データ保護とサイバーセキュリティは、アジアにおいて進化する規制分野です。ここでは、専門家が主要な国に見られる法律に光を当てます
インドネシアは東南アジアで最も急速に成長しているデジタルベースの経済を持っています。政府がデジタルビジネスの発展を促進し、「インダストリー4.0」の時代を迎え、インターネットとテクノロジーの利用に中小企業(SME)が参加するように奨励しているため、この成長は続くと予想されます。
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: enurmansyah@abnrlaw.com
インドネシア経済では情報技術が重要な役割を果たしており、デジタル産業の急速な成長により、より高度で包括的なサイバーセキュリティおよびデータ保護規則の必要性が高まっています。
デジタルテクノロジーの急速な成長に照らして、インドネシアは2008年以降、電子情報と取引を具体的に規制する法律を導入しています。2016年法律第19号(EIT法)の改正による、電子情報および取引に関する2008年法律第11号、この法律は、サイバーセキュリティや個人データ保護などを含む、さまざまな状況における電子情報とシステムの運用と関与に基本的なルールを定めています。
それにもかかわらず、インドネシアの電子商取引プラットフォームは内部データベースの侵害から解放されておらず、感染ユーザーデータ(ユーザー名、電子メールアドレス、電話番号、暗号化されたパスワード)の大量のデータ漏洩を引き起こしています。これらの事件により電子システムのセキュリティの脆弱性が露呈した一方で、インドネシアは経済の重要なサポートシステムとしてeコマースにますます舵を取っています。したがって、政府の政策と規制もこれらの技術開発と課題に適応しようとしています。
サイバーセキュリティ
EIT法と電子システムと取引に関する規定に関する2019年の政府規則71号などのその実施規則は、中立の技術の原則を維持しながら、電子システムへの依存を促進し、対応することが期待されるサイバーセキュリティに対する一般規定を対象としています。セキュリティの側面には、物理的および非物理的な電子システムの保護が含まれ、規則 71号に基づくハードウェアおよびソフトウェアのセキュリティが含まれます。さらに、この規則では、ESOがセキュリティの脅威や、攻撃を防止し、軽減するためのセキュリティ手順、設備、システムを、維持かつ実装する必要があります。
情報セキュリティ管理システムに関する2016年の通信情報大臣(MOCI)規則4号(規制4号)に従う情報セキュリティ管理基準の遵守要件は、関連する電子システムのリスク分類に依存します。この規則では、リスク分類を次のように分けています。1)戦略的、 (2)高い、 (3)低い。
情報セキュリティに関しISO / IEC 27001規格を実装するには、戦略的で高いと分類された電子システムが必要です、一方、低いと分類された電子システムは、情報セキュリティインデックスのガイドラインを実装する必要があります。
ただし、規則4号は、規則71号の前身でつくられたESOの分類を引き続き参照しているため、将来的に更新される予定です。電子システムと取引の規則に関する2012年政府規則82号は、規則71号によって取り消されました。
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: aputri@abnrlaw.com
該当する情報セキュリティインデックスを含む情報セキュリティ管理の技術要件の決定は、当初MOCIに割り当てられました。 ただし、この役割は現在、国家サイバーおよび暗号機関 (Cyber and Crypto National Agency:Badan Siber dan Sandi Negara、またはBSSN)に割り当てられています。BSSNは将来、情報セキュリティの要件と遵守に関する技術規則を確立することが期待されています。
BSSNに加えて、サイバーセキュリティ問題の処理を許可されている別の機関は、2007年にMOCIによって設立されたインターネットインフラ/調整センター(ID-SIRTII)のインドネシアセキュリティインシデント対応チームです。ID-SIRTIIの権限は、ITセキュリティ、高度な監視、高度な検出、および通信ネットワーク、特にインターネットにおける脅威への高度な警告に関する、意識を高めることに重点を置いています。
刑事上の観点から、EIT法の第46条は、サイバーセキュリティの違反と見なされた行為には、最長8年の懲役や、または8億ルピア(53,000米ドル)の罰金に処せられると規定しています。
データ保護
データとプライバシーの保護は、インドネシア憲法の第28G条の下で基本的な人権として認められています。この条項は、すべての人は自身、家族、名誉、尊厳および財産を保護する権利を有するとしています。ただし、これまでのところ、インドネシアはデータとプライバシーの保護に関する専用の法律を発行していないため、ルールはいくつかの分野の法律や規則に分散しています。
ただし、EIT法、第71規則、および第20規則は現在、個人データの管理の傘と見なされており、あらゆる分野の電子システムの運用に適用されます。
これらの規則は、関連する法律や規則によって別段の定めがない限り、個人データを含む電子メディアを介した情報の使用について同意を得ることが重要であることを強調しています。
EIT法に基づく「個人データの保護は個人のプライバシー権の一部である」という概念は、個人データの取り扱いや管理、および処理される個人データの検証、および個人データに対するデータ主体の権利の保護について、データ主体の同意を得る必要性を強調する、規則20号の包括的な原則を確立しています。
規則20号は、ESOが個人データの収集、処理、保存、配布、削除を含む個人データ処理のすべての段階について、データ主体の同意を得ることを要求しています。
規則71号に従い、より一般的な基準に基づく個人データ保護規則を適用しようとする政府の試みは、以下の分析からわかるように、EUの一般データ保護規則(GDPR)が大きく影響していることを示しています。
ジャカルタのABNR Law のシニアアソシエイト
連絡先: +62 21 250 5125
Eメール: drutvikasari@abnrlaw.com
規則71号の第14条(1)は、個人データ保護の一般原則に言及しています(GDPRの第5条とおおまかに類似しています)。
データ主体の1つ以上の目的への同意に基づく合法的な個人データ処理の要件、およびGDPRの第6条に基づく他の要件の遵守は、処理の合法性の基礎と見なされます。ただし、同意要件を免除する代わりに、規則71号では同意が依然として、必須要件であるとの別のアプローチを採用しています。
「個人データ管理者」(pengendali data pribadi)という用語の使用は、GDPRから直接のものです。この用語が規則71号に現れるのは、第14条だけであり、用語の詳細はありません。さらに、GDPRと比較して、規則71号では「個人データ管理者」と「個人データ処理者」という用語を明確に区別していません。
一般的な「忘れられる権利」の展開は、EIT法によって最初に確立されました。これは、ESOがその管理下にある電子情報や、または電子文書を削除することを要求し、これは、行使されている特定の権利が上場廃止権であるか消去権であるかに応じて、裁判所命令またはデータ主体の要求に基づいて、もはや関係性がないとすることです。
政府は個人データ保護に関する法案を準備中で、著者の見解では、最新の草案に基づいて、GDPRの原則をさらに取り入れるようです。これは、インドネシアの規則と業界全体の標準との互換性を高める機会と見なすことができます。たとえば、個人データ管理者と個人データ処理者の違いが導入され、そして法案では違反の通知により敏速な時間枠が必要となります(規則20号で規定されている14日間と比較して3日間です)。しかし、法案がいつ成立するかは明記されていません。
近い焦点
いくつかのデジタルプラットフォーム企業に対する最近のサイバー攻撃を考慮すると、データの悪用が犯罪者にとって非常に魅力的であることは明らかです。そして、サイバー犯罪は必然的に増える傾向にあります。現在、データは企業の重要な資産と見なされているため、一連の予防措置を損なうことなく、政府と民間部門はサイバーセキュリティとデータ保護に関連する問題により注意を向けることが求められています。したがって、サイバー犯罪と闘い、効果的かつ効率的な個人データ保護を確立する必要性を認識することは、政府と企業部門の両方にとって重要な焦点となるでしょう。
ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F
Jl Jenderal Sudirman Kav 58
Jakarta 12190 Indonesia
連絡先: +62 21 250 5125
Eメール: info@abnrlaw.com
www.abnrlaw.com
