執筆:弁護士 吉岡 拓磨、マレーシア法弁護士 (Not admitted in Japan) Saiful Aziz(国際チーム)
PDPAの目的と適用範囲
マレーシアの「個人情報保護法2010(Personal Data Protection Act 2010、PDPA)」は、民間部門におけるプライバシーおよび個人情報の保護を定める主要な法律です。PDPAは、商取引の過程で組織が個人データを収集・利用・開示・保管・処理する方法について規律しています。外国資本の民間企業を含む民間企業は、マレーシアにおいて個人データ(主に顧客個人および従業員の個人データ)を処理する場合、PDPAに準拠する必要があります。なお、政府機関(公共部門)はPDPAの適用対象外であり、別の枠組みで規律されています。
PDPAでは、個人データの対象者を「データ主体(Data Subjects)」と呼び、個人データを取り扱う主体を「データ管理者(Data Controllers)」と「データ処理者(Data Processor)」に区分しています。データ管理者は、個人データの処理目的や方法を決定する主体であり、その委託を受けて実際の処理業務を行うのがデータ処理者です。データ処理者には、サービスプロバイダー、外部ベンダー、代理人、請負業者などが該当します。
これに対し、日本の個人情報保護法(APPI)には、データ管理者とデータ処理者を区別する仕組みはありません。個人データを取り扱う者は、委託元・委託先を問わず、原則としてすべて「個人情報取扱事業者」として一律に義務が課されます。委託先も、法律上は安全管理措置などを直接負う主体として扱われる点が特徴です。
このように、PDPAでは「決定権をもつ管理者」と「処理業務のみを行う処理者」が明確に区別され、法的責任の中心はデータ管理者に置かれています。この点は、日本法との大きな違いであり、日系企業がマレーシアで個人データ処理を外部委託する場合には、委託契約の内容や責任範囲をより明確に定めておくことが重要になります。
「個人データ」と「センシティブ個人データ」の定義
PDPAにおける個人データとは、手動・電子を問わず、特定または識別可能な個人に直接または間接的に関連するあらゆる情報を広く含みます。特徴的なのは、個人に関する「意見や評価」も個人データとして扱われる点です。典型例としては、氏名、住所、メールアドレス、電話番号、国民ID・パスポート情報、雇用記録、デバイス識別子、利用ログなどが挙げられます。
PDPAにおけるセンシティブ個人データ(Sensitive Personal Data)を一般の個人データとは別のカテゴリーとして扱い、より厳格な取扱いを求めています。身体的・精神的健康情報、政治的意見、宗教的信条、犯罪歴、生体認証データ(指紋・顔認証・声紋など)が該当し、これらのデータの処理には通常より高度な注意義務と追加的な同意要件が課されます。センシティブ個人データは、完全に同一ではないものの、APPIにおける「要配慮個人情報」と類似したものと考えてください。
PDPAの規制主体
PDPAは、マレーシア個人情報保護委員会(PDPC)によって管理・施行され、デジタル省傘下の個人情報保護局(JPDP)が支援しています。PDPAはマレーシアにおける個人情報保護事項を規制する主要な法律であり、PDPCが発行する補助的な法令、規制、ガイドラインによって補完されています。
PDPAの7原則
個人データを処理する際、すべてのデータ管理者は下記の7原則を遵守しなければなりません。これらの7原則は、2015年個人データ保護基準(付属法令)によりさらに詳細に規定されています。
(1)基本原則
個人データは、データ主体の同意を得て、かつ合法的かつ関連性のある目的のために、適切かつ過剰でない範囲で処理されなければなりません。同意は、情報管理者によって適切に記録及び保持できる状態であれば、いかなる形式でも問題ありません。
(2)通知と選択の原則
データ主体は、自身のデータがどのように収集、利用、開示されるかについて通知を受け、データ管理者のデータ処理に対する同意、アクセス、修正、制限の選択権を与えられなければなりません。
(3)開示の原則
個人データは、法律で認められる場合を除き、収集時に開示した目的以外の目的で開示してはならず、また「承認されていない」第三者に開示または共有してはなりません。
(4)セキュリティ原則
個人データの紛失、誤用、不正アクセスを保護するため、合理的なセキュリティ対策を講じなければなりません。
(5)保存期間の原則
個人データは、収集目的を達成するために必要な期間を超えて保持してはならず、不要となった場合には破棄・削除しなければなりません。
(6)データ完全性の原則
個人データは正確かつ完全で、誤解を招くものであってはならず、常に最新の状態に保たなければなりません。
(7)アクセス原則
データ主体は、データ管理者が保有する自身の個人データにアクセスし、修正する権利を有します。
PDPCへの登録
1.登録義務の対象
PDPAでは、対象組織が2013年制定(2016年改正)の「個人データ保護(データ利用者区分)令」のいずれかの区分に該当する場合、PDPCへの登録が義務付けられています。登録対象となる代表的な業種には、通信、銀行・金融、保険・タカフル、医療、観光・ホスピタリティ、運輸、教育、直販、サービス、不動産、公益事業、質屋、貸金業などが含まれます。
該当事業者は、PDPCウェブサイトから登録申請を行い、承認が下りると「登録証明書」が発行されます。取得した登録証明書は、本店・主たる事業所の見やすい場所に掲示する義務があり、支店についても認証謄本(Certified True Copy)を掲示する必要があります。また、登録証明書の有効期間は12か月以上とされており、有効期限前に更新手続を行う必要があります。また、その後も毎年更新手続が必要となります。
2.登録にかかる手数料
本日付現在、PDPCへの登録に関連する手数料は以下の通りです。
| 項目 | データ利用者の属性 | 登録(RM) | 登録証明書の更新(RM) | 登録証明書の再発行(RM) | 登録証明書の認証謄本 (RM) |
| 1. | 1956年事業登録法( Act 197 )に基づき登録された事業の個人事業主 | 100 | 100 | 30 | 10 |
| 2. | 1961年パートナーシップ法第3条に定義されるパートナーシップ [ Act 135 ] | 200 | 200 | 30 | 10 |
| 3. | 会社法(1965年)第4条に定義される会社 [ Act 125 ] | 300 | 300 | 30 | 10 |
| 4. | 1965年会社法第4条に定義される公開会社 | 400 | 400 | 30 | 10 |
データ保護責任者(DPO)
1.DPOの選任義務
2025年6月1日より、個人データの処理が以下のいずれかに該当する場合、データ管理者およびデータ処理者は1人以上のデータ保護責任者(「DPO」)を任命することが義務付けられました。
(1)20,000人を超えるデータ主体の個人データに関する処理を行う場合
(2)10,000人を超えるデータ主体のセンシティブ個人データ(財務情報データを含む)に関する処理を行う該当する場合
(3)個人データの定期的かつ体系的な監視を必要とする活動を行う場合(例:ターゲティング広告の目的でデータ主体がオンライン又はオフラインで追跡又はプロファイリングするような場合)
ただし、上記の要件に該当しない組織においても、個人データ保護に関する措置や事項を効率化するため、組織が直面する個人データ保護関連事項の窓口として、DPO(データ保護責任者)またはこれに準ずるプライバシー担当者を任命することが強く推奨されます。
2.DPOの資格要件
PDPCが公表するDPO選任ガイドライン(Guidelines on Appointment of Data Protection Officer)においては、DPOの資格要件の詳細が定められています。
(1)1年あたり少なくとも180日間マレーシアに居住していること(居住者要件)
(2)マレーシア当局から容易に連絡が取れること(連絡要件)
(3)マレー語及び英語がいずれも堪能であること(言語要件)
3.選任通知
データ管理者及びデータ処理者は、DPOを任命後21日以内に、PDPCのウェブサイトに規定されている通り、PDPCに通知しなければなりません。
データ侵害通知
1.通知義務
2025年6月1日から、データ管理者は、「個人データ侵害(Data Breach)」が発生したと「合理的に信じる理由」があり、かつその侵害が「重大な損害(significant harm)」を引き起こす、または引き起こす可能性があると判断した場合、可能な限り速やかに、遅くとも72時間以内にPDPCへ通知する義務があります。72時間以内にすべての情報を提出できない場合は、まず可能な範囲で速報を提出し、残りの情報は30日以内に追加提出することが認められています。
PDPCが発行する「Personal Data Protection Guidelines on Data Breach Notification(データ侵害ガイドライン)」では、PDPCへの報告に以下の情報を記載することが求められています。
- 侵害の発生日時・発見日時
- 侵害の内容(漏えい・紛失・不正アクセスなど)
- 影響を受けたデータ主体の人数
- 原因分析
- 封じ込め措置および対応状況
- 今後の再発防止策
また、通知の手順やフォーマットもガイドラインで詳細に定められています。
通知義務に違反した場合、最大250,000リンギットの罰金若しくは最長2年以下の拘禁刑又はその両方が科される可能性があります。
さらに、個人データ侵害が重大な損害を引き起こす、またはその恐れがある場合、データ管理者は影響を受けるデータ主体にも不要な遅延なく、PDPCへの通知から7日以内に通知しなければなりません。
2.「個人データ侵害」と「重大な損害」の意義
ここでいう「個人データ侵害」とは、漏えい、紛失、不正使用、無断アクセス、改ざんなど、個人データの保護に関するすべての侵害行為を広く含みます。データ侵害ガイドラインでは、以下のような例が挙げられています。
- 従業員が誤って個人データを含むメールを誤送信した
- 外部者がネットワークに不正アクセスし個人データを取得した
- 許可なく個人データが改ざんされた
また、同ガイドラインでは、「重大な損害」として以下のような例が挙げられています。
- 金銭的損失、身体的危害、信用記録への悪影響が発生する可能性がある場合
- 犯罪・詐欺目的で悪用される可能性がある場合
- センシティブ個人データ(健康・宗教・生体情報等)が侵害された場合
- 身元詐称に利用される可能性がある場合
- 1,000名超のデータ主体に影響が及ぶ場合
3.データ侵害管理・対応計画
データ侵害ガイドラインでは、データ管理者に対し、データ侵害管理・対応計画(Data Breach Response Plan)を策定・維持することを求めています。当該計画においては、最低限、以下の内容を策定しておく必要があります。
- 侵害の特定方法(システムアラート、内部報告など)
- エスカレーションの手順
- 対応チームまたはDPO(データ保護責任者)の役割分担
- 侵害の封じ込め・軽減策
- PDPCおよびデータ主体への通知要否の判断基準
- 通知方法(文書、電子メール等)
- 事後対応(根本原因分析、改善策の実施)
4.データ処理者の位置づけ
個人データ侵害が生じた際にデータ管理者に課される通知義務は、データ処理者には直接課されていません。この点は、この点はAPPIと大きく異なる運用であり、データ処理を外部委託する日系企業にとって重大なリスクとなります。なぜなら、侵害が発生しても、データ処理者から速やかな連絡がなければ、データ管理者は侵害の事実に気づくことすらできないためです。そのため、実務上は以下が極めて重要になります。
- データ処理契約(DPA)で、侵害発生時の即時通知義務を明記すること
- 原因調査・情報提供・封じ込めへの積極的協力義務を契約で確保すること
- 侵害対応の連絡ルート(担当者名・連絡先)を明確化すること
特にクラウドサービス、BPO(バックオフィス業務委託)、マーケティング管理ツールなど、外部ベンダーが大量の個人データを扱うケースでは、データ処理者の対応遅れが、データ管理者自身の法令違反につながるため、契約書の不足は重大なコンプライアンスリスクになり得ます。
まとめ
PDPAは、APPIと似た枠組みを持ちながらも、データ管理者/処理者の区分、登録制度、DPO任命など独自要件を備えており、進出初期からの体制づくりが重要です。もっとも、PDPA対応の核心はこの基礎だけではありません。2025年改正で強化された越境移転など、実務負荷の高い領域が今後の中心的な検討テーマになります。その2では、これら「高リスク領域」への具体的な対応策を解説します。
