ASIAビジネス法務　最新アップデート

南アジアにおける個人情報保護規制（３）

タイでの個人情報保護法の本執行が準備される中、南アジアにおいても近年、個人情報保護の対応に関する法規制が整備されつつある。今回はスリランカ、ブータンにおける個人情報保護法の導入状況などを解説する。

スリランカ

2021年１月時点では包括的な個人情報保護規定は存在しない。

ただし、デジタルインフラ・情報技術省は19年にデータ保護とサイバーセキュリティを管理するサイバーセキュリティ法案と個人データ保護法案の草案を作成している。

これらの草案は、新たなサイバーセキュリティと個人情報の保護に関する問題に対処するための規制の枠組みを構築することを目的としている。

サイバーセキュリティ法案はサイバー攻撃から重要な情報やサービスを守るために、スリランカ政府内に「サイバーセキュリティ機関」を設立することを規定。

サイバーセキュリティ法案の直後に発表された個人データ保護法案は、個人情報を保護し、個人情報の処理を規制することを目的としており、憲法上の権利であるプライバシーの権利にも対応できる内容となっている。

個人データ保護法案

内容はほぼEU一般データ保護規則（GDPR）を踏襲している。

例えばデータ主体は名前、識別番号、位置情報、オンライン識別子または自然人の身体的、生理学的、遺伝的、心理的、経済的、文化的、社会的アイデンティティに固有の１つ以上の要素を含むが、これらに限定されない識別子を参照することにより直接的または間接的に識別可能な個人と定義しており、GDPRとほぼ同様となっている。

個人データを適法に取扱いできる場合やセンシティブデータの取扱い、同意取得の条件、国外移転、データ主体の権利、データ管理者およびデータ処理者の義務等についてもGDPRとほぼ同じ内容となっている。

特徴はデータ管理者が登録制である点。データ管理者になろうとする者は処理する個人データや個人データのカテゴリー、処理目的、開示先等を所定の様式に記載して個人情報保護局に申請し、登録料を支払ってデータ管理者の登録をしなければならない。そして１年ごとに更新する必要がある。

ダイレクトマーケティングでの個人データの利用についても、データ主体から明確な同意があればエンドユーザーの個人データを利用して、インターネットや電話でダイレクトマーケティングを行うことができる旨規定している。

サイバーセキュリティ法案

サイバーセキュリティ法案においてはサイバーセキュリティ機関が設置され、次のような機能が委ねられる予定となっている。

具体的には国家サイバーセキュリティ戦略、基準の策定、情報保護のための戦略と計画の策定、サイバーセキュリティに関する中心的な窓口機能等を果たすことが規定されている。

ブータン

2021年１月時点では個人またはその他の団体の個人データの保護に関する別途の統一的な法律は存在しない。しかしながら、ブータン政府は06年に制定された情報技術、通信及びメディアに関する規則を改正し、18年１月８日に「情報通信及びメディアに関する法律（ICMA法）」を制定している。

ICMA法はデータ保護、サイバーセキュリティや電波通信及びその他の関連分野に関して規定している。第17章では、オンラインまたはオフラインのプライバシーの保護に関する規定を置き、データ保護について具体的に定めている。

また、すべての情報通信技術およびメディア・セクター並びにICT、メディア・ サービス、施設の提供者およびユーザーに適用される。

すべてのICT・メディア設備およびサービス提供者はプライバシーポリシーを策定し、個人情報（機密性の高い個人情報を含む）が収集または要求されるウェブサイトおよび場所に、当該方針を掲載しなければならない。

サービスプロバイダー、ベンダー、ICTまたはメディア施設は適切で意図された目的のためにのみ、個人情報の収集、使用および保管を制限するものとする。

利用者または消費者からの申出があった時、当該役務提供者はその収集及び保存している情報を撤回または削除する義務を負う。

サービスプロバイダー、ベンダー、ICT、またはメディア施設は利用者や消費者の個人情報を第三者に転送した場合であっても、引き続きそれらの個人情報に対する保護責任が課せられる。