インドネシア個人情報保護法の特徴とプライバシーガバナンス構築に向けた取り組みの必要性

インドネシア個人情報保護法の特徴およびポイント

• GDPR、日本およびアセアン諸国の個人情報保護法と大きな差異はないが、制裁金額などの違反時のインパクトは異なる。
• データの国外移転：一定の条件下で認められている。
• データローカライゼーション義務：規定されていない。
• 本人の同意：処理目的や保管期間、本人の権利などを提供した上で、同意を取得する必要がある。同意は、電子的または非電子的に所得することが可能。データの処理を行うに際して、データ管理者は同意の証拠を示す義務を負う。
• 管理体制：個人情報を管理・処理する主体は、個人情報管理者・保護責任者を設置する必要がある。管理者・保護責任者の義務が定められている。※要件等の詳細は、今後政令で定められる
• 情報漏洩時の義務：72時間以内に、本人および当局に通知書を提出する必要がある。通知書にて、漏洩したデータ、時期、方法、回復の取り組みについて記載が必要。
• 域外適用：あり。国外の者の行為が(1)インドネシア国内においても法的効果が生じるものや(2)国外のインドネシア国籍の個人情報主体に影響を及ぼすものは適用対象となる。
• 罰則：最大6年の懲役及び60億IDR(約6,000万円)の罰金、犯罪行為から生じた利益・資産の差し押さえ、賠償金の支払いなどの追加的な制裁が科される可能性がある。
• 猶予期間：2年間

個人情報管理強化のポイント

法律で求められている要件を満たすための規制対応や法令違反リスク(制裁や罰金が科せられるなど)対応として個人情報管理強化に取り組んでいる日本企業が多いとされているが、デジタル技術が急速に社会に浸透し、リアルな空間とバーチャル空間の融合が進み、消費者向けの製品・サービスにおいて利便性の追求に向けたプライバシーデータ活用が加速する中で、そのような形式的な対応として個人情報管理強化に取り組むことに警鐘を鳴らしたい。

プライバシーリスクは、レビューレーションリスクとして狭義に捉えるだけでなく、法令に違反していなくても消費者がネガティブなイメージを持ち、事業継続性や企業価値を毀損する「レピュテーション・倫理リスク」として捉え、事業戦略上の重要な要素として捉える必要がある。規制の有無にかかわらず、プライバシーに配慮すべき情報(プライバシーデータ)を有するもしくは有する可能性のある企業において、個人情報を適切に管理する態勢(プライバシーガバナンス)の整備は、持続的な企業価値の向上や事業継続の観点から極めて重要性が高い。B2Cのビジネスを行っていない企業でも、自社がB2C向けの消費財のバリューチェーン上に位置していれば、プライバシーデータを適切に管理できる「組織」「技術」「ルール・プロセス」「製品」を有していない場合は、取引の停止や減少といった競争優位性の喪失につながる可能性がある。

拡大するプライバシーリスクの管理

プライバシーリスク対応はIT部門や法務部門に丸投げされがちだが、経営者こそが事業戦略の実現に向けてしっかりと関与すべきである。これは昨今のDXの取り組みでも同じことが言えるが、戦略の「実現手段や施策」であるはずのデジタルの導入やデータの活用が、いつの間にか「目的」となり、事業戦略と紐づかない取り組みに変容することが多い。デジタル戦略、プライバシー戦略、プライバシーガバナンスは、事業戦略を起点にを構築していく必要がある。

事業戦略・DX戦略にアラインしたプライバシー戦略・ガバナンスの導入

特に、事業経営においてはプライバシーガバナンスの確保に向けて以下の3点に取り組んでいく必要がある。

プライバシーガバナンスについて経営者が取り組むべき3要件

無論、業務インフラとしてのIT・デジタルの重要性の高まりもあり、個人情報のみを対象とした管理態勢の構築では不十分である。従来の機密情報の漏洩を防止するための情報セキュリティ管理から、より事業継続性の確保や持続的な成長の実現に向けたサイバーセキュリティリスクの対応へと変革していくことが不可欠と言える。

本稿に関連するデロイト トーマツ グループのサービスのご紹介

• 情報セキュリティ態勢整備支援 (規程整備、組織設計など)
  
• サイバーセキュリティリスクアセスメント