データ侵害通知

改正個人情報保護法第12B条に基づき、データ管理者は、「重大な損害（significant harm）」を引き起こす可能性があると合理的に信じる理由がある「個人データ侵害（data breach）」が発生した場合には、実行可能な限り速やかに（かついかなる場合であっても72時間以内に）、個人情報保護委員会に通知する必要があります。通知に必要な情報すべてを72時間以内に提供することが不可能な場合には、追加情報を段階的にかつ実行可能な限り速やかに提出することができます。もっとも、当該追加情報は、通知日から30日以内に提出する必要があります。

「個人データ侵害」とは、個人データの漏えい、紛失、不正使用又は無断アクセスなどを含むすべての侵害を意味します。個人情報保護委員会が公表する「Personal Data Protection Guidelines on Data Breach Notification」（以下「データ侵害ガイドライン」といいます。）では、「個人データ侵害」及び「重大な損害」として、以下のような具体例が示されています。

個人データ侵害の具体例	①　従業員が誤って個人データを含むメールを誤送信した場合 ②　外部者が不法にデータ管理者のネットワークやユーザーアカウントにアクセスし、個人データを取得した場合 ③　許可なく個人データが改ざんされた場合
重大な損害の具体例	①　身体的損害、金銭的損失、信用記録への悪影響、財産の毀損又は喪失のリスクがある場合 ②　違法目的でデータが悪用される可能性がある場合 ③　個人データがセンシティブ個人データである場合 ④　身元詐称に使用される可能性がある場合 ⑤　1,000人を超えるデータ主体に影響を与える場合

さらに、データ侵害ガイドラインでは、通知の方法及び内容についても規定されています。例えば、個人データ侵害の発生日時、侵害の態様、発見方法、影響を受けたデータ主体の数、侵害の原因、損害を抑止するための対応策などが含まれます。

通知義務に違反した場合、最大250,000リンギット（約59,000米ドル*³）の罰金若しくは最長2年以下の拘禁刑又はその両方が科される可能性があります。
*³　金額は、2025年8月15日にマレーシア中央銀行が公表した中値レートに基づき、マレーシア・リンギットから米ドルへ換算し、千米ドル単位に切り上げた参考値となります。

加えて、データ管理者は、当該侵害が重大な損害を引き起こす場合又はその可能性がある場合には、データ主体に対しても、不必要に遅延することなく（かつ個人情報保護委員会への通知から7日以内に）、通知する必要があります。

留意すべき点として、改正個人情報保護法上、データ処理者は、データ管理者と異なり、個人データ侵害の通知義務を直接的には負っていません。このため、実務的な対応としては、データ管理者が、データ処理契約（Data Processing Agreement）において、データ処理者に対して、侵害発生時の迅速な通知義務及び侵害通知に必要となる支援を提供する義務を課すことが考えられます。

 

越境移転規制の整理（ホワイトリストの削除とガイドラインの整備）

(1)　ホワイトリストの削除
改正前の個人情報保護法の下では、原則として、個人データの越境移転が禁止されており、移転先が大臣が認定するホワイトリストに該当する国である場合や本人の同意を得ている場合等の例外事由に該当する場合に限り、越境移転が認められていました。

改正個人情報保護法第129条においては、当該ホワイトリストが削除され、データ管理者は以下の条件のいずれかを満たす場合に限り、個人データをマレーシア国外に移転することができるようになりました。

要件A：移転先の国・地域に、個人情報保護法と実質的に類似する法律が存在する場合 要件B：移転先における個人データ保護水準が個人情報保護法と同等以上であると評価される場合 要件C：法定の例外事由に該当する場合（例：本人の同意を得ている場合、契約の履行上必要である場合、合理的な予防措置とデューデリジェンスが講じられている場合など）

(2)　移転影響評価（要件A及び要件Bについて）
個人情報保護委員会の公表する「Personal Data Protection Guidelines on Cross-Border Transfer of Personal Data」（以下「越境移転ガイドライン」といいます。）では、要件A又は要件Bの該当性を確認するために、移転影響評価（Transfer Impact Assessment）」と呼ばれる移転先の法制度等に関するリスク評価を実施することを推奨しています。

具体的には、越境移転ガイドラインが掲げる要件A又は要件Bの評価要素は、大要、次のとおりです。

要件Aの評価要素	要件Bの評価要素
a. データ主体にアクセス権・訂正権など類似の権利が付与されているか b. セキュリティ原則など、類似の個人情報保護原則が存在するか c. 収集、開示、保存、越境移転、DPO、侵害通知、データ処理者の義務などに関する類似規制があるか d. マレーシアと同等の権限と機能を持つ監督機関が存在するか	a. データ受領者がセキュリティ原則や保護基準に沿った体制を有しているか b. セキュリティに関する認証（例：ISO等）を取得しているか c. 法的に執行可能な契約義務が存在し、法域が適切か d. データ受領者の過去の個人情報保護法の準拠状況 e. データ処理者に対する適切な義務付けがなされているか f. マレーシアに類似する監督機関が存在するか

なお、移転影響評価の有効期間は最大3年間であり、法規制等に変更があった場合はより早期の見直しが望ましいとされています。 

(3)　合理的な予防措置及びデューデリジェンス（要件Cについて）
要件Cのうち、「合理的な予防措置及びデューデリジェンスが講じられている場合」につき、越境移転ガイドラインは、以下の措置を講じることで充足することができると規定しています。

拘束的企業準則の策定 （Binding Corporate Rules）	拘束的企業準則（BCR）とは、多国籍企業グループ又は共通の経済活動に従事する企業集団によって実施される個人データ保護方針を指します。越境移転ガイドラインは、BCRに規定すべき内容（個人情報保護法と同等の保護水準を確保する義務など）を定めていることから、ガイドラインに準拠したBCRを策定する必要があります。
契約条項の締結 （Contractual Clause）	契約条項（CC）とは、データ管理者及び受領者の双方に対し、個人データの処理に関して適切な保護水準を確保することを法的に義務付ける契約条項をいいます。CCには、少なくとも、①個人データの処理に関して、個人情報保護法で認められる保護水準と同等以上の水準を提供するために講じられるべきセキュリティ対策、②個人データの処理が個人情報保護法に準拠して実施されること及びそれを保証する条項を含める必要があります。 なお、データ管理者は、国際的な契約条項モデルを使用することができるとされています。
認証制度による認証 （Certification）	データ管理者又はデータ処理者は、個人データ保護に関する認証を取得することにより、当該データ管理者又はデータ処理者が、データ保護の基準や法令を遵守するための適切な方針及び手続を整備していること又は個人データを保護するための十分な保護水準を提供していることを確認する手段として利用することができます。

要件A及び要件Bの該当性が不明確であり、かつ本人の同意取得が困難な場合には、上記のいずれかの手段を実施することが検討されます。特に、グループ内移転においては、BCRの策定を行うことが有用と考えられます。BCRを策定し、各グループ会社間でBCRに準拠することで、マレーシアから個人データを国外に移転することが可能となります。

 

その他の主な改正点

これらの他にも、改正個人情報保護法では、以下のような重要な変更も行われています。

データポータビリティ権の創設	データ主体は、データ管理者から別のデータ管理者へ、自らの個人データの移転を要求できるようになりました（技術的実現可能性及びデータ形式の互換性があることを前提とします。）。
故人の個人データの除外	故人がデータ主体の定義から除外され、故人の個人データの取扱いは個人情報保護法の対象外となりました。
セキュリティ原則の適用範囲拡大	従来、セキュリティ原則の適用対象は、データ管理者のみでしたが、改正個人情報保護法では、データ処理者も適用対象となりました。

※本記事は、提携先であるSY Teo & Co.法律事務所と共同して執筆したものです。