法律

【2024年】マレーシア個人情報保護法改正案と今後の動き

マレーシアにおいては、Personal Data Protection Act 2010という個人情報保護に関する法律がすでに施行されているところ、いよいよ古くなって、GDPRなどに対応できなくなってきたため、改正が見込まれている。今回は、近時の動向についてお知らせしたい。

幻の改正案

2022年8月、マレーシア前政権は、現個人情報保護法を改正する案をドラフトしており、2022年10月には議会に上程される予定であった。しかしながら、同時期には総選挙があり、11月にはアンワル氏に政権交代されたためそのまま頓挫してしまったという経緯がある。

本記事を執筆している2024年2月時点でも改正案が新たに上程されたというニュースはなく、未だに新政権のもとドラフト中であると推測される。政権が交代されれば、当然ながら考えが変わることは容易に想定され、前政権が作った改正案は、下手すると一から見直している可能性すらある。

前政権が作成した改正案には何が規定されていたか?

現在は、改正案が見直されているとはいえ、依然として改正案に何が含まれていたか知っておくことは有益だ。現行法は、名前に2010年と記載あるものの、2013年に施行されているため、以降のGDPRや、アメリカの主要な州(例えばカリフォルニア州)の法律の改正についていけていないのが実態だ。

では、改正案には何が含まれていたのか?

  1. Data Protection Officer(通称、DPO)の選任
  2. データ漏洩の際の通知
  3. データプロセッサーに対する、さらなる高度なセキュリティ遵守
  4. 個人のデータポータビリティについての権利
  5. データ移転について、可能移転先を列挙するホワイトリストから、移転禁止先を列挙するブラックリストに変更する。

DPOの選任の義務付け

もはや個人情報保護法対応の定番メニューといえる。東南アジアでは、シンガポール、フィリピンにおいて義務付けされている。DPOの責任を簡単にいえば、会社の個人情報保護法対応の責任者で、具体的には社内の情報管理や、データ漏洩について責任を負う。個人情報を大量に扱う銀行やITのeコマースの会社であれば個人情報についての専属部署があると思われ、そこの部門長がDPOになるケースが多い。他方で、個人情報といえば従業員の情報くらいだという場合は、人事部門やIT部門のトップがDPOになるケースが多い。

データ漏洩の際の通知

これも定番メニュー。GDPRは漏洩を認識してから、72時間以内に監督機関に通知することを義務付けている。72時間ルールとも呼ばれている。

データプロセッサーのセキュリティ遵守

近年は、Googleやマイクロソフト、さらに人事システムや会計システムのベンダー等に個人情報の管理を委託するケースが増えてきた。現行法の制定当時は、大してセキュリティについて厳格なことは言っていなかったが、漏洩事故の件数増加や彼らのプレゼンスが高まるにつれて、彼らに求めるセキュリティ基準は高くなってきている。

データポータビリティ権利

これは、個人が自身の個人情報を簡単に移動できる権利である。例えば、ケータイ電話のネットワーク会社を変更したいときに、例えば、ドコモからソフトバンクに個人情報を彼ら同士で直接やりとりして移動させることができるというものだ。わざわざ個人がドコモからソフトバンクに情報をもっていかなくてもよいようにすることで、利便性を高めるというものだ。
通信会社や、銀行関連の会社においては、システム変更や、個人への通知・同意取得といった追加の対応が求められる。

データ移転ルールの変更

マレーシアの現行法は、データ移転ルールについていわゆる「ホワイトリスト」を用いている。ホワイトリストとは、マレーシアと同等のデータ保護水準である国にデータを移転する場合はOKとすることである。GDPRや日本はまさにこの方法を用いている。
これに対し、改正案は、ブラックリストにするという。つまり、どこに移転したらダメというリストを公表するということだ。リストに掲載された国には移転できない。なかなかタフな規定の仕方であり、このような規定の仕方は「主流」とはいえず、議論の余地が大いにある。ゆえに、新政権により見直しがある可能性大だ。

改正案から見えてくるもの

こうして改正案に盛り込まれていた内容を見ると、いずれも他の国ではすでに盛り込まれている内容であり、目新しいものはない。したがって、データ移転ルールの変更の方法を除き、いずれも盛り込まれて何の不思議もない。データ移転については、議論が活発になされているところなので、注視が必要だ。

現状、何をしておけばよいのか?

では、今何をしておけばよいか?改正案が見直されているとはいえ、現行法が存在するので、これに対応する必要は依然としてある。具体的には次の事項をしておけば摘発されるといったリスクはだいぶ低くなるだろう。

  • ・プライバシーポリシーの作成(外部に公表。客先やサプライヤーの個人情報をどのように保護するかを定める)
  • ・セキュリティ対策の実施(必要最低限、パスワードをかけるとか、施錠したキャビネに書類を保管するといったこと)
  • ・従業員に対するプライバシーノーティス(会社が従業員の個人情報をどのように保護するかを書いたもの)の配付、同意書の取得
  • ・客先や従業員の個人情報をマレーシア国外に移転する可能性がある場合は、上記プライバシーポリシーとプライバシーノーティスに記載しておくこと

いつ正式に改正案が成立するのか

2023年10月12日、通信デジタル省(Ministry of Communication and Digital)の発表によれば、改正案は、最終段階にあり、2024年3月に議会に上程される予定であるという。あくまで上程なので、審議の後施行になり、今すぐ対応が必要になるという訳ではないけれど、対応期限を確認しながら準備しておく必要はあるだろう。


 改正案には、少なくとも次の事項が含まれているという

  1. サイバー攻撃者に対する罰金の引き上げ。
  2. データ利用者に対するDPOの選任義務化
  3. マレーシア個人情報保護局に対するデータ漏洩の報告の義務化

上記で見てきた内容は必ずしも時間がかかる対応内容ではないため、予測される対応についてあらかじめ準備しちゃいましょう!

ABOUT ME
kiwami
海外在住経験を活かし、海外移住をもっと広めたい。 旅行、スポーツ、写真などのネタを投稿

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です