個人情報保護法案が国会で可決、企業への影響に懸念

インドネシア国会本会議は9月20日、個人情報保護法案を可決した。16章76条からなる同法案は、（1）個人情報の対象者または個人情報保有者の権利、（2）個人情報処理の条件および個人情報管理者・処理者（注）の義務、（3）大統領直属の個人情報保護機関の設置、（4）罰則につき規定している（インドネシア通信情報省プレスリリース）。同法案に違反した場合の罰則対象には民間企業も含まれることから、企業活動への影響も懸念される。なお、同法案は国会での可決後30日以内に大統領の署名を経て施行される予定で、最終版の公開を待つ必要がある。

同国では、それぞれで個人情報の定義などが異なる複数の法律・規則が存在するが、同法案により個人情報保護に関する一般法が整備されることになる（2021年7月27日付地域・分析レポート）。同法案第4条では、個人情報の定義につき、一般個人情報（氏名、性別、国籍、宗教など）と特定個人情報（医療情報、犯罪記録、遺伝子情報など）の2種類に区分する。また、大統領直属の個人情報保護機関については、同法案58条から60条にかけて規定され、（1）個人情報保護に関する方針、戦略などの策定・決定、（2）個人情報保護の実施状況の監督、（3）同法案違反に対する行政処分の実施、（4）個人情報保護に関する紛争の裁判外での解決を行うとされている。

56条では、個人情報の域外（国外）移転について規定しており、移転に際し個人情報管理者が、移転先の国がインドネシアと同程度の個人情報保護水準を有しているかの確認を行う必要があるとする。

同法案への違反者に対しては、行政処分と刑事罰を規定する。行政処分は57条で規定されており、個人情報管理者・処理者が同法案に違反した場合、書面による警告、個人情報処理活動の一時停止、個人情報の破棄、および課徴金またはその両方が科せられる。ジョニー・プラテ情報通信相は「課徴金は、年間所得または年間収入の最大2％となる」と述べた（同プレスリリース）。刑事罰は67条から73条で規定され、例えば個人情報の改ざんは6年の禁固刑または600億ルピア（約5億7,000万円、1ルピア＝約0.0095円）の罰金またはその両方が科せられる（68条）。

同国のアドボカシー・グループ「ELSAM」は「同法案では、公的機関よりも民間企業の方がより広く罰則が適用されることになっている」と懸念を示している（ELSAMプレスリリース）。

（注）個人情報管理者は、個人、公的機関、または国際組織であって、単独または他の者と共同で個人情報の処理目的および方法を決定する者。個人情報処理者とは、個人情報管理者に代わり個人情報を処理する個人、公的機関および国際組織を指す（同法案1条）。

（上野渉）