個人情報保護法がビジネスに与える影響
- F&A Writer
- 2022年11月25日
- 読了時間: 4分
2022年10月17日付けで個人情報保護法(2022年27号法)が施行されました。
いままで、インドネシアでは包括的な個人情報保護法はなく、後述するそれぞれの業法において個人情報に関する取扱いが個別に決められているのみでした。今回の個人情報保護法は、個別の業法を超えて包括的に個人情報の取り扱いを定めたものになります。
もう何年も個人情報保護法が議論されては、立ち消えになる状態が繰り返されてきましたが、ようやく国際標準に近い法律が施行されたことになります。
少なからずの影響をすべての企業に与えますので、今回は、個人情報保護法の意義と、ビジネスに与える影響を見ていきたいと思います。
【個人情報保護法の意義】
上述の通り、いままで包括的な個人情報保護法は存在しませんでしたが、個人情報について触れた法律は以下の通りいくつかありました。これらの法律は、個人情報保護法と矛盾が生じない範囲において、引き続き有効とされています。
① 電子取引データ保護法
「電子システム」における「一般的なデータ」の管理について述べている法であって、個人データに直接言及しているものではない。ただし、大衆メディアで個人情報を使用する場合に、本人の許可を得る必要があると定めている項がある。
② 個人の健康に係る情報に関する法(2009年第36号法)
個人の「健康」に関わる情報の取り扱いは、厳格に保護されている。すべての国民は、健康に関しての個人の秘密が守られる権利を有する。これは、従業員にも当然適用されるため、退職した従業員などの健康に関する情報管理には十分留意が必要。
③ 個人データの海外転送に関する法律 (MOCI第20号法)
個人データのオフショア転送を行うことを希望するインドネシアに居住する当事者は、情報通信省(MOCI)または権限を与えられた公的機関に許可を得る必要がある。(i)転送する国、受信者、転送日、およびそのようなオフショア転送の目的について、(ii)必要に応じて事前報告をし、(iii)データ転送の結果を報告しなければならない。こうした法律は存在するものの、運用指針や「権限を与えられた公的機関」が存在しないため、形骸化している。
④ 会社データに関する法律 (会社法)
会社が保管している従業員の情報は、「会社データ」には違いないということで、広い意味で会社法上の”Other Documents”であると解釈されている。” Other Documents” を勝手に流出させた従業員に対し、会社は損害賠償を請求することが可能である。ただしこれは会社とデータを流出させた従業員との関係性の話であって、会社と被害を受けた従業員との関係性は論じられていない。
以上の通り、個人情報に触れた法律は存在するものの、いずれも包括的に定めたものではありません。特筆すべきは、会社が保管している従業員の情報に関しても、定義と取り扱いが曖昧であったことです。この点、個人情報保護法では、従業員、顧客、その他電子システムで得た個人データなどすべてを対象としていますので、どんな企業も少なからず影響を受けるものと思われます。
【貴社のビジネスに与える影響】
そもそもビジネスとして個人情報の取り扱いをしているような企業や、コンシューマー向けのITシステムを提供している企業は、情報保護責任者(Data Protection Officer)を任命し、より厳格に個人データを取り扱うことが求められています。
それ以外の一般の会社も、以下の点について影響があると思われます。
① 現従業員、退職した従業員の個人情報の取り扱い
② 面接した候補者の個人情報の取り扱い
③ 日本への従業員データの共有
特に③については、意図せず本法律に違反していることが多いので、留意が必要です。
個人情報の定義
個人情報保護法で定義されている個人情報は、以下のものが含まれます。
個人の指名、性別、国籍、宗教、婚姻、家族、診療履歴、遺伝子情報、犯罪歴、財産
個人の権利
個人情報の取得、収集、処理、分析、第三者への移転、利用、消去にあたっては、(a)当該個人の同意を得た場合、もしくは(b)当該個人との契約の履行に必要な場合等において、可能とされています。
その他、個人の権利としては、以下のようなものがあります。
1. 個人情報を収集・処理する目的について知る権利
2. 個人情報を更新・修正する権利
3. 自身の個人データにアクセスし、複製を得る権利
4. 個人情報の削除・破棄をさせる権利
個人データの国外移転
データの移転先国における個人情報保護の水準が、インドネシアと同レベル以上である場合は、国外移転が認められていることから、日本への移転は可能です。しかしながら、前述の通り、第三者への移転にあたっては、当該個人の同意が必要です。したがって、この点注意を怠ると、日本本社へ現地従業員のデータを送る場合、知らず知らずのうちに違反している可能性があります。なお、この国外移転に関する詳細は、別途政府規則で定められるとしています。
罰則
個人情報保護法に違反した場合、過料などの行政罰の他、刑事罰も定められています。刑事罰は両罰(法人が不法行為を起こした場合、法人及びその経営者も罰せられることがある)規定となっており、経営者にも罰金及び懲役が科せられる可能性があります。
個人情報保護法の遵守のため、2年間の猶予期間が定められていますが、現在自社が違反していることはないかなど、早急の点検が望まれます。
Comments