ASIAビジネス法務　最新アップデート

南アジアにおける個人情報保護規制（２）

タイでの個人情報保護法の本執行が準備される中、南アジアにおいても近年、個人情報保護の対応に関する法規制が整備されつつある。前回のバングラデシュ、ネパールに続き、今回はパキスタンにおける個人情報保護法の導入状況などを解説する。

はじめに

021年1月時点では、パキスタンにおいて個人情報保護法等の包括的なデータ保護に関する具体的な法律は存在していない。

もっとも、20年4月、パキスタンの情報技術通信省はパキスタン個人データ保護法草案（以下、「草案」）を発表している。この草案はまだパキスタン議会に提出されていないものの、今後、議会において可決されれば、大統領の同意を得て公布されることになる。

草案の主な内容

草案によれば、個人情報保護法が施行されてから６ヵ月以内に、政府はパキスタンの個人データ保護局を設立しなければならないと規定している。同局はデータ主体の利益の保護、個人データの保護の確保、個人データの悪用防止、データ保護に関する意識向上を促進、苦情受け付け等の責任を負っている。

具体的な個人データの保護規定については、EU一般データ保護規則（GDPR）を踏襲しつつも、管理者及び処理者の登録制度などパキスタン独自の規定が置かれている。

例えば個人データについては、データ主体に直接または間接的に関連する情報であって、その情報から識別または識別可能なもの、または、データ管理者が保有する情報およびその他の情報から識別可能なものを言う。そして個人を特定できない匿名化や暗号化、仮名化されたデータは個人データではないとしている。

GDPRでは匿名化は不可逆的な処理が必要であるが、仮名化されたデータは必要な情報と突き合わせれば個人を特定できるため個人データとされており、パキスタンの草案独自の点となっている。

また、生体認証データや健康に関する情報、宗教などの機微情報だけでなく、アクセス制御に関するデータ（ユーザー名及び／またはパスワード）、銀行口座、クレジットカード、デビットカード、その他の決済手段の詳細などの金融情報、パスポート情報を含めて「機密性の高い個人データ」と定義され、他の個人データとは区別している点も特徴的となっている。

データ管理者とデータ処理者

さらにGDPRと同様、個人データを取得・処理・開示するデータ管理者や、データ管理者に代わりデータを処理するデータ処理者についても規定されている。

なお、草案では個人データ保護局にデータ管理者とデータ処理者の登録制度を考案・策定する権限を与えており、草案がそのまま法律として成立し施行されれば、データ管理者とデータ処理者の登録制度が導入される可能性が高い。

データ管理者は、個人データの収集および処理について、データ対象者に書面による通知を行わなければならない。加えて、個人データの取得・処理・開示については原則として本人の同意が必要であり、同意は本人の希望を自由に与えられ、具体的で十分な情報を提供された上で、かつ明確に意思表示されたものでなければならない。

なお、個人データの国外移転については、転送先の国においてパキスタンと同等の法的保護を受けられることが要件となっているが、転送にあたっての手続の詳細については法律で明記されていない。

また、個人データが漏洩した場合など個人データの侵害があった場合、データ管理者は72時間以内に個人データ保護局に報告しなければならない。 以上の通り、パキスタンの草案はGDPRを踏襲している部分が多く、その解釈にあたってはGDPRやそのガイドラインが参考になると言える。

参照
https://www.moitt.gov.pk/SiteImage/Downloads/Personal%20Data%20Protection%20Bill%202020%20Updated.pdf
https://iclg.com/practice-areas/data-protection-laws-and-regulations/pakistan