インドネシア個人情報保護法施行規則草案
草案が2023年8月31日に公表された。国外移転については、(1) 情報の移転先国における個人情報保護の水準がインドネシアと同等以上である場合、(2) 法的拘束力を持った適切tな体制が確保されている場合(おそらくBinding Corporate Rulesのようなもの)、(3) データ主体から同意があった場合に認められる。
上記1と2は、基準がはっきりしないことが多いため(タイも同様)、上記3を採らざるを得ない状況になると想定する。草案では、上記3を採った場合、会社がリスク評価を行う必要があるとされており、タイと比べても厳しい。
タイ:PDPAにおけるデータ保護責任者(DPO)の選任が必要な場合に関する告示
2023年9月14日付で告示を官報に掲載。同年12月13日に発効予定。
PDPA上、DPOは、「①大規模な個人情報を取扱い、②個人情報又はシステムを定期的に監視することを要する場合」に選任が必要。本告示は、この基準・内容を明らかにするもの。
取り扱う個人情報が従業員の情報くらいしかないという会社(人事・IT部門により、従業員の管理目的で、従業員の個人情報を収集・利用・開示するなど)は、下記(1)または(2)に該当しないだろう。仮に(1)、(2)に該当するとしても、下記(3)でいう中核的業務ではないため、DPO選任義務はないと考える。
(1) 大規模な個人情報の取扱い
該当するかどうかは、個人情報の主体の数、量、性質、内容、取り扱われる期間、地理的範囲を考慮して判断。そして、少なくとも次に該当する場合は「大規模な個人情報の取扱い」に該当。
・取り扱う個人情報の主体が 10 万人以上である場合の個人情報の収集、利用又は開示
・ユーザーが広く利用する検索エンジンや SNS を通じた行動ターゲティング広告を目的とした個人情報の収集、利用、又は開示
(2) 個人情報又はシステムを定期的に監視することを要する場合
行動、態度、個人プロファイルの追跡、監視、分析、予測を伴い、一般に、体系的かつ定期的に個人データの収集、利用又は開示が行われるものは、「個人情報又はシステムを定期的に監視することを要する場合」に該当。
(3) 中核的業務であること
本告示において、上記(1)及び(2)に該当する場合について、それが事業者の主要業務のために必要かつ重要な「中核的業務」である場合に DPO を選任する必要があるとされており、逆に、一定の人事・IT 業務等のバックオフィス業務に限定されるような場合については、DPO の選任義務は生じない旨が規定。
インド個人情報保護法
2023年8月に成立したインドデジタル個人データ保護法について共有。なお、施行日は未定。
以下の記事が大変わかりやすい。
大方の会社で行う必要があるのは、以下:
- Privacy Policy(いわゆる社内規程)の作成
- Privacy Noticeの作成と同意書の取得
- Policyに則った体制(問合せ部門)とセキュリティ対策の構築
なお、以下は、政府が指定する重要なデータ受託者(Significant Data Fiduciary)への追加的義務とされており、従業員情報を主に扱う会社には義務付けられないのではと考える。
- Independent data auditorの指名・監査
- Data Protection Impact Assessmentsの実施
- DPOの選任
GDPRと比較して、インド法がユニークな点は以下:
- 個人情報の定義として、一般個人情報とセンシティブ個人情報(健康情報など)の区別がない。
- 同意書の要件が厳格(インド憲法で規定する22言語で作成が必要ともあり、下位法令が出たら要確認)
- 当局へのデータ漏洩報告・個人への通知義務の範囲が不明確で広い。