中国 |
PIPL |
中国では包括的な個人情報保護法がなかったが、GDPRを皮切りとした世界の個人情報保護法制定の潮流をうけ、中国でも「中国個人情報保護法(Personal Information Protection Law of the People's Republic of China (PIPL)」が2021年11月1日に制定された。 |
GDPRに類似するも、他の中国データ3法も含めた考慮が必要。データローカライゼーションに重きを置き、厳罰性も高い。
-
特定の個人情報または大量情報を処理する場合は国家安全評価または中国内のデータ保管が必要
-
GDPR以上の制裁金(全世界売上高の5% or 5,000万元)
-
|
2023年2月、個人データの越境移転に係るSCC(Standard Contractual Clause、標準契約条項)についてのルールを策定 |
台湾 |
個人情報保護法 |
昨近では「DIGI+2025計画」「AI行動計画」を打ち出しデジタル化を推進。2018年12月にAPEC CBPRに参加。1995年8月に「コンピュータによる個人情報の処理の保護に関する法」が制定。2010年5月に個人情報の処理全般を対象とした「個人情報保護法」が成立。2016年3月に「センシティブ情報」の扱いの観点で改正。 |
OECD8原則ベースであり、個人のプライバシー保護および比較的自由なデータ流通を重視。
-
データ収集に同意は必要だがGDPRほど厳格な同意要件なし
-
データ主体はデータの照会、訂正、削除、利用停止等の権利はあるがポータビリティ権はない。
-
-
日本の「個人情報保護委員会」のような監督機関はなく各事業の主務官庁等で監督
|
2018年のGDPR制定を受け各国がプライバシー法規制を厳格化する中、台湾もGDPR十分性認定の取得を目指し法改正が議論されている。 新型コロナウイルス感染症対策として台湾政府がマスク在庫管理アプリを開発するなど国家レベルのデジタル化が推進されている。 |
香港 |
PDPO |
OECDプライバシー保護原則を受け1996年に施行。2012年に越境移転、ダイレクトマーケティングの観点で改正。 Doxing(特定人物の個人情報を集めインターネット上で公開する行為)の多発を受け2021年に法改正となり、許可されていない個人データの開示が禁止となる。 |
OECD8原則ベース。自由なデータ流通を重視しつつ特にDoxingの禁止等を重視。GDPRと異なり域外適用や侵害時の監督通知義務はなく越境移転の規制はあるが未施行。
-
利用目的に合致した範囲でのみ個人データを収集可能
-
個人データの正確・最小保持
-
同意なしの目的外利用を禁止
-
安全管理義務
-
個人情報保護方針、透明性
-
データ主体からのデータ修正依頼等への対応
|
現時点で未施行である越境移転規制の施行が議論されているが、GAFAM(Google、Amazon、Facebook、Apple、Microsoft)を中心に批判も大きい
DPO(データ保護オフィサー)の設置は義務化されていないが、2019年にPrivacy Management Program: A Best Practice Guide (PMP)をリリースした。
|
韓国 |
PIPA |
韓国はキャッシュレス普及率が高く(2016年で96.4%)インターネット上での個人情報の入力が頻繁。人口が約5,000万人と少なく内需が限られているため、必然的に海外とのデータのやり取りが頻発。2011年9月にPIPAが成立。2023年2月の改正で国外移転要件に係る例外範囲が拡大。EU十分性認定国、APEC CBPR参加国。 |
GDPRベースでありデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
-
データ侵害時は当局よりもデータ主体に連絡
-
越境移転にあたりデータ主体の同意が必要
- データポータビリティについて詳細記載なし(2024年以降の施行が議論されている)
|
2023年改正における未施行の部分(データポータビリティ権や自動化された決定に対する説明要求権等)は2024年以降施行予定。 |
インド |
2011年個人情報保護規則 |
2022年の名目GDPは世界第5位(約3兆3800億ドル)で約3兆ドルの英国以上。G20とBRICs参加国。政府主導のデータ利活用基盤「インディア・スタック」(国民の生体情報を登録し、銀行口座番号等と紐づけ)が存在。一方で個人情報保護に特化した法律はなく2011年個人情報保護規則で言及される程度。 |
OECD8原則ベースだが「責任の原則」が見られない。インドの経済成長のためデータローカライゼーションを重視。 |
他国の厳格なプライバシー保護関連法規制の施行の流れを受け2022年11月にインド電子情報技術省がGDPRベースの「2022年デジタル個人データ保護法案」を公表。
-
同意の有効性に関する規定
-
データローカライゼーションについての記載削除
-
違反時の禁固刑は廃止(罰金のみ)
|
シンガポール |
PDPA |
シンガポールは歴史的に外資の呼び込みで発展。2020年時点で日本企業も822社が進出。
アジアの金融ハブとして発展する中で個人情報保護の必要性も高まり2014年7月に Personal Data Protection Act 2012(PDPA) が施行。2021年2月にGDPRベースで改正。APEC CBPR参加国。
|
GDPRベースだが一部異なる。プライバシー保護を重視しつつ、アジアの金融ハブとしての自由なデータ流通にも配慮。
-
罰則は禁固刑あり
-
ビジネスコンタクト情報はPDPAの適用除外
-
民間企業のみ対象
-
仮名化の規定なし
-
処理記録、DPIA(データ保護影響評価)義務なし
-
データ主体にデータ削除、データポータビリティ権なし
|
シンガポール国民は識別番号(NRIC)が付与されており、2019年9月より当該番号の取り扱いに係るガイドラインも施行。 |
タイ |
PDPA |
近年まで個人情報保護に特化した法律がなかったが、GDPR等の影響を受け2019年5月に個人情報保護法(PDPA)の一部が施行。残りの条項は2020年に施行予定だったがコロナ対策等により2022年6月へ後ろ倒し。 |
GDPRベースでデータ主体のプライバシー保護を重視。下記のとおりGDPRと一部相違。
-
仮名化について言及なし
-
同意なしで第三者に個人情報を提供した場合等は禁固刑あり(最大1年以下)
-
故意または過失でデータ主体に損害を与えた場合は損害額の2倍以内の賠償義務あり
|
2023年3月、タイに本社を置く飲食店予約サイト運営会社が個人情報漏洩により約622万の罰金を科された。 |
マレーシア |
PDPA |
1996年からICT産業を対象とした投資優遇施策(マルチメディア・スーパーコリド)を推進。デジタル変革の推進を受けた個人情報保護意識の高まりをうけ2013年11月にPDPAが施行。 |
規制対象は商業目的での個人情報使用のみ。OECD8原則ベースの下記7原則が基本でありデータ主体の権利を重視。
-
個人情報処理には原則同意要。センシティブ情報の取得には明示的な同意要
-
データ主体に対し個人情報の処理について書面で通知
-
データ主体の権利(自らの個人情報へのアクセス・訂正等)
-
個人情報の目的外利用・第三者開示の場合は同意要
-
個人情報の安全管理義務
-
不要となった個人情報を破棄
-
正確、完全、最新化義務
|
2017年10月にアジア最大級の個人情報漏洩(マレーシアの携帯電話加入者4,600万人の漏洩)が発生。
オンライン上での個人情報の入力・入手の増加ならびに他国でのプライバシー関連法規制の厳格化を受け法改正が議論されている。
|
ベトナム |
包括的な保護法なし |
ベトナムは幼児期から科学、技術、工学、数学の教育(STEM教育)に力を入れておりICTの発展も目覚ましい一方、包括的な個人情報保護規制がない(他の法律で一定触れられる程度)。 |
包括的な保護法はないが、サイバーセキュリティ法で個人情報保護が規定されている。ベトナム内でのデータ保存・事務所設置義務も設け、データローカライゼーションを重視。 |
世界的な法規制厳格化の流れを受けGDPRベースの規制化が議論。2021年2月に個人データ保護に関する政令ドラフトも公表。GDPRベースだが当局の権限が強い。
-
域外移転はデータをベトナム内に保管、当局書面承認
-
当局が域外移転を年次評価
-
個人情報収集時は同意要、「正当な利益」等の例外なし
-
ガバメントアクセス可能
|
フィリピン |
DPA 2012 |
幼少から英語教育に力を入れ人件費も安価なため欧米企業のBPO(特にコールセンター)が発展。コールセンターでは個人情報を扱うため2012年に個人情報保護法(DPA)が制定、2017年9月に施行。APEC CBPR参加国。 |
GDPRベースだが、コールセンター業務に配慮した自由なデータ流通を重視。
-
フィリピンで扱われる海外在住の外国籍の個人情報は適用対象外
-
違反時は罰金に加え懲役あり
-
一定数の個人情報を処理するにあたり当局(NPC)へ届け出
|
近年、Personal Data Protection (Amendment) Bill 2020が議論されている。
-
同意取得以外の要件
-
データ主体によるデータポータビリティ権
|
インドネシア |
PDPL |
インドネシアの人口は世界第四位の2.6億人(2020年時点)であり、2016年以降のGDP成長率も年約5%。ICT教育にも力を入れておりポテンシャルが高い。
個人情報保護法はセクター別に法律が異なっていたため、今後のデータ利活用推進と他国による法規制整備の潮流を受け、8年以上の議論を経て2022年に包括的な法律(PDPL)が施行された。
|
GDPRベースだが特にデータ主体の権利を重視。
-
データ主体からの各種権利行使に対し72時間以内に対応
-
個人の金融データ、こどもに関するデータはセンシティブ情報
-
宗教情報が一般的な個人情報に分類される
-
違反時の罰則で資産の押収、事業凍結等が課される場合あり
|
インドネシアのデジタル経済促進のため、CoEラボが開設された。当該ラボは5G、データアナリティクス、IoT等の開発に注力。 |
ニュージーランド |
Privacy Act 2020 |
1993年にプライバシー法が制定。GDPR等の各国のプライバシー関連法規制の厳格化および技術進歩に対応するために2020年に改訂。EU十分性認定取得済。 |
GDPRベースでデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
-
違反時の最大制裁金は10,000NZDのみ
-
データ主体の権利に忘れられる権利、データポータビリティ権等がない
|
第三者から個人情報を取得する際の通知ついての改正が議論されている。 |
オーストラリア |
Privacy Act 1988 |
OECD8原則の影響を受け1988年にPrivacy Actが制定。その後、1991年、2000年、2014年、2018年に細かな改正。CBPR参加国。 |
OECD8原則ベースの13原則。個人のプライバシー保護を重視しつつ、自由なデータ流通にも配慮。
-
オープンで透明な個人情報管理体制の構築
-
仮名・匿名情報の使用
-
個人情報の収集制限
-
受動的個人情報の保持制限
-
収集時の通知
-
二次的目的の使用・開示制限
-
ダイレクトマーケティング制限
-
海外移転時の説明原則
-
政府発行識別子の使用禁止
-
データの正確性保持
-
安全対策の実施等
-
アクセス権付与
-
修正権付与
|
2020年にNational Digital Economy Strategyを打ち出しデジタル化を推進。
2022年10月にGDPRベースの新改正法案を提出、データ侵害時の通知義務化・罰則厳格化、域外適用等が盛り込まれている。
|