インドネシアの個人情報保護法（Law No. 27 of 2022 on Personal Data Protection、以下「PDP法」）53条1項は、データ管理者及びデータ処理者に対し、以下の場合にデータ保護責任者（Data Protection Officer、以下「DPO」）を任命することを義務付けています。

a. 個人データが公共サービスの利益のために取り扱われる場合
b. データ管理者の主たる業務が、大規模かつ定期的で体系的な個人データのモニタリングを要する性質、領域及び／又は目的を有する場合
c. データ管理者の主たる業務が、特定個人データ（健康に関する情報、生体情報、遺伝子情報、子どもに関する情報、個人の財産に関する情報等の本人に重大な影響を及ぼし得る情報）や犯罪に関連する個人データの大規模な取扱いを含む場合

PDP法53条1項のa～cは、“and”（及び）により接続されていることから、PDP法の文言上は、これらの要件が全て満たされる場合にDPO任命義務が生じると読め、従来は累積要件として解釈されてきました。

しかし、2025年7月30日、インドネシア憲法裁判所は判決番号151/PUU-XXII/2024において、上記a～cの3要件のいずれか一つを満たせば、DPO任命義務が発生することを明確にしました。

本件は、PDP法53条1項内の接続詞“and”によりDPO選任義務の発生要件が不必要に限定されているとする実務家グループの申立てに端を発し、申立人は、各要件はいずれも高リスクのデータ処理であるため、単独でDPO選任義務の発生要件として扱うべきだと主張していました。憲法裁判所は、この”and”（及び）を“and/or”（及び／又は）として解釈すべきと判断し、上記a～cのいずれか一つの要件に該当すればDPO任命義務が生じるという結論に至りました。

今回の判断により、上記a～cのいずれかに該当する場合には、DPOを任命する義務が生じることが明確になりました。すなわち、本件憲法裁判所判決により、DPO任命義務の対象範囲は拡大したことになります。したがって、インドネシアで事業を行う企業においては、自社のデータ処理活動を速やかに精査し、DPO任命義務の有無を判断する必要があります。なお、DPD法上の義務に反してDPOを任命しない場合には、罰則の対象となります。

DPOには、専門性、法的知識、個人データ保護分野での実務経験及び任務遂行能力が求められます。また、DPOの任務には、データ管理者及び処理者への助言、PDP法遵守状況の監督、データ保護影響評価（DPIA）に関する助言、窓口業務等が含まれます。

DPOは、組織内から任命することも、外部の専門家を起用することも可能です。

当事務所には、APPDI（インドネシアデータ保護専門家協会）認証のDPOの資格を有しているインドネシア法弁護士が所属しておりますので、DPOの選任が必要な場合にはご遠慮なくお問い合わせください。

TMIインドネシアプラクティスグループ