政委任立法(2013年)には、規制当局が起案した規則が委任立法委員会(国会が法定文書を検討する目的で設立する委員会)へ照会した日から28日以内、または国会で期間内に反対意見などの報告がない場合、承認されたと見なすと規定している。1月14日の照会日から28日以上が経過した2月18日にジェトロがODPCに電話取材をしたところ、「反対意見はなかったと承知している」とのコメントがあった。

(久保唯香)

(ケニア)

ビジネス短信 735073cacef69dd8