個人情報保護法を14年ぶり改正、漏えいへの対応強化など盛り込む（マレーシア）

マレーシアの連邦議会下院は7月16日、改正個人情報保護法案を可決した。本人の同意ない個人情報の開示禁止などの原則を含む現行「個人情報保護法2010（法律第709号）」は、2010年5月に連邦議会が可決し、2013年11月に施行された（2013年12月10日記事参照）。成立すれば14年ぶりの改正となる今回の改正法案には、個人情報漏えい時の届け出義務化や、データ保護責任者制度の導入、個人情報の越境移転の規制緩和などを盛り込んでおり、連邦議会上院でその内容が今後審議される。

連邦議会が公表した改正法案（D.R.21/2024）によると、主に次のような改正が挙げられる。

（1）個人情報利用者を代理するデータ処理業者に対し、漏えいや不正使用防止策を講じる義務を負うことを明確化〔第5条(1A)新設〕。なお、改正法案では当該義務違反の場合の罰則が加重され、最大100万リンギ（約3,400万円、1リンギ＝約34円）の罰金、もしくは最長3年の禁錮刑、あるいはその両方が科される〔第5条(2)改正〕。

（2）一定の条件に該当する個人情報利用者やデータ処理業者に対し、データ保護責任者（DPO）の任命と届け出を義務化（第12A条新設）。DPOは、個人情報保護法令の順守について、個人情報利用者らに対して責任を負うほか、個人情報漏えい時の個人情報保護局(PDP) （注）や情報提供者との窓口を務める。

（3）個人情報の漏えいなどが発生した場合のPDPへの速やかな届４け出を新たに義務化（第12B条新設、第4条改正）。当該義務違反の場合、最大25万リンギの罰金、もしくは最長2年の禁錮刑、あるいはその両方が科される。

（4）データポータビリティー権の設定（第43A条新設）。情報提供者側が個人情報利用者に対し、当該個人情報を別の利用者への移行を請求できるようにする。個人情報を独占しづらくすることで競争を促進するほか、電子商取引などの利便性も向上させる狙い。

（5）個人情報の越境移転の容認（第129条改正）。現行法では、大臣が事前指定した場所への越境移転のみ認められていた。今回の改正法案では、当該要件を削除し、一定の要件の下で個人情報の越境移転を認める。

ジェトロの中小企業海外展開現地支援プラットフォームコーディネーターの西川大貴弁護士はDPOの選任について、「事業規模によってDPOを複数選任、または外部業者への委託を検討することもあり得る。引き続き政府が策定中のガイドラインを注視する必要がある」（7月17日聴取）との見解を示した。

（注）PDPによると、2023年10月～2024年3月の間に寄せられた個人情報に関する苦情は322件。特に2024年に入ってから、個人情報の漏えいが大幅に増加したという。

（吾郷伊都子）

（マレーシア）