【マレーシアの個人情報保護法の概要】

(1)法規制 基礎となる法律として、Personal Data Protection Act 2010 (以下「PDPA」といいます。)が存在し、下位法令及びガイドラインとして以下の規制が存在します。

‧ Personal Data Protection (Class of Data Users) Order 2013

‧ Personal Data Protection Regulations 2013

‧ Personal Data Protection (Registration of Data User) Regulation 2013

‧ Personal Data Protection (Fees) Regulations 2013

‧ Personal Data Protection Standard 2015

‧ Personal Data Protection (Compounding Of Offences) Regulations 2016

‧ Personal Data Protection (Class of Data Users) (Amendment) Order 2016 また、現在、個人情報漏洩の報告義務等の導入が検討されています。

(2)規制内容

① 概要

個人情報の処理者は、以下の原則(7原則)を遵守する必要があります。

(a) 一般原則(General Principle)(PDPA6条)

(b) 通知及び選択原則(Notice and Choice Principle)(PDPA7条)

(c) アクセス原則(Access Principle)(PDPA12条)

(d) 開示原則(Disclosure Principle)(PDPA8条)

(e) 安全原則(Security Principle)(PDPA9条)

(f) 保持原則(Retention Principle)(PDPA10条)

(g) 情報完全性原則(Data Integrity Principle)(PDPA11条)

② 7原則の要旨

(ア) 一般原則情報使用者は、個人情報を処理する場合、原則として情報主体から同意を得なければなりません。同意は、情報使用者によって適切に記録及び保持できる形式であれば、いかなる形式でも良いとされています。ただし、身体的又は精神的な健康状態、政治的意見、宗教的信条、犯罪歴等を含む「センシティブな個人情報(sensitive personal data)」を取得する際には、情報主体から「明示的」な同意を取得することが必要とされています。

(イ) 通知及び選択原則情報使用者は、情報主体に対し、個人情報の処理について書面による通知をする必要があります。通知内容は以下のとおりです。

‧ 個人情報が情報使用者により処理されていること

‧ 個人情報の内容‧ 個人情報が収集され、処理されている目的、

‧ 情報主体の個人情報へのアクセス権、訂正要求権、

‧ 個人情報に関する質問及び苦情の提出方法、‧ 個人情報の開示先である第三者の業種、

‧ 個人情報の提供が義務か任意か、等

(ウ) アクセス原則情報主体は、情報使用者が保有する自らの個人情報にアクセスする権利を有し、当該個人情報が不正確、不完全、誤解を招くもの、又はアップデートを要するものである場合には、訂正することができます。

(エ) 開示原則情報使用者は、個人情報収集時に開示した目的又はそれに直接的に関係する目的以外の目的のために個人情報を第三者に開示する場合には、原則として情報主体から同意を得る必要があります。

(オ) 安全原則情報使用者は、個人情報の紛失や不正使用などを防止するため、具体的な措置をとる必要があります。

(カ) 保持原則個人情報は、目的達成のために不要となった場合には、破棄されなければなりません。

(キ) 情報完全性原則情報使用者は、個人情報が正確で、完全で、誤解を招かないものであり、且つ最新のものであり続けるように、合理的な措置をとる必要があります。

③ 第三者への開示個人情報の第三者への開示・提供は以下の限度で許されます。

(a) 情報主体が事前に同意を与えている場合

(b) 犯罪の防止・捜査を目的とする場合又は調査を目的とする場合

(c) 法令又は裁判所の命令に基づく場合

(d) 情報使用者が自己に開示を行う権限があるか又は情報主体が事前に同意をしているとの合理的な考えに基づく場合

(e) 所管大臣が決定した公共の利益を目的とする場合

(3) 越境移転原則として、個人情報保護委員会の推薦に基づき所管大臣が特定した場所を除き、個人情報の越境移転は許されません。2020年8月現在、所管大臣が特定した場所は公表されていません。 但し、以下の場合は越境移転が可能です。

(a) 情報主体の同意がある場合(同意の要件は明確でない)

(b) 移転が情報主体と情報使用者との契約の履行に必要である場合

(c) 移転が、情報使用者と第三者の契約(但し特定状況下)の締結又は履行に必要な場合

(d) 情報使用者がPDPAに反した形での処理がなされないことを確保するために、必要な全ての合理的予防策を取り、かつ調査を行った場合等

(4) 罰則

各種の規制に対する違反に対する代表的な罰則として、以下のものがあります。(a) 7原則に対する違反:RM300,000以下の罰金又は2年以下の懲役又はそれらの併科

(b) Class of Date Userとしての登録義務に対する違反RM500,000以下の罰金又は3年以下の懲役又はそれらの併科

(c) 個人情報の海外移転に関する規制に対する違反RM300,000以下の罰金又は2年以下の懲役又はそれらの併科本記事の詳細は当事務所へお問い合わせ下さい。