Blog

ブログ

[インドネシア法務ニュース] 個人情報保護法に基づくデータ保護責任者（DPO）任命義務／[Indonesia Legal News] Personal Data Protection Law – Appointment of Data Protection Officer (“DPO”)

2025.11.17

Please see below for the English version.

インドネシアの個人情報保護法（Law No. 27 of 2022 on Personal Data Protection、以下「PDP法」）53条1項は、データ管理者及びデータ処理者に対し、以下の場合にデータ保護責任者（Data Protection Officer、以下「DPO」）を任命することを義務付けています。

a. 個人データが公共サービスの利益のために取り扱われる場合
b. データ管理者の主たる業務が、大規模かつ定期的で体系的な個人データのモニタリングを要する性質、領域及び／又は目的を有する場合
c. データ管理者の主たる業務が、特定個人データ（健康に関する情報、生体情報、遺伝子情報、子どもに関する情報、個人の財産に関する情報等の本人に重大な影響を及ぼし得る情報）や犯罪に関連する個人データの大規模な取扱いを含む場合

PDP法53条1項のa～cは、“and”（及び）により接続されていることから、PDP法の文言上は、これらの要件が全て満たされる場合にDPO任命義務が生じると読め、従来は累積要件として解釈されてきました。

しかし、2025年7月30日、インドネシア憲法裁判所は判決番号151/PUU-XXII/2024において、上記a～cの3要件のいずれか一つを満たせば、DPO任命義務が発生することを明確にしました。

本件は、PDP法53条1項内の接続詞“and”によりDPO選任義務の発生要件が不必要に限定されているとする実務家グループの申立てに端を発し、申立人は、各要件はいずれも高リスクのデータ処理であるため、単独でDPO選任義務の発生要件として扱うべきだと主張していました。憲法裁判所は、この”and”（及び）を“and/or”（及び／又は）として解釈すべきと判断し、上記a～cのいずれか一つの要件に該当すればDPO任命義務が生じるという結論に至りました。

今回の判断により、上記a～cのいずれかに該当する場合には、DPOを任命する義務が生じることが明確になりました。すなわち、本件憲法裁判所判決により、DPO任命義務の対象範囲は拡大したことになります。したがって、インドネシアで事業を行う企業においては、自社のデータ処理活動を速やかに精査し、DPO任命義務の有無を判断する必要があります。なお、DPD法上の義務に反してDPOを任命しない場合には、罰則の対象となります。

DPOには、専門性、法的知識、個人データ保護分野での実務経験及び任務遂行能力が求められます。また、DPOの任務には、データ管理者及び処理者への助言、PDP法遵守状況の監督、データ保護影響評価（DPIA）に関する助言、窓口業務等が含まれます。

DPOは、組織内から任命することも、外部の専門家を起用することも可能です。

当事務所には、APPDI（インドネシアデータ保護専門家協会）認証のDPOの資格を有しているインドネシア法弁護士が所属しておりますので、DPOの選任が必要な場合にはご遠慮なくお問い合わせください。

TMIインドネシアプラクティスグループ

Article 53(1) of the Law No. 27 of 2022 on Personal Data Protection (the “PDP Law”) stipulates that personal data controllers and personal data processors must appoint a Data Protection Officer (“DPO”) if:

processing of personal data is for the benefit of public services;
the personal data controller's core activities are of a nature, scope, and/or purpose that require regular and systematic monitoring of personal data on a large scale; and
the personal data controller's core activities consist of large-scale processing of personal data for specific personal data (i.e., information that may have a significant impact on the individual, such as health information, biometric information, genetic information, information relating to children, information concerning an individual’s assets, etc.) and/or personal data related to criminal acts.

From a literal reading of Article 53(1) of the PDP Law, an organisation or company acting as a personal data controller or personal data processor would be required to appoint a DPO only if all the criteria listed under Article 53(1) are met. The use of the coordinating conjunction “and” implies that the three criteria are cumulative, and therefore all must be met to trigger the obligation to appoint a DPO.

However, on 30 July 2025, the Indonesian Constitutional Court issued Decision No. 151/PUU-XXII/2024, which clarified that the obligation to appoint a DPO is triggered if any one of the three criteria under Article 53(1) is met. The decision resulted from a petition filed by a group of practitioners who challenged Article 53(1) of the PDP Law, arguing that each criterion under Article 53(1) constitutes a high-risk activity and should therefore independently trigger the obligation to appoint a DPO. The petitioners sought to replace “and” with “and/or” so that the obligation to appoint a DPO would apply upon the fulfilment of any of the criteria listed under Article 53 (1) of the PDP Law, thereby strengthening and aligning the provision with the constitutional right to personal security under Article 28G (1) of the amended 1945 Constitution. This Constitutional Court decision is final and binding.

The Constitutional Court decision noted the government position that using the coordinating conjunction “and” in Article 53(1) of the PDP Law creates legal uncertainty and undermines the PDP Law’s objective of ensuring adequate personal data protection. The Constitutional Court sided with the petitioners and decided that Article 53(1) of the PDP Law should be interpreted as using the coordinating conjunctions “and/or”, making each of the listed criteria sufficient to trigger the obligation to appoint a DPO.

This means organisations now need a DPO if they meet any one of the three conditions: providing public services, conducting large-scale monitoring of personal data or processing large-scale sensitive data. This ruling requires organisations operating in Indonesia to promptly assess their data processing activities against the DPO appointment requirement. Failure to appoint a DPO leaves organisations vulnerable to penalties under the PDP Law and significantly increases their risk when facing data privacy issues. The DPO’s duties include advising the personal data controller or personal data processor on compliance with the PDP Law, monitoring and ensuring such compliance, providing advice on data protection impact assessments, and serving as the liaison for matters related to personal data processing.

Additionally, PDP Law stipulates that a DPO must be appointed based on professionalism, legal knowledge, personal data protection practice, and ability to fulfil their duties.

The PDP Law allows the data controller or data processor to appoint a DPO from within and/or outside of the organisation. Currently in Indonesia, the Indonesian Data Privacy Professionals Association (APPDI) provides the certification for such a profession.

It is important that for organisations operating in Indonesia to seek expert advice on privacy governance to ensure compliance with the PDP Law. Proactive measures, including DPO appointment, strengthened data protection standards now in effect in Indonesia. As we have the Indonesian lawyer who has the DPO qualification, please feel free to contact us if your company requires to appoint a DPO.

TMI Indonesia Practice Group