データプライバシーに関する規制の最新情報

フィリピン、台湾、インドの各地域で、個人データのプライバシー保護を目的とした包括的な規制が実施されています

インドの情報保護構想が政策とビジネスに与える影響

2023年、「デジタル個人情報保護法2023（DPDP法）」の制定によって、インドは情報保護の新時代に突入しました。その後、政府は「デジタル穂人情報保護法令2025法案」が2025年1月に発表され、同年3月5日に関係各所との意見交換が終了しました。

DPDP法は大統領が署名して成立しましたが、施行にはいたっていません。この法律が施行されるまで、 2011年SPDIルール（機密個人データまたは情報）がインドの情報保護に適用されてきました。電子情報技術省（MeitY）は、 DPDP法や今後発表される規則に企業が対応できるように2年の移行期間を設けています。

MeitY大臣の最近の談話によると、政府は企業に対して自社のポリシーや業務をDPDP法に適応させるように求めていますが、それは一筋縄ではいかないでしょう。というのも、まだ確定していない今後の規則を通じて、 DPDP法の条項の詳細が明らかになるだけでなく、政府とデータ保護委員会（DPB）は運用上必要なことを義務付けていくことが予想されるからです。 DPDP法と各規則の成立時に、企業は自社のポリシーや業務をそれらに合わせることを求められるだけでなく、 DPDP規則草案が最終決定され、DPDP法が施行される間も、企業はSPDI規則に従うことが求められます。

2年間の移行期間を考慮すれば、ある規則を遵守し、別の規則にも従う準備を整えることは実現可能のように思えます。しかし現実は大きく異なります。SPDI規則は単にインドのデータ保護の基礎的な枠組みを提供しているだけで、厳格な要件が少なく、執行に一貫性がないことが特徴であり、DPDP法への切り替えをむつかしくしています。さらにDPDP法はDPDP規則と連動して、いくつかの点では各分野の法律に譲歩し、基本的なデータ保護の枠組みとして機能するため、特に個人データの国境を越えた送信に関して、分野別の規制が追加的またはより厳格な要件を課す可能性があります。他の規制と整合させる必要があるため、運用やロジスティクスの面で大きなハードルが生じ、特に、コンプライアンスの手順を効果的に導入・維持するためのインフラやリソースが不足しているスタートアップ企業や小規模事業体にとっては、ビジネスに影響がでる可能性があります。

DPDP 法の原則に基づくアプローチは、政策レベルと運用レベルの点で新たな課題をもたらす可能性があります。

潜在的な政策の不確実性。 DPDP法の条項は分野別の法律の要件と併せて読むと、政策の不確実性を残しています。例えば2020年、「ユーザーのデータを不正に盗み、国外に送信している」と政府は中国製のモバイルアプリを禁止しました。しかし、中国の技術への政府スタンスは、説明できない変化をおこしています。これは、MeitY大臣が最近、中国のオープンソースAIモデル「DeepSeek」をインドのサーバーでホストすることで、データセキュリティとプライバシーに関する懸念を軽減するというコメントをしたことに示されています。

DPDP法は個人情報をインド以外の国・地域へ送ることを制限しています。このような国境を越えたデータ転送が、分野別の法律で概説されている厳格な保護に準拠することを義務付けています。さらにDPDP規則案はインド内外のあらゆるデータ転送は、特に外国人、または他の国と関係のある企業へのアクセスに関して、中央政府の一般命令または特別命令で明示された制限に従わなければならないと規定しています。

DPDP法は中央政府に他の国、または地域への個人データの送信を制限する権限を与えています。この法律は、このような国境を越えたデータ送信が、分野別法律で概説されている厳格な保護を遵守することを義務付けています。DPDP規則案はさらに、インド内外のあらゆるデータ送信は、特に外国人または外国と関係のある団体へのアクセスに関して、中央政府の一般命令または特別命令で明示された制限に従わなければならないと規定しています。

しかしながら、この法律には詳細な保護措置がなく、国境を越えたデータ送信について行政の裁量に頼っているため、恣意的な意思決定や頻繁な規制変更のリスクがあります。これにより、政策の不確実性が生まれ、法的枠組みへの信頼が損なわれる可能性があります。これらの通知や変化する政策が予測不可能な可能性があるため、法令遵守上の課題が生じ、企業や利害関係者の規制リスクが高まります。

さらに政策の不確実性を生じさせるかもしれない条項が、個人情報の漏洩がおこったときDPDP規則案の条項にあります。データ受託者は個人の漏洩が発生した場合、「遅滞なく」漏洩を被ったデータ主体、およびDPBに通知する必要があります。その後、データ受託者は72時間以内にDPBに詳細な報告書を提出する義務があります。しかし、DPDP規則案では「遅滞なく」という用語が定義されておらず、初期報告のタイムラインが明確にされていないため、CERT-In （コンピュータ緊急対応チーム） が義務付ける既存の規制と矛盾する可能性があり、特に高リスクのケースにおいて政策の不確実性や不要な重複を引き起こす可能性があります。

個人情報漏洩通知の課題。 DPDP規則案およびDPDP法では、すべての個人データ侵害をDPBおよび影響を受けたデータ主体に報告することが求められていますが、こうした侵害を報告するための基準や閾値が提供されていません。そのため、データ受託者は、どんな些細な漏洩であってもすべて報告する義務を負うことになります。この要件は、事件の性質、規模、リスクに関する指針が欠如しているため、DPBへの過剰な報告を招き、漏洩によるリスクを効果的に軽減する能力を妨げる可能性があります。さらに、この規定は、システム障害を個人情報漏洩として誤認させる可能性があり、混乱を招き、影響を受けた個人やDPBを圧倒する可能性があるため、最終的には評価の低下を引き起こす可能性があります。

個人情報漏洩通知要件は、CERT-Inのサイバーセキュリティ指令や2023年のインド電気通信法のもとで発効された2024年電気通信（テレコム・サイバーセキュリティ）規制を勘案せず、類似した情報漏洩の周知を義務付けます。この監視は、政府当局が包括的な全政府的アプローチを採用せず、個人データ侵害を報告するための単一窓口規制経路を確立しなかったことに起因しています。複数の「報告任務」は、脆弱性を軽減するどころか、むしろ悪化させる可能性があります。

あいまいなデータローカリゼーション要件。データローカライゼーションの権限は、個人データを外国政府機関に開示、または送信に関する外国法のさまざまな要件とｋウイ違う可能性があります。DPDP規則案では、重要なデータ受託者に対してデータローカライゼーション要件を提案しており、中央政府が設立した委員会の勧告に基づき、特定の個人データセットやトラフィックデータをインド国外に移転することを禁止しています。これは、厳格なデータローカライゼーション要件から離れるという政府の以前の立場からの転換を示しています。

情報請求に関する恣意的な権限。データ受託者や仲介者から情報を請求する権限が手続き上の保護措置なしに義務付けられており、インド憲法第21条で保証された基本的なプライバシー権を認めた「KS Puttaswamy（Retd）判事 & Anr対Union of India & Ors」（2017）の画期的な判決に矛盾しているように見えます。この判決では、プライバシー権を侵害するデータ開示の要求は、以下の3つの要件を満たす必要があるとされています：

1. 1. 行為が法律によって認可されていること、
   2. 行為が正当な目的のために民主的社会において必要であること、
   3. 行為が比例的であり、目的と採用された手段との間に合理的な関連性があること。

DPDP規則案およびDPDP法は、これら3つの要件を考慮しておらず、代わりに政府に広範な裁量権を与え、いかなる情報も請求できるようにしています。この権限は手続き上の保護措置や情報請求の根拠が欠如しているため、曖昧で恣意的です。DPDP法は、データ受託者や仲介者が情報請求に異議を申し立てたり、挑戦したりする選択肢や手段さえ提供していません。

DPDP規則案では、国家の安全、法定機能の遂行など、特定の目的のために情報を求めることを提案していますが、これらの目的は広範に記述されています。これにより、政府がいかなる情報も求める過剰な権限を持つことになり、個人のプライバシー権だけでなく、ビジネスのしやすさに対しても不均衡を生じさせます。

結論として、DPDP法およびDPDP規則案は専用のデータ保護法的枠組みを提供し、インドを世界的なプライバシー基準に整合させる上で重要な一歩を示していますが、多くの曖昧さや運用上の課題が残っています。これらの課題の一部はDPDP法自体に起因していますが、いくつかの問題はDPDP規則の適切な実行を通じて解決可能であり、個人のプライバシー権、安全性、イノベーション、ビジネスフレンドリーなシステムのバランスを取るために不可欠です。

ADP LAW OFFICES
B 809, ATS Bouquet, Sector 132, Noida
Uttar Pradesh 201304, India
Tel: +91 99100 31747
Email: ameet@adplawoffices.com | www.adplawoffices.com

トップに戻る

---

フィリピンデータプライバシー法と規制の概要

2012年に制定された共和国法第10173号（RA10173）、または2012年フィリピンデータプライバシー法（DPA）は、フィリピンにおける個人データのプライバシー保護を規定する包括的な法律です。この法律は、国家プライバシー委員会（NPC）がその実施規則に基づいて監督しています。

フィリピンはビジネス・プロセス・アウトソーシング の世界的リーダーであり、RA10173はグローバルな個人データのより自由な交換と国際的なデータ保護基準の設定に対応するために制定されました。

RA10173の制定以前は、個人データ処理に関する中央集権的な規制監督やデータ主体を保護する包括的な措置が存在せず、当時の膨大な個人データは乱用や悪用の対象となっていました。

これは当初は想定されなかった連絡先情報の無制限な使用や共有を引きおこし、憲法が保障するところのデータ主体のプライバシー権の損害によるなりすましと安全の侵害が発生しました。

実際、RA10173の起源は2006年に遡り、当時フィリピン 貿易産業省（DTI）が「個人データ保護に関するガイドライン」を発行しました。

このガイドラインは、1995年のEUデータ保護指令（現在の一般データ保護規則（GDPR）の前身）をモデルにしいます。

フィリピンDPAはGDPRが提唱する基準と原則に深く根ざしています。

法律の適用範囲

RA10173は、すべての種類の個人情報の処理、および個人情報処理に関与する官民双方のすべての自然人または法人に適用されます。

この法律は、データ管理者、データ処理者がフィリピン国内にいなくても、

1. 1. フィリピンに所在する機器を使用している、または
   2. フィリピンにオフィス、支店、代理店を持つ場合は適用されます。

さらに、RA10173の適用性を判断する基準として、処理される個人データがフィリピン国民または居住者に関連する場合、データ主体の所在地や処理が行われる場所に関係なく、法律が適用されます。

例えば、海外で働くフィリピン人労働者（OFW）の個人データがフィリピン国内の銀行によって処理される場合や、外国の銀行がフィリピン国外でOFWの個人データを処理する場合にも適用されます。ただし、NPCがその法律をどのように執行するかは別の問題です。

RA10173では、「処理」を収集、記録、整理、保存、更新、修正、検索、参照、使用、統合、遮断、消去、破壊など、個人情報に対して行われる一連の操作または操作と定義しています。

「個人情報管理者」とは、他者の指示を受けたり、個人的、家族的または家庭的な事柄に関連して行動したりする場合を除き、個人情報の収集、保持、処理または使用を管理する個人または組織を指します。

一方、「個人情報処理者」とは、個人情報管理者から委託を受けて個人データを処理する自然人または法人を指します。ただし、RA10173の適用外となる情報も存在します。

これには以下が含まれます:

• • 現職または元公務員に関する職務または職務に関連する情報；
  • 政府契約に基づいて個人が提供するサービスに関する情報；
  • 政府が個人に与える裁量的な財政的利益に関する情報；
  • ジャーナリズム、芸術、文学または研究目的で処理される個人情報；
  • 公的機関の機能を遂行するために必要な情報；
  • 銀行および金融機関が反マネーロンダリング法を遵守するために必要な情報；
  • 外国の法令に基づき外国の居住者から収集された個人情報；

個人情報と機密情報

RA10173（フィリピンのデータプライバシー法）は、「個人情報」と「機密個人情報」を区別し、それぞれの合法的な処理に異なる要件を定めています。「個人情報」とは、個人の身元が明らかであるか、他の情報と組み合わせることで合理的に識別可能で直接確認できる情報を指します。

「機密個人情報」とは、人種、婚姻状況、年齢、民族性、宗教的、哲学的または政治的な所属、健康記録、学歴、裁判手続き、社会保障番号、免許証、税務申告書、政府発行のIDおよび/またはその番号、または法律や規制で機密と明示的に宣言された詳細を指します。

この法律およびその実施規則は、データ主体の個人データを処理する前に、明示的に規定された条件に該当しない限り、一般的にデータ主体の同意を必要とします。

なお、この法律は有効な明示的同意のみを認めており、「自由意思に基づき、具体的かつ情報に基づいた意思表示、書面、電子的または録音された手段によって証明される」と定義されており、暗黙の同意を認めていません。

認められる権利

RA10173は、個人情報に関するデータ主体の権利を広範に規定しており、これらはEUのGDPRで認められている権利と類似しています。

これには以下が含まれます：

1. 1. 知らされる権利；
   2. アクセスする権利；
   3. 異議を申し立てる権利；
   4. 消去およびブロックの権利；
   5. 修正する権利；
   6. 苦情を申し立てる権利；
   7. 損害賠償を求める権利；そして
   8. データポータビリティの権利。

これらの権利は、データ管理者および処理者によって遵守され、尊重されなければなりません。ただし、科学的および統計的研究のために使用され、データ主体に関する活動が行われず、決定が下されない場合、またはデータ主体に関する犯罪、行政または税務調査の目的で収集された場合は例外です。

監視

個人情報のセキュリティに関する一般原則に加え、この法律は個人情報の送信に関する責任を規定しています。

政府における機密個人情報のセキュリティに関する具体的な規定、データ漏洩に関する規定、およびデータ侵害の報告に関する基本的なガイドラインが定められています。

GDPRの下で実施されている制度と同様に、プライバシー法および規則は「個人データ漏洩」の場合に個人情報管理者に漏洩通知義務を課しています。このような漏洩通知は、影響を受けたデータ主体に提供され、NPCに報告されなければなりません。

漏洩通知は、「個人情報管理者または個人情報処理者が通知を必要とする個人データ漏洩が発生したと合理的に信じる場合、または知識を得た場合」に、72時間以内にNPCに提出されなければなりません。

プライバシー規則はまた、データプライバシーオフィサー（DPO）の任命を要求しています。ただし、すべてのDPOがNPCに登録する必要があるわけではありません。

NPCへのDPO登録が義務付けられるのは以下の場合のみです：

1. 1. 企業が250人以上を雇用している場合；または
   2. 企業が少なくとも1,000人の機密個人情報を含む記録を処理している場合；または
   3. 企業の「個人情報の処理」が「データ主体の権利と自由にリスクをもたらす可能性がある」または「偶発的でない」と見なされる場合

最後の基準に関して、NPCは、義務登録要件の対象と見なされるセクターを列挙したガイドラインを発行しました。

これらの「重要」と見なされるセクターは以下の通りです：

1. 1. 政府機関；
   2. 銀行および非銀行金融機関；
   3. 通信およびインターネットサービスプロバイダー；
   4. BPO企業；
   5. 大学、カレッジ、その他すべての学校および研修機関；
   6. 病院、診療所、その他の医療施設；
   7. 保険会社および保険ブローカー；
   8. ダイレクトマーケティング、ネットワーキング、リワードカードおよびロイヤルティプログラムを提供する企業；
   9. 研究を行う製薬会社；
   10. これらの「重要」セクターのいずれかに含まれる個人情報管理者のために個人データを処理する個人情報処理者。

DPOに加え、実施規則は特定の形式のデータ処理システム（DPS）をNPCに登録する必要があると明記しています。NPCの新しい登録ポータルの立ち上げに伴い、DPOおよびDPSの詳細の提出がNPC登録要件を完了するために必要です。

罰則

RA10173の違反には、義務的な懲役および/または罰金が科されます。これは、懲役を罰則として課すことができる数少ないデータプライバシー法の1つです。

機密個人情報が関与する場合、より高い範囲の罰則が適用されます。

少なくとも100人の個人情報が影響を受ける場合、「大規模」と見なされ、最大の罰則が科されます。

NPCおよびその他の関係分野によって、懲役罰則の削除を含むRA10173の改正を提案する動きが開始されましたが、直近のパンデミックのため、この取り組みは保留されています。

ACCRALAW
22nd to 26th Floors, ACCRALAW Tower
Second Avenue corner 30th Street,
Crescent Park West, Bonifacio Global City,
Taguig 1635, Metro Manila, Philippines
Tel: (632) 8830-8000
Fax: (632) 8403-7007 / (632) 8403-7009
Email: jmgaba@accralaw.com | ipd@accralaw.com
www.accralaw.com

トップに戻る

---

台湾における個人データ保護

台湾には個人情報に関する事項を幅広く規定する法律、「個人情報保護法（PDPA）」が存在します。 PDPAは企業や個人と同様に政府機関にも適応されます。

また、金融、健康、保険など特定の分野における個人データの保護をする法律や規則も存在します。

基本的なデータ保護を提供するPDPAは、台湾人および外国人の両方に適用されます。台湾人の個人データを収集、処理、または使用する外国の事業体も、PDPAで定められた義務の対象となります。

監督官庁

個人情報保護法（PDPC）準備室は2023年12月に設立されました。PDPCはPDPAの施行、解釈、およびデータ保護に関する諸問題を監督する唯一の機関として2025年8月に業務を開始する予定です。

同時に、特定の産業に権限を持つ他の政府機関も、それぞれの分野でデータ保護に関する事項を規制し続けています。

例えば、デジタル産業を管轄するデジタル発展省（MODA）は、PDPAの枠組みに基づく高度なデータ保護要件を定めた「デジタル経済産業における個人データの安全管理に関する規則」（MODA規則） を定めました。

MODA規制は、電子商取引、ソフトウェア、コンピュータプログラミング、データ管理、情報サービスなどの事業に適用されます。

インフォームド・コンセント

PADAに基づき、情報主体が有効なインフォームド・コンセントを行うことができるのは、情報主体が以下の事項を通知された場合に限られます：

1. 1. 収集／処理／使用主体の名称；
   2. 収集／処理／使用の目的；
   3. 収集される個人データの種類；
   4. 収集した個人データの利用期間、地域、人、利用方法；
   5. 情報主体の権利； そして
   6. 個人データを開示するかどうかについてのデータ主体の決定

上記は事項は個人の権利と利益に影響を与えてはならなりません。

データ主体は同意をデジタル形式で与えることができるが、個人データを収集する主体は、データ主体は収集が適切に同意を得たことを証明する責任を負います。

民間企業は、データ主体がその二次的使用について明示的な同意を与えた場合に限り、データ主体の個人データを収集目的とは異なる目的で使用することができます。言い換えれば、黙示の同意は二次利用には適応されません。

データ主体による明示的な同意が得られない場合、企業はその二次利用について別の法的根拠を見つけなければなりません。

データ保護責任者

現行のPDPAの下、個人データを含むファイルを管理する民間企業は、管理者を含めて管理者担当者を含めて適切な安全対策を講じなければなりません。MODA規則の下、デジタル産業にかかわる企業は以下の責任を負います：

1. 1. プライバシー保護ポリシーの策定・改定、そして
   2. 安全管理計画の策定・改定・実施。

2024年12月、PDPAはPDPAの改定を提案し、政府機関とPDPCが指定した民間企業に、人事管理同様にデータ管理責任者の任命の義務を課した。PDPA改正の行方に関心を持つ業界は慎重になるでしょう。

セキュリティ対策

PDPAとMODA規制はともに、収集され保管されている個人情報の安全性確保の義務を持つ民間企業に対する詳細な規則を定めています。PDPAのもと、民間企業は以下のデータセキュリティ対策を講じなければならりません。

1. 1. 管理者の配置；
   2. 個人データの範囲を特定すること；
   3. リスクを評価し、管理する仕組みを採用すること,
   4. 情報漏えいの防止、情報漏えいの報告、情報漏えいの即時対応のための社内規程の制定；
   5. 収集、処理、利用に関する社内SOPの制定；
   6. 情報セキュリティ担当者を任命・確保すること；
   7. 従業員に対して研修を実施すること；
   8. 情報サービス機器のセキュリティを確保する仕組みを導入すること；
   9. 情報セキュリティ監査を実施すること；
   10. 利用記録、追跡記録、証拠記録を保存すること；
   11. データ保護の実践を改善する計画を採用すること；

MODA規制のもと、デジタル経済産業の企業は従業員に対して以下の管理活動がが求められます。

1. 1. 従業員とNDA（秘密保持契約）を締結する；
   2. 個人データの収集、処理、使用に関する事項を取り扱う従業員を特定する；
   3. 必要に応じ、各従業員の個人データへのアクセス権限を決定し、定期的に当該権限を見直すこと。さらに
   4. 退社する従業員に対し、個人データが保存された機器の返却および業務上保有する個人データの消去を求めること。

さらにMODA規制のもと、以下の記録は少なくとも5年間は保護しなければなりません：

1. 1. 収集、加工、使用の記録収集、加工または使用の記録
   2. 自動機器の追跡情報
   3. 企業のデータ・セキュリティ計画の遵守を裏付ける証拠。

データ漏洩の通知

現行の個人情報保護法では、データ漏洩が発生した場合、民間企業は、漏洩の詳細を把握した後データ主体に通知しなければなりません。

この通知は、口頭／書面、電話、メッセージ、電子メール、ファックス、その他の適切な方法によってデータ対象者に行われる。PDPAは通知期限を特に定めていません。

一方、MODA規則では、デジタル経済産業の事業者は、情報漏洩の事態がが発生してから72時間以内に関係当局に報告することが義務付けられています。

PDPA改正案では、情報漏洩が発覚した場合、そして漏洩がデータ主体の権利と利益を著しく損ねる場合、民間企業は当局に報告し、データ主体に通知をしなければなりません。 PDPA改正の行方に関心を持つ業界は慎重になるでしょう。

マーケティング利用

PDPAでは、データ主体がマーケティング目的の通信を拒否した場合、民間企業はデータ主体の個人データをマーケティング目的で使用することを直ちに中止しなければならない。

民間企業がデータ主体に初めてマーケティング目的で接触した時点から、情報提供拒否のための手段を提示されるべきです。広義の「マーケティング」には、 eDM、パーソナライズされたサービス、推奨など、製品やサービスを促進する事実上あらゆる種類の活動が含まれます。

海外への通信

PDPAのもと、民間企業は政府当局は、以下の場合、個人情報を台湾以外の以外の地域に送ることを制限できます：

1. 1. 重大な国益に関わる場合；
   2. 国際協定または条約に基づく場合；
   3. 相手国が個人情報を適切に保護していない場合；
   4. PDPAに規定された要件を迂回するために送信する場合；

外国企業も同様の義務を負う。MODA規制のもと、個人情報を国外に送信する場合、デジタル経済産業の企業は、MODAの送信が規制対象かどうかを確認しなければなりません。さらに企業はデータ主体に個人データの転送先地域を通知し、転送先企業による当該個人データのその後の利用を監督しなければなりません。

FORMOSA TRANSNATIONAL
Taipei 13th Fl, 136, Sec 3, Jen-Ai Road
Taipei 106 Taipei Taiwan
Tel: 886 2 2755 7366
Email: brian.hsieh@taiwanlaw.com
www.taiwanlaw.com/en/

トップに戻る