IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

アジア諸国から個人情報を移転する際の注意すべき法律ポイント【2023年10月加筆】

個人情報の管理

アジア諸国から個人情報を移すときの法律

アジア諸国との間でビジネスをする際に、現地の個人情報を移転する際に、どのような法律があるのか、どのような法律に注意すればよいのかを解説します。

韓国における個人情報の法律

個人情報処理者が個人情報を国外の第三者に提供する場合には、その個人に対して同意を得る必要があります。

そして、事業者は個人情報保護法に違反する内容により個人情報の国外移転に関する契約を締結してはならない。ただし、上記の国外移転の禁止規定に関しては、個人情報保護法上の罰則規定がありません。

なお、以下の除外事由に該当する場合には、情報主体または第三者の利益を不当に侵害するおそれがある場合を除き、個人情報を目的以外の用途に利用しまたは第三者に提供することができるとされています。

  1. 情報主体から別途の同意を得た場合
  2. 他の法律に特別の定めがある場合
  3. 情報主体またはその法定代理人が意思表示をすることができない状態にあり、または住所不明等により事前の同意を得ることができない場合であって、情報主体または第三者の緊迫した生命、身体、財産の利益のために明らかに必要であると認められる場合
  4. 公共機関による一定の目的のために必要な場合

シンガポールにおける個人情報の法律

シンガポールのPDPA(個人データ保護法)は、 シンガポール国外への個人データ移転を原則として禁止しています。

もっとも、事業者が個人データを保有または管理し続ける場合と国外の第三者に移転する場合とを区別し、それぞれについて越境移転の要件を定めています。

事業者が個人データを保有または管理し続ける場合には、個人データの適切な管理が必要となります。

一方、シンガポール国外の第三者に個人データを移転する場合には、PDPA と少なくとも同等の保護水準を達成するように個人情報を受け取る側に義務付けること、移転先の国または地域が明示されていることが規定されています。

また収集等に際した目的告知、正確性確保、安全性確保措置の導入、保存期間の遵守、個人データ保護のポリシー制定、および閲覧権・訂正権の確保といった義務を明記することが推奨されています。

ベトナムにおける個人情報の法律

ベトナムにおいては、国外に個人情報を移転することに着目した法規制はありません。ベトナム国内法における情報の取得および移転に関する規制を遵守すれば原則として足りるとされています。

もっとも、政府の議定草案によると、ベトナム国民の個人情報の越境移転を規律する条項を設けることが予定されているため、今後の動向を確認して対応する必要があります。

インドネシアにおける個人情報の法律

インドネシアに住所を有する政府機関、地方政府および民間機関のための電子的システム提供者による国境を越えた個人情報の送信は、通信情報大臣またはその他権限を有する職員と協力し、国境を越えた個人情報のやり取りに関する有効な法令を適用して行わなければならないとされています(大臣規則2016年第20号22条第1項)。

上述した通信情報大臣またはその他権限を有する職員との協力は、①少なくとも、送信先の国名、受領者の名称、送信されるデータ、当該送信の目的を含む個人情報送信計画を報告し、②必要な場合には支援を要請し、かつ、③当該活動の結果を報告する方法をとるものとされてます。

またシステムを通じた取引の分野で事業活動を行う個人または事業体は、 インドネシア外の国や地域に個人情報を移転してはならないものとされています。

台湾における個人情報の法律

企業が個人情報の国際送信を行う場合であって、以下のいずれかの事由がある場合、中央政府はこれを制限することができるとされています(個人資料保護法21条)。

    1. 国家の重大な利益に関わる場合
    2. 国際条約または協定に特別の規定がある場合
    3. 接受国において個人情報の保護について十分な法規がなく、当事者の権益が侵害されるおそれがある場合

 

  1. 第三国(地域)を経由して個人情報を送信することにより、個人資料保護法の適用を回避しようとする場合

現時点においては、上記以外には個人情報を台湾の域外に移転することを制限する法令・通達は特段定められていません。