• Data Privacy Day Japan

DPD コラム

新興国における個人情報保護法令整備状況について

昨年の9月(2015年9月)に我が国では、個人情報保護法が改正されることが決まった。この法律は、2005年に一般事業者も対象として全面施行された法律であるが、施行直後は、所謂「過剰反応」と呼ばれるような事例がいくつも発生した。学校においてクラスの連絡網が作れない、病院に救急搬送された家族の安否情報を教えてもらえない、などが代表例として挙げられる。紆余曲折を経て十余年、国内の各事業者はこの法律と付き合ってきたが、アジアを中心とする新興国での個人情報保護関連法令の状況はどのようなものなのかを探ってゆく。

1.中国

第一に中国について。最早「新興国」と呼ぶのは相応しくない気もするが、近年、日本と同様に個人情報に関する問題、トラブルが多く発生しているようだ。不正に流通した電話番号などの個人情報を使った、日本で言う「オレオレ詐欺」も多数発生し問題になっている。特徴的なのは携帯電話番号がよく使われるということ。どうやら中国社会では、携帯電話番号を相手から聞く、ということが日本に比べてハードルの低いことであるらしい。携帯電話番号を気軽に聞く、そして教える、という文化も手伝って、携帯電話番号の不正な流通も活発らしい。法令整備については2014年に「消費者権益保護法」という法律が改正され、同法の中で、「消費者は個人情報の保護を受ける権利がある」、「個人情報の第三者提供を禁止し、また漏えい回避のための対策を講じなければいけない」、「違反があった場合には罰金を課す」ということが定められた。現状は極めてシンプルな規制であると言える。

 

2.韓国

韓国も大規模な個人情報漏えい事案が発生している。ハッキングにより、韓国国民の70%(2,700万人)にも達する件数の個人情報が漏えいするという事件が発生したこともある。韓国を代表する産業であるネットゲームを対象とした漏えい事案も多く、日本人が対象になっていることも少なくない。韓国の個人情報保護に関する法令整備は、日本同様に初めは行政機関を対象としたものを整備し、徐々に各業界へと波及していった。しかしインターネット関連ビジネスの発展や既存の法令では効果的な規制を出来ないサービスが多く出てきたため、2011年9月に各業界を網羅的に規制する個人情報保護法が施行された。日本から6年遅れての施行であり、今後の運用のやり方については注視が必要である。

 

3.シンガポール

低い税率と大胆な税制優遇から日本企業も含めた多くの外国企業が同国へ進出している。インターネット関連企業もシンガポールに子会社を設立するといったことも多いのではないだろうか。シンガポールでは、個人情報保護法が2014年7月に全面施行されている。シンガポールの個人情報保護法で注目すべきなのは、個人情報の保管期限について言及している点である。「個人情報の保有が、もはや取得等した時点での目的に有益ではなくなっている場合」または「個人情報の保有が法律上または事業目的上、もはや必要ではないと合理的に判断される場合」には、当該個人情報の廃棄を求めている。無論、具体的な年数を決められるものではないが、「必要がなくなったら捨てろ」と法律が求めていることは、漏えいなどのリスク低減のためにも有効かと思われる。

 

4.インドネシア

世界4位の2億5000万人という人口をかかえ、年間5~6%という高い水準で経済成長をしているインドネシア。この国もインターネット関連市場が国全体の経済成長を牽引している。インドネシアの個人情報保護関連法令は、電子商取引上での情報管理ついて定めた「Electronic Transaction Law」という法律はあるが、全体を対象する法令は、中国と同様に、一般的な消費者保護のための法律「消費者保護法」の中に、若干触れられている程度である。具体的な情報の安全管理策を求める、というところには至っていない。違反の場合も刑事罰がない、監督する専門省庁がない、など、日本より規制としては緩い印象があり、まだまだこれから、といったところだ。

 

5.ベトナム

優秀な労働力を低コストで確保でき、政治・社会情勢が安定していることで、ベトナムへの日本も含めた外国企業の進出が広がっている。特に製造業の企業が現地に工場を設立する、というケースが多いのではないだろうか。ベトナムでは、2016年7月から「インターネット情報セキュリティ法」が施行されたばかりだ。同法は、インターネット上で取扱う個人情報を主なターゲットとしており、規制の厳しさに違いはあるものの、日本の個人情報保護法が求めている事項は、軒並みカバーされているように思える。また、インターネット上での情報送信を違法に妨害・干渉すること、合法的なアクセスに影響を及ぼすこと、システムを違法に攻撃し乗っ取ること、スパムメール・マルウェアを拡散すること、詐欺・偽造情報ネットワークを設立すること、他人の個人情報を違法に収集・使用・拡散することなども禁止されており、日本でいう「不正競争防止法」「不正アクセス禁止法」の内容もカバーされている。加えて、テロ活動におけるインターネットの悪用防止などについても規定している点がユニークである。

 

以上が東南アジアを中心とした新興国の個人情報保護関連法令の整備状況である。欧州でも米国でも最近、法令等の改定がされたり、検討されていたりする。今回調査した新興国や日本も含めた「個人情報保護発展途上国」は、今後も欧米の後を追いかけてゆく状況が続くであろう。

※本記事はJPACの担当者が独自に情報収集し個人の見解を述べたもので、JPACという組織の総意ではありません。また法律の見解、解釈を表明するものではありません。