執筆:弁護士 吉岡 拓磨
マレーシア法弁護士 (Not admitted in Japan) Saiful Aziz(国際チーム)
共同執筆:パートナー弁護士 Jeremiah Gurusamy(Ramesh Dipendra Jeremiah Law)
弁護士 Danny Khoo Yih Xiang(Ramesh Dipendra Jeremiah Law)
※当事務所は、提携先であるRDJ Law(Ramesh Dipendra Jeremiah Law)と連携し、マレーシア法を扱う「マレーシアデスク」を設置しています。
企業のマレーシア進出や紛争対応などについてサポートが可能です。
データポータビリティ
2025年6月1日より、データ主体はデータポータビリティ権(Data Portability Right)を行使できるようになります。これは、データ主体が自らの個人データについて、現在のデータ管理者に対し、別のデータ管理者へ直接移転(ポータビリティ)するよう要求できる権利です。
具体例としては、通信事業者間での携帯電話契約の移行や、病院間での医療記録の移転といったケースが想定されています。
データポータビリティが認められるためには、
- 移転が技術的に実現可能であること
- データ形式(フォーマット)が相互に互換性を有していること
といった要件を満たす必要があります。
データ管理者は、PDPAや関連ガイドラインで定められた所定の期間内に移転を完了しなければなりません。現在、データポータビリティ権の行使手続・期間・対象範囲を明確化するため、PDPCが近く公表するとされる「データポータビリティガイドライン」の発行に大きな関心が寄せられています。
個人データの越境移転
1.改正前の規制(ホワイトリスト制度)
改正前のPDPAでは、原則として個人データの国外移転は禁止されていました。例外的に認められるのは、以下のような場合に限られていました。
- 移転先の国が大臣の指定するホワイトリスト国である場合
- 本人の明示的同意がある場合
- 契約履行に必要な場合 など
しかし、このホワイトリスト制度は長年更新されず、実務上「実質的に利用困難」という問題点がありました。
2.新たな規制内容
(1)移転国・移転先の要件
マレーシアで、はマレーシア国外への個人データ移転に関する法定要件について、PDPA第129条が改正されたことにより(2025年4月1日施行)、ホワイトリスト制度が全面的に廃止され、データ管理者は以下のいずれか要件を満たす場合に限り、個人データをマレーシア国外に移転することができるようになりました。
①個人データを受け取る国・地域(「受入国」)にPDPAと実質的に類似するデータ保護法が存在する場合
②受入国において、PDPAと実質的に類似するデータ保護法が存在しない場合でも、データ受領者が、PDPAと同等以上の保護措置を取っていると評価できる場合
これらの条件を判断するために、PDPCの「越境個人データ移転ガイドライン(CBPDT)」はTIA(Transfer Impact Assessment:移転影響評価)の実施を推奨しています。具体的な評価要素は以下のとおりです。
①に関する評価要素
- データ主体の権利が保証されているか
- セキュリティ原則など基本原則が整備されているか
- 開示・保存・越境移転・侵害通知などの規制が類似しているか
- 監督機関が存在し、機能しているか
②に関する評価要素
- セキュリティ対策、認証(ISOなど)があるか
- 契約で法的に強制できる義務が課されているか
- コンプライアンス実績
- 受領者の体制が適切か
- 監督機関や苦情申立ての仕組みがあるか
- データ受領者の過去の個人情報保護法の準拠状況
(2)法定の例外事由
上記の要件を満たす場合のほか、データ管理者は、第129条(3)項に規定される以下の要件を満たす場合には、国外へ個人データが移転できます。
- 本人の明示的同意
- 契約の履行に必要
- 法的手続き・法的助言のために必要
- 生命・身体の保護に必要
- 合理的な予防措置とデューデリジェンスを実施した場合
上記の要件のうち、「合理的な予防措置とデューデリジェンスを実施した場合」について、越境個人データ移転ガイドラインは、以下の措置を講じることで充足することができると規定しています。
①拘束的企業準則(BCR:Binding Corporate Rules)の策定
BCRとは、企業グループ内で個人データを国外に移転するための統一的な内部規程であり、グループ全体にPDPAと同等の保護水準を確保させる仕組みです。BCRを採用することで、各拠点が共通ルールのもとでデータを取り扱うことができ、毎回個別に同意を取得する必要もなくなります。特に、グローバルで継続的なデータ移転が発生する企業(製造・IT・BPO・地域統括会社等)にとって、長期的に最も効率的な方法といえます。
越境個人データ移転ガイドラインは、BCRに盛り込むべき内容(目的制限、最小化、セキュリティ措置、侵害通知義務など)を詳細に定めています。
②契約条項(CC:Contractual Clauses)
CCは、データ管理者(マレーシア側)とデータ受領者(国外)との間で締結する、越境移転のための法的拘束力ある契約条項です。最も一般的に使われる手段で、越境個人データ移転ガイドラインには、CCに記載すべき要素が提示されています。
③認証制度(Certification)
認証制度は、データ管理者またはデータ処理者が、個人データ保護に関する国際的認証を取得し、適切な保護体制を証明する方法です。特に、クラウドサービスや外部ベンダーを利用する場合、「認証がある=保護水準の説明責任を果たしやすい」ため、実務上の重要性が高い手段です。
(3)APPIとの違い
マレーシアのPDPAにおける越境移転規制は、APPIと比べると、企業自身が移転先の保護水準を評価する負担が大きい点が最大の特徴です。
まず、APPIでは「十分性認定国」などの政府によるホワイトリスト制度が存在しますが、PDPAではこれが廃止され、企業は移転先の法制度や保護措置がPDPAと同等かどうかを自ら評価(TIA)する必要があります。PDPAのガイドラインでは、この評価方法が詳細に定められており、文書化の要求も明確です。また、APPIは原則ベースで柔軟な運用が可能なのに対し、PDPAは評価要素・契約要件・補完措置が細かく規定されており、監督機関の要求水準もより具体的です。つまり、PDPAの越境移転は「形式審査」より「実質評価」重視であり、APPIよりも企業側の検証・記録・契約整備の負荷が高い点が、実務上もっとも大きな違いといえます。
記録管理と内部統制
PDPAは原則主義に基づくが、2015年個人データ保護基準では、電子記録・紙記録のいずれについても、書面化された方針と実効性のある内部統制を整備することが求められています。データ管理者は、特に次の記録や統制を維持する必要があります。
- 従業員の個人データ閲覧・アクセスログ
- データ処理活動の記録(Record of Processing Activities)
- データ漏えい登録簿(PDPCガイドラインに基づく)
研修記録、ベンダー/処理者のデューデリジェンス資料、越境移転に関する評価ファイル(TIAなど)
これらの記録は、PDPCからの照会への対応、コンプライアンス状況の証明、データ主体からの苦情対応において不可欠であり、企業が継続的に遵守体制を維持していることを示す基盤となります。
マレーシア進出日本企業のための実践的コンプライアンス対策
本稿においては、これまでマレーシアにおいて個人データを取り扱う企業に求められる規制について説明してきました。以下では、進出初期段階において優先的に取り組むべき事項を、実務上の観点から整理します。
1.プライバシー影響評価(PIA)の実施とギャップ分析
まず、マレーシアで行う事業活動に関する個人データの流れを把握し、各プロセスがPDPAに準拠しているかを評価するために、プライバシー影響評価(PIA)を実施することが重要です。PIAでは、収集するデータの種類、利用目的、法的根拠、第三者提供、保存期間、越境移転の有無などを明らかにし、現状の運用とPDPAとの間にどのようなギャップが存在するかを確認します。PIAで特定されたギャップについては、同意取得手続の見直し、不要データの削減、業務フローの再設計、技術的・組織的安全管理措置の補強などを通じて、段階的に是正していくことになります。
2.PDPCへの登録(該当業種の場合)
通信、金融、保険、医療、教育、観光、不動産など、PDPCが定める登録対象区分に該当する場合には、登録を行い、PDPCが発行する登録証明書を事業所に掲示しなければなりません。
3.データ保護責任者(DPO)の任命と運用体制の確立
PDPAでは、企業内にデータ保護責任者(DPO)を置くことが強く要請されており、実務上も必須の対応と評価されています。
DPOは、
- データ主体からのアクセス請求・訂正請求・データポータビリティ請求の管理
- 個人データ侵害発生時の対応および監督機関(PDPC)への通知
- 内部監査および記録管理の統括
- 外部委託先(データ処理者)への監督
などを包括的に担います。
マレーシアにおけるコンプライアンスの中心的役割を果たすため、DPOの任命だけでなく、役割範囲の明確化、権限の付与、関連部門との協働フローの設計が不可欠となります。
4.情報セキュリティ体制の整備
PDPAの「セキュリティ原則」を遵守するためには、技術的・組織的措置を備えた情報セキュリティ体制が求められます。具体的には、アクセス制御、多要素認証、暗号化、ログ管理、内部不正防止策、バックアップ管理などの導入が必要です。とりわけクラウドサービスを利用する場合には、提供事業者の管理体制や国外データ移転の有無を確認したうえで、契約に適切な保護措置を組み込む必要があります。
5.データ処理者(外部委託先)のデューデリジェンスと契約管理
外部ベンダーやサービスプロバイダーが個人データを取り扱う場合、PDPA上の責任主体はデータ管理者である企業側です。したがって、委託先が適切な保護措置を講じているかについて事前のデューデリジェンスを行い、個人データ処理契約(Data Processing Agreement)を締結することが不可欠です。契約には少なくとも以下の条項を含める必要があります。
- セキュリティ義務
- 再委託の制限
- 侵害発生時の迅速な通知義務
- 監査権限
6.PDPAに基づく通知(プライバシーポリシー)の公開
企業は、個人データの利用目的、開示先、データ主体の権利行使方法、越境移転の有無などを記載した通知文書(日本でいうプライバシーポリシー)を、英語およびマレー語の双方で作成し、ウェブサイトなどを通じて公開する必要があります。これはPDPAの「通知と選択の原則」に基づく義務であり、PIAで整理した実際のデータフローに沿った記載が求められます。
7.内部規程(PDPAポリシー/SOP)の整備
対外向けの通知とは別に、従業員が日常的な業務で遵守すべき手順を明記した内部規程(PDPAポリシー、標準業務手順書〔SOP〕)の整備が必要です。内部規程には、アクセス権限の管理、データ削除の方法、社内でのデータ共有手続、内部記録管理のルールなどを含め、従業員の理解レベルに応じて運用可能な内容とすることが重要です。
8.データ侵害対応計画の策定
2025年改正PDPAにより、データ管理者は個人データ侵害が生じた場合、一定の条件の下でPDPCおよびデータ主体への通知義務を負います。これに対応するため、データ侵害の特定方法、エスカレーションフロー、封じ込め・軽減措置、通知判断基準、事後評価などを記載した「データ侵害対応計画(Incident Response Plan)」を策定し、定期的に見直す必要があります。
9.記録管理と証跡の維持
PDPA上、データ管理者は十分な記録を維持し、監督当局の照会に応じられる態勢を整える必要があります。アクセスログ、データ処理活動記録(ROPA)、データ漏えい登録簿、ベンダーDD記録、越境移転に関する評価書(TIA)、従業員研修記録などは、企業のコンプライアンス体制を示す重要な証跡となります。
10.従業員・委託先への研修
従業員や外部委託先に対する継続的な研修は、個人データ保護体制の実効性を確保するために不可欠です。特に、データ侵害対応やデータ主体請求への適正対応については、定期的なトレーニングが重要となります。
まとめ
マレーシアのPDPAはもはや「軽微な」個人情報保護制度ではありません。マレーシアのPDPAは、データ漏洩通知、データポータビリティ、越境移転規制、DPO任命義務などが導入され、国際基準に近い実務的な制度へと進化しています。日本企業にとってAPPIの管理体制は有用な基盤になりますが、PDPAには独自の要件があり、日本法だけではカバーできない領域が存在します。マレーシアで事業を行う際は、現地法に沿った体制整備が不可欠です。
GVAでは、日本企業の実務に即した形で、PDPA対応・越境移転スキーム・内部規程整備をご支援しています。マレーシアでの個人データ管理に不安がある場合は、どうぞお気軽にご相談ください。
