個人情報保護法がビジネスに与える影響 - ②

先日、インドネシアの「個人情報保護法がビジネスに与える影響」を取り上げ、その概要をご紹介しました。今回は、インドネシアの個人情報保護法（Personal Data Protection法,以下"PDP法"）の中で、特に注意すべき点について深掘りしてみたいと思います。法令への対応期間は2024年までと設けられていますが、罰金、禁固刑、ライセンスの取り消しといった重大な制裁が定められているため、早期からのPDP法への理解と規定の策定を進めていくことが重要です。

PDP法は、EUの個人情報保護法（General Data Protection Regulation, 以下"GDPR"）を参考に作成されており、その内容は日本の個人情報保護法とは大きく異なります。そのため、日本の規定をそのままインドネシア子会社に適用することは問題を引き起こす可能性があります。この点には特に注意が必要です。

個人情報の定義

PDP法上、個人情報は以下のように定義されています。

「個人に関する情報、記録またはデータであって、電子的又は非電子的方式により直接又は間接的に個人が識別され、又は他の情報、記録またはデータと結び付いて個人が識別され得るものをいう。」

つまり、データの組み合わせにより個人を特定可能な情報のことを指します。

PDP法では、個人情報をさらに①一般個人情報、②特定個人情報の２つに分類します。それぞれ以下のような情報を含みます：

①一般個人情報

• 氏名

• 性別

• 国籍

• 宗教

• 配偶者の有無

• 携帯電話番号、IPアドレス、または組み合わせれることにより個人を特定できる情報

②特定個人情報

• 身体的健康、精神的健康、健康サービスに関連する個人の情報

• 顔画像又は指紋鑑定データなど、個人の識別を可能にする身体的、生理的又は行動的特徴などのバイオメトリクスに関連する情報

• 遺伝に関する情報

• 犯罪に関する情報

• 子供に関する情報

• クレジットカードや銀行での預金などの金融に関する情報

これらの情報を収集、処理する企業は全てPDP法の対象となります。従業員の情報はどのような会社であっても一定量処理していますから、事実上、すべての会社がPDP法の影響を受けることになります。

興味深い点として、EUのGDPRでは、宗教は特定個人情報に分類されていますが、インドネシアでは一般個人情報に含まれます。これは、インドネシアでは国民全員が（少なくとも登記上は）何かしらの宗教に所属しており、面接でも普通に宗教の話題が出る文化背景が影響していると考えられます。

なお、特定個人情報を収集・処理する場合、「データ保護影響評価（Data protection impact assessment, DPIA)」を別途実施しなければなりません。特定個人情報は、特にリスクが高いとされる個人情報であるため、その取り扱いに先立つ影響評価が必要とされています。ただし、特定個人情報を処理する企業は少ないと考えられるので、今回はこの部分については詳細を割愛します。

適法性の根拠

いかなる個人情報であっても、それを収集・処理するためには、以下のいずれかを満たさなければいけません。これを適法根拠といいます。適法根拠のない個人情報の収集・処理は禁止されています。

1. 特定の利用目的に対する本人からの明確かつ有効な同意

2. 本人が当事者である契約上の義務の履行又は、契約時の本人からの要求への対応

3. 自社の法的義務の履行

4. 本人の生命、身体の保護

5. 公益若しくは公共サービスにおける義務履行もしくは法令に基づく自社の権限行使

6. 自社の正当な利益ために取扱いが必要となる場合。（ただし、本人の権利と利益とのバランスを考慮しなければならない）

特筆すべきは、本人からの同意は、適法根拠の１つでしかないということです。同意がなくても、他のどれかの適法根拠を正当化できれば、個人情報を取り扱うことが可能です。この点、日本では原則として「本人の同意」を求めていますので、日本とは大きく異なります。ただし、それぞれの項目は、意外とその言葉以上に複雑です。それぞれ、具体例を見ていきたいと思います。

1. 特定の利用目的に対する本人からの明確かつ有効な同意

この適法根拠が一番イメージしやすいとは思いますが、PDP法上の「同意」という言葉に実は落とし穴があります。インドネシアのPDP法では、「明確かつ有効な同意」がどういったものを指すのか明確に書かれていませんが、EUのGDPRが参考になります。

GDPRでは、同意は以下のように定義されています。

「個人情報処理の目的が特定され、事前に明瞭な説明を受けた上での、本人の自由な意思表示を意味し、それによって、本人が、その陳述又は積極的な行為により、自身に関連する個人情報の取扱いに同意を表明するもの」

たとえば、雇用者と従業員との間には力関係が存在するため、その場合の「自由な意思表示」とは見なされない可能性があります。また、後述する本人への事前の「明瞭な」通知・説明が必要となります。この通知内容が意外と厄介ですので、この同意という適法根拠は案外使いづらいことが分かります。

2. 本人が当事者である契約上の義務の履行又は、契約時の本人からの要求への対応

たとえば、商品を購入した際に、その配送のために一時的に個人の氏名や住所を処理する場合がこれに該当します。この場合、契約義務の履行のために必要な、当然の個人情報処理であるため、１．で述べたような煩わしい本人との同意は不要になります。

3. 自社の法的義務の履行

たとえば、従業員の所得税（PPh21)やBPJSを徴収、納税、申告をするために個人情報が必要になる場合が該当します。

4. 本人の生命、身体の保護

重症を負ったり、意識不明になった場合に、本人の生命を保護するために緊急で個人情報の収集・処理が必要になった場合が該当します。たとえば、救急車を呼んで、病院に対して個人情報を提供する場合などです。

5. 公益若しくは公共サービスにおける義務履行もしくは法令に基づく自社の権限行使

たとえば、従業員が警察の捜査対象になっており、会社に対して事情聴取や情報提示を求めれれた場合、本人に同意を求めることは、捜査遂行の妨げになります。こうした場合には適法根拠になります。

6. 自社の正当な利益ために取扱いが必要となる場合。（ただし、本人の権利と利益とのバランスを考慮しなければならない）

特に奥が深いのがこの「正当な利益」という適法根拠です。自社の正当な利益のために個人情報を処理する場合で、本人の権利と利益を損なわなければ、本人の同意なく処理できるというものです。ただし、情報収集の時点で本人がその利用目的を「合理的に想定」できることが必要です。たとえば、EUのGDPRでは、グループ企業間で顧客や従業員の個人情報を移転することが例示されています。さらに、GDPRでは、「企業グループ内での第三国に所在する企業に対する個人情報の移転についての一般原則は、影響を受けない。」という文言もありますが、インドネシアのPDP法ではここまで明記されていないため、第三国のグループ企業に個人情報を移転する場合は、いまのところ本人の同意を得た方が無難でしょう。この辺りは、細則が待たれるところです。

本人への通知・説明

適法根拠が前項の「同意」に基づく場合、以下の項目について本人への通知が必須となります：

a. 個人情報処理の適法性の根拠

b. 個人情報処理の利用目的

c. 処理される個人データの種類とその関連性

d. 個人データを含む文書の保管期間

e. 収集される情報の詳細

f. 個人データの処理期間

g. 本人の権利

なお、インドネシア語での通知が必須になります。

合併その他の事由による第三者への提供

企業の合併、統合、買収、分割、または解散によって個人情報が第三者に提供される場合、事前および事後の2回、前項で述べた内容を本人に対して通知することが求められています。新聞による公告も許可されています。

国外へのデータ移転

個人情報を国外の第三者に提供する場合、移転先の国及び当該第三者が、「インドネシアのPDP法と同等以上の個人情報保護水準」を有することを確認しなければならない、とされています。ただし、以下の例外規定も存在します：

（１） 移転先の個人情報管理者が十分かつ拘束力のある個人情報保護を確保できる場合

（２） 本人の明示的な同意が得られている場合

繰り返しになりますが、日本はインドネシアのPDP法とは大きく異なりますので、日本は「インドネシアのPDP法と同等以上の個人情報保護水準を有する」とはいえない可能性が高いでしょう。したがって、上記（１）（２）の例外規定を検討することになります。

インドネシアのPDP法に基づく個人情報の処理、国内外への情報提供、通知義務、そしてデータ移転に関する基本的な規定を概観しました。法律が定める要件は、ビジネスを適切に運営し、顧客との信頼関係を保つための重要なガイドラインです。特に、インドネシアと日本の法律間での違いを理解することは、両国間のデータフローを適切に管理するために不可欠です。本ニュースレターに示された情報は全体像の一部に過ぎません。インドネシアのPDP法の詳細な解釈や、それがあなたのビジネスにどのように影響を及ぼすかについての具体的な質問があれば、弁護士やコンサルタントに相談することをお勧めいたします。