MenuClose

Blog

ブログ

[マレーシアブログ]第1回マレーシア個人情報保護法の2024年改正について

2025.08.22

#知的財産 / #個人情報 / #アジア太平洋 / #マレーシア

世界各国で個人情報保護法制の厳格化が進む中で、マレーシアにおいても、これらの潮流を受けて、202561日までに、Personal Data Protection (Amendment) Act 2024(以下「改正個人情報保護法」といいます。)における改正事項が全て施行され、従来のマレーシア個人情報保護法が大幅に改正されました。改正個人情報保護法は、マレーシアに所在する日系企業にも少なからぬ影響を与えることから、本記事では、本改正の重要なポイントを2回に分けて解説します。

罰則の強化

改正個人情報保護法により、罰則が大きく強化されました。改正個人情報保護法では、同法が定める7つの個人データ保護原則のいずれかに違反した場合、最大で1,000,000リンギット(約237,000米ドル)*1の罰金もしくは最長3年以下の拘禁刑又はその両方が科される可能性があります。
*1 金額は、2025年8月15日にマレーシア国立銀行(Bank Negara Malaysia)が公表した中値レートに基づき、マレーシア・リンギットから米ドルへ換算し、千米ドル単位に切り上げた参考値となります。

 

改正前

改正後

罰金

300,000リンギット

1,000,000リンギット

拘禁刑

最長2

最長3

 

データ保護責任者(DPO)の選任義務の導入

(1) DPOの選任義務の主体
改正個人情報保護法第12A条により、以下のいずれかに該当する個人データの取扱いを行うすべてのデータ管理者(data controller)及びデータ処理者(data processor)は、少なくとも1名のデータ保護責任者(Data Protection Officer)(以下「DPO」といいます。)を選任することが義務付けられました。

① 2万人を超えるデータ主体(data subject)に関する処理を行う場合
② 1万人を超えるデータ主体のセンシティブ個人データ(財務情報データを含む)*2を処理する場合
③ 個人データの定期的かつ体系的な監視活動を行う場合(例:ターゲティング広告の目的でデータ主体がオンライン又はオフラインで追跡又はプロファイリングするような場合)

*2センシティブ個人データには、(a) 身体的又は精神的な健康状態、(b) 政治的意見、(c) 宗教的信仰又はこれに類する信念、(d) 犯罪の実行又はその疑いに関するデータ主体の情報、(e) 生体認証データ(個人の身体的、生理学的又は行動的特徴に関する技術的処理から生じる個人データ)が含まれます

(2) DPOの資格要件
マレーシア個人情報保護委員会(Personal Data Protection Commissioner)が公表する「Guidelines on Appointment of Data Protection Officer」(以下「DPO選任ガイドライン」といいます。)では、DPOに求められる知識・資格、業務範囲等に関連する事項の詳細が定められています。DPOに特定の専門資格は必須ではありませんが、個人情報保護法及び関連するデータ保護実務に関する知識を有していることが必要です。

また、DPO選任ガイドラインにおいて、より迅速かつ円滑な対応とアクセス性を確保するために、DPOは以下の要件を満たすことが求められています。

DPOの資格要件

① 1暦年あたり少なくとも180日間マレーシアに居住していること(居住者要件)

② マレーシア当局から容易に連絡が取れること(連絡要件)

③ マレー語及び英語がいずれも堪能であること(言語要件)

この点、上記の居住者要件及び連絡要件については、マレーシアに駐在する日本人であっても比較的容易に充足することが可能であるものの、一般的に言語要件については充足することが難しいケースが多いと考えられます。従業員の中からDPOを選任することが難しい場合、弁護士等の外部の個人情報保護法の専門家をDPOとして選任することも可能です。

また、個人情報保護委員会は、2025721日、DPOの能力に関する以下の3つのガイドラインを新たに公表しています。

  • Data Protection Officer Competency Guideline
  • Data Protection Officer Professional Development Pathway & Training Roadmap
  • Management of Data Protection Officer Training Service Providers Guideline

上記のガイドラインの詳細については、今後のブログ記事でご紹介したいと思います。

(3) DPOの役割
DPO選任ガイドラインでは、DPOは、少なくとも以下を実施することが必要とされています。

a. データ管理者又はデータ処理者に対して、個人データの処理に関する情報提供及び助言を行うこと
b. データ処理リスクに関する情報を踏まえつつ、個人情報保護法及び関連法令の遵守を支援すること
c. 個人情報保護委員会が定める要件に従い、データ保護影響評価(Data Protection Impact Assessments)を実施すること
d. データ管理者又はデータ処理者の個人情報保護法の遵守状況を監視すること
e. 個人データ侵害及びセキュリティインシデントへの適切な対応を確保し、報告書類の作成・提出等を支援すること(定められた期間内に提出する必要があります。)。

(4) DPOの選任通知
データ管理者及びデータ処理者は、DPOを選任後21日以内にDPO登録ポータルを通じて個人情報保護委員会に通知する必要があります。また、DPOやその連絡先情報に変更が生じた場合は、変更後14日以内に更新が必要です。
なお、DPOは個人情報保護法を遵守する責任を負いますが、DPOの選任によってデータ管理者やデータ処理者自身の法的義務が免除されるわけではありませんので、留意が必要です。

改正個人情報保護法におけるデータ侵害通知及び越境移転規制の改正については、次回のブログで解説します。

※本記事は、提携先であるSY Teo & Co.法律事務所と共同して執筆したものです。

Member

PROFILE

梅田宏康

梅田宏康

PROFILE

落合一樹

落合一樹

#知的財産 / #個人情報 / #アジア太平洋 / #マレーシア

Other Categories

MORE
MORE
MORE
MORE
MORE
MORE
MORE

TAGS

VIEW MORE