ブログ
【マレーシアブログ】マレーシア個人情報保護法に係るGeneral Code of Practice(実務指針)
2023.03.23
はじめに
2022年12月15日、マレーシア個人情報保護委員会(”Personal Data Protection Commissioner”)より、マレーシア個人情報保護法(”Personal Data Protection Act 2010(Act 709)”)(以下「個人情報保護法」といいます。)に係る実務指針(”General Code of Practice of Personal Data Protection”)(以下「本実務指針」といいます。)が公表され、即日施行されましたので、その内容について紹介します。
本実務指針の法的性質
本実務指針は、マレーシア個人情報保護委員会が個人情報保護法の実務指針を発行することができると規定している個人情報保護法24条に基づいて、策定・施行されたものであり、以下に記載の適用対象となるデータ利用者に対して法的拘束力を有します。したがって、データ利用者が本実務指針に違反した場合には、100,000マレーシアリンギット以下の罰金若しくは1年以下の懲役又はその両方の罰則が科せられます(本実務指針1.2項、個人情報保護法29条)。
本実務指針の適用対象
本実務指針の適用対象については、不明瞭なところがあるものの、以下のデータ利用者(以下「適用データ利用者」といいます。)が適用対象になると考えられます。
① 個人情報保護法上、データ利用者として登録が必要となる業種(class)のデータ利用者であって、かつ
② これまでにマレーシア個人情報保護委員会が登録した実務指針の対象となっていない業種(class)のデータ利用者
具体的には、本実務指針は、主として、以下の業種(class)のデータ利用者に適用されると考えられます。
・観光(Tourism Industry Act 1992に基づくライセンス取得者)
・教育(Private Higher Educational Institutions Act 1996等に基づく教育機関)
・直接販売(Direct Sales and Anti-Pyramid Scheme Act 1993に基づくライセンス取得者)
・専門サービス(法律、監査、会計、エンジニアリング、建築)
・不動産(Housing Development (Control and Licensing) Act 1966等のライセンス取得者)
本実務指針の内容
本実務指針の目的は、①取引を行う上で、適用データ利用者が講ずべき個人情報保護法上の要件を満たすための最善の実務対応を定め、②適用データ利用者を規制するガイドラインを確立することです。
上記の目的を果たすため、本実務指針は、個人情報保護法に定める以下の諸原則に関し、データ利用者が遵守すべき行為を規定し、その具体例を示しています。
① 一般原則
② 通知及び選択の原則
③ 開示原則
④ 安全原則
⑤ 保持原則
⑥ 情報完全性原則
⑦ アクセス原則
本実務指針のポイント
(1)個人情報保護通知の具体的内容
データ利用者は、個人情報の収集前又は収集後速やかにデータ主体に対して、収集した個人情報の処理方法等を説明した個人情報保護通知を書面で交付しなければなりません(個人情報保護法7条)。個人情報保護通知には、①収集する個人情報の詳細、②収集目的、③個人情報の収集源、④データ主体が個人情報にアクセスするために有する権利(担当者の氏名及び連絡先等を含む。)、⑤開示先、⑥個人情報の処理範囲を限定するためにデータ主体が有する選択肢及び手段、⑦データの提供が強制か任意か、⑧データの提供が義務か否か及び提供しない場合の効果等について規定しなければなりませんが、本実務指針ではその詳細について以下のとおり具体例を挙げて説明しています。
また、本実務指針の別紙1には、個人情報保護通知のサンプルも挙げられています。
項目 | 具体例 |
① 収集する個人情報の詳細 |
・関連する個人情報の詳細 |
② 収集目的 |
・処理の目的 |
③ 個人情報の収集源 | ・関連する内部的・外部的な個人情報の収集源(手書き若しくは電子的な申込書又は登録フォーム等) |
④ データ主体の権利 |
・個人情報提供の選択肢(個人情報の提出が強制か任意か。個人情報の提出が強制である場合には、提出しなかった場合の結果) |
⑤ 個人情報の開示 |
・個人情報を共同利用する第三者及び共同利用の目的 |
さらに、本実務指針では、以下の方法によって、個人情報保護通知をデータ主体に通知することができると規定しています(本実務指針4.6項)。
① | データ利用者の記録に基づきデータ主体の最新の住所に印刷したコピーを郵送する方法 |
② | データ利用者のウェブサイトに送付する方法 |
③ | データ主体に、個人情報保護通知及び/又は詳細情報を要求するための個人情報保護通知のウェブサイトアドレス及び/又は電話番号をSMSで送る方法 |
④ | データ主体に、詳細情報を取得すためのデータ利用者の個人情報保護通知のウェブサイトアドレス及び/又は電話番号を電子メールで送る方法 |
⑤ | データ主体に、データ利用者が利用するその他の電子的なチャネルを介した詳細情報を取得するためのデータ利用者の個人情報保護通知のウェブサイトアドレス及び/又は電話番号を電子的なメッセージで送る方法 |
⑥ | データ主体に対する毎月の請求書などの定期的な連絡において、個人情報保護通知及び/又は詳細情報を要求するための個人情報保護通知のウェブサイトアドレス及び/又は電話番号の概要を記載する方法 |
⑦ | データ利用者の事業所の敷地内(例:データ対象者が来訪する窓口及び/又はデータ利用者の敷地内の目立つ場所)に個人情報保護通知の要約版を目立つように表示し、窓口でデータ利用者の従業員に要求した場合に個人情報保護通知の全文を閲覧できるようにする方法 |
⑧ | キオスク端末(自立式小型情報端末)の画面に、個人情報保護通知のウェブサイトアドレス、詳細情報を取得するための電話番号及び/又は個人情報保護通知がデータ利用者の支店で閲覧可能であることを示すメッセージを表示する方法 |
⑨ | 申請/登録フォームに、アクセス可能なウェブサイトアドレス、データ利用者の従業員に要求する方法又は申請/登録フォームにある電話番号に電話する方法により、個人情報保護通知を参照する記述を挿入する方法 |
⑩ | 個人情報保護通知のコピーを印刷し、データ利用者の施設においてデータ対象者に提供する方法 |
⑪ | 個人情報保護通知をデータ対象者に提供するために役立つその他の通信方法 |
(2)安全原則の具体的内容
データ利用者は、個人情報を保護するための実務的な措置を講じなければなりません。当該実務的な措置につき、電子的な措置と非電子的な措置の具体例として、次のものが定められています。
電子的措置(本実務指針6.3.1項) | 非電子的措置(本実務指針6.4.1項) |
データ処理に関与する全ての従業員を登録すること | 個人情報を取り扱う従業員を、個人情報へのアクセスを許可する前に登録すること |
組織内の変更に応じて従業員の個人情報へのアクセス権限を適切に終了させること | |
従業員の個人情報へのアクセス権限を統制し、制限すること | |
個人情報へのアクセスに関する適切な記録を定期的に維持し、個人情報保護委員会の指示があった場合には、当該記録を提出できるようにすること | |
物理的なセキュリティ手続を設けること |
物理的なセキュリティ手続を設けること |
個人情報へアクセスできる従業員に対してIDとパスワードを提供すること | 郵便、宅配便、ファックス等、従来から行われている個人情報の授受を記録すること |
個人情報を処理しなくなった場合、ID及びパスワードを即時無効化させること | 個人情報が記載された使用済みの紙、印刷物、その他の文書を、シュレッダー又はその他の適切な方法により、徹底的かつ効率的に破棄すること |
バックアップシステムや個人情報の漏洩を防ぐアンチウィルスシステムをアップデートすること | 全ての従業員に対して、個人情報保護の責任に関する教育プログラムを実施すること(必要であれば) |
個人情報に対するマルウェア攻撃を防ぐため、コンピューターシステムを保護すること | NA |
データ利用者のトップマネジメントから権限を与えられた役員の書面による同意がない限り、リムーバブルメディアデバイス及びクラウドコンピューティングサービスを通じて個人情報の移転を許可しないこと | NA |
データ利用者のトップマネジメントから権限を与えられた役員の書面による同意がない限り、リムーバブルメディアデバイス及びクラウドコンピューティングサービスを通じて個人情報の移転を許可しないこと | NA |
クラウドコンピューティングサービスによる個人情報の移転が、マレーシアの個人情報保護原則及び他国の個人情報保護法に準拠していること | NA |
データ利用者が任命した第三者を、個人情報処理活動の運営及び遂行に関する契約で拘束すること | NA |
(3)個人情報の保護及び管理の基本原則
データ利用者は、個人情報保護システムを維持し、個人情報保護法に基づく適切なコンプライアンスポリシー及び手続(compliance framework)を定め、本実務指針を遵守しているか継続的に監督しなければなりません(本実務指針11.1項、11.4項)。また、データ利用者は、従業員に対して、当該コンプライアンスポリシー及び手続を履践する重要性を理解させるよう努める必要があります(本実務指針11.5項)。
さらに、データ利用者は次の事項に関して情報を維持する義務を負います(本実務指針11.2項)。
関連する原則 | 維持すべき情報 |
一般原則 | データ主体による同意の記録 |
通知及び選択の原則 | 発行された書面による通知の記録 |
開示原則 | 第三者提供に関する開示リスト |
安全原則 | セキュリティポリシー |
保持原則 | 保持基準に従ったコンプライアンスの記録 |
情報完全性原則 | 情報完全性基準に従ったコンプライアンスの記録 |
その他 | 個人情報保護委員会又は検査機関が必要とみなした他の情報 |
実務対応
以上のとおり、本実務指針は法的拘束力を有し、また罰則も定められていることから、適用データ利用者に該当する企業は、今後本実務指針に則って、個人情報の収集及び管理を行うことが求められます。
マレーシア・プラクティスグループ