インドネシア:電子システム上の個人情報保護規制の導入
長島・大野・常松法律事務所
弁護士 小 林 亜維子
2016年12月1日に、電子システム上に保管される個人情報の保護に関するインドネシア通信・情報大臣令が発効した(通信・情報大臣令2016年第20号。以下、「本規則」という。)。本規則は、電子情報取引法(2008年第11号)並びに電子メディア及びシステム上の個人情報の取り扱いを規制する政府規則2012年第82号の下位規則である。本規則は、電子システム上に保管される個人情報のみを対象としているが、電子システムを利用して個人情報のやりとりが多くなされる今日においては、多くの企業にとって重要な規則といえる。
1. 定義
本規則のいう「個人情報」とは、正確性及び守秘性が保持され、維持され、保護されている個人に関連する特定の情報をいい、「個人に関連する特定の情報」とは、正確かつ真実であり、直接又は間接的に個人を識別する特定の個人に関する全ての情報をいう。また、本規則が適用される者は「電子システムプロバイダ」とされており、具体的には、電子システムの利用者及び・又は第三者の利益のために、独立して又は共同で電子システムを提供、管理及び・又は運営する全ての個人、国の機関、事業体又は共同体をいうとされている。
2. 電子システムプロバイダの義務
(1) 同意書の作成及び提示
電子システムプロバイダは、個人情報の収集・保管等に関連し、主に、以下の義務を負う。まず、個人情報に関連する行為(個人情報の取得、収集、処理、分析、保管、表示、公表、譲渡、散布、アクセス権の付与及び消去)を行う場合には、電子システムプロバイダは、個人情報の所有者(個人情報によって識別される者。以下「本人」という。)より事前に同意を取得しておく必要があるとされている。この同意の取得方法として、電子システムプロバイダは、インドネシア語の同意書の標準書式を作成し、これに基づいて本人より(書面又は電子的方法のいずれかにより)同意を得なければならない。なお、この書式については、インドネシア語とその他の言語との並記にすることや、インドネシア語版に加えて他の言語版を作成することを特に禁じる規定はないことから、そのような形式であっても、本規則の要件は満たすものと考えられる。
(2) 情報漏洩の通知
さらに、政府規則2012年第82号及び本規則によれば、電子システムプロバイダは、個人情報の漏洩が生じた場合、本人に対して通知を行わなければならない。当該通知は、情報漏洩発生から14日以内に、先の同意書に記載された方法(書面又は電子的方法)によって、本人に送付される必要があり、当該漏洩によって損害が生じる可能性がある場合には、電子システムプロバイダは本人がかかる通知を受領したことを確認しなければならない。なお、通知には、情報漏洩が生じた理由又は原因を記載するものとされている。
(3) 内部手続・方針の作成
電子システムプロバイダは、個人情報の取得、収集、処理、分析、保管、表示、公表、譲渡、散布、アクセス権の付与及び消去をすることについて、個人情報保護にかかる内部手続又は方針を設けなければならない。そして、かかる内部手続又は方針の制定においては、適用される法令の遵守のみならず、利用可能な技術、人的資源、技術的手順及び費用等を考慮する必要がある。また、その内容としては、従業員の個人情報保護の重要性に対する認識を強化することの努力規定及び電子システムプロバイダによって管理されている個人情報を保護するために採られるべき手続に関する従業員研修にかかる規定が含まれている必要がある。
(4) その他の義務
電子システムプロバイダは、認証を受ける必要があるとされているが、認証制度について具体的に規定されていないことから、今後の運用実務の構築や新たな規則の制定が期待される。また、取得された個人情報は、業法等で別途定めがない限り、電子システムプロバイダによって、本人が電子システムプロバイダのサービスの利用を終了した日から最低5年間保管される必要があり、個人情報が保管される際には、当該個人情報は暗号化されていなければならない。
3. 個人情報漏洩にかかる紛争解決
本人及び電子システムプロバイダは、個人情報の漏洩に関し、通信・情報省の情報応用局へ申立を行うことができる。具体的には、個人情報の漏洩があったにもかかわらず、通知を怠った場合や情報漏洩の通知が遅滞したことにより本人又は他の電子システムプロバイダに損害が発生した場合である。これは、裁判外での手続きになるが、本手続きによって解決できなかった場合には、当事者は民事訴訟を提起することができる。
4. 行政処分
本規則の違反は、(1)口頭又は書面による警告、(2)事業活動の一次的な停止、及び・又は(3)違反の公表という行政処分の対象となる。もっとも、行政処分の手続きの具体的な運用については、通信・情報大臣が今後定めることとなる。
電子システムプロバイダは、本規則に基づき2年以内に、本規則の規定を遵守しなければならない。今後、電子システムプロバイダに該当する者は、同意書の作成や内部手続き又は方針の作成が必要となり、また規定が未了の部分についてどのような規則が設けられるかについては注視する必要がある。