個人情報保護・プライバシー 2025年の振り返りと2026年の展望 ～東南アジア・インド・オーストラリア編～

II. 2025年の振り返り 重要な法令・当局によるガイダンス

1. マレーシア～改正個人データ保護法の施行及び執行事例の公表～

(1) 改正個人データ保護法（PDPA）の段階的施行

　2024年10月に制定された改正個人データ保護法（本章において、以下「PDPA」）のうち、事業者にとって主要な規定が以下のとおり段階的に施行されました※1。これらの改正事項について多数のガイドライン及び通達も公表されています。

　主な改正項目のうち、企業に特に影響が大きいと思われるものはデータ保護責任者の選任義務化、個人データ違反通知の義務化、越境移転先国に着目した越境移転要件の変更です※3・4。特に、個人データ違反通知については、データ違反が重大な害悪を生じさせる場合又はその可能性が高い場合、データ管理者は実務上可及的速やかにかつ違反発生時から遅くとも72時間以内の当局宛通知を求められたため、マレーシアに子会社等を有する日本企業は、必要な社内体制を整備する必要があります。

(2) 個人データ保護法に基づく執行事例の公表

　マレーシア個人データ保護当局（JPDP）は、2025年3月19日、PDPAに基づく執行事例のリストを公表しました。当該リストは2017年以降の事案を対象としており、違反金の賦課事例及び刑事訴追事例の双方が含まれています。このうち、最も多い執行事例は、特定の業種区分※5に該当するデータ管理者が個人データを処理する前に必要な登録証を取得せずに個人データを処理していた事例となっており、注目に値します。そのため、マレーシアで事業を展開する企業は、自社がデータ管理者の所定の業種区分に該当するか否かを確認し、該当する場合は、個人データの処理を行う前に登録証を取得することが実務上、特に重要です。

2. ベトナム～個人データ保護法への全面移行及び下位法令の施行～

　ベトナムでは、2025年6月に国会で可決・制定された個人データ保護法（以下「PDPL」）※6と、2025年12月31日に公布されたPDPLの下位法令である政令第356/2025/NĐ-CP号（以下「政令356号」）※7が、いずれも2026年1月1日に施行されました。これに伴い、同日付で、2023年に施行された政令第13/2023/NĐ-CP号（以下「政令13号」）は失効し、ベトナムの個人データ保護法制は、PDPLに全面移行しました。ベトナム人の個人データを1件でも扱っていれば基本的にはPDPLの適用対象となるため、ベトナム子会社、ベトナム企業との取引、ベトナム人の顧客等を有する企業は、PDPL対応について検討する必要があります。

(1) データ保護担当者の選任義務等

　PDPLでは、一定の免除事由に該当する場合を除き、全ての事業者についてデータ保護担当者（DPO）・担当部署の選任・設置又は外部委託をすることが義務づけられました。DPOには一定の学位や実務経験等の要件が課されているため、選任に際しては政令356号で定められた要件に注意を払う必要があります。

(2) データ主体の権利行使対応

　PDPLにおいては、政令13号で定められていた、データ主体による権利行使（同意撤回や処理制限等の要求）があった場合に原則として72時間以内に対応しなければならないとする規定が見直され、実際の対応を行うまでの猶予日数は緩和されました。他方で、初期的な返答は原則2営業日以内とされたことから、短期間で応答できる体制の整備が必要になると考えられます。

(3) 違反（漏えい等）の通知並びに記録及び保存

　PDPLにおいては、個人データ保護規定への違反（典型的には、個人データの漏えい等）に関する重大事案の当局宛通知は、「違反を検知してから72時間以内」という形で通知期限の起算点が明確化され、政令356号において通知の記載項目が定められたほか、位置データ及び生体認証データに関しては、影響を受けたデータ主体に対しても通知を行い、5年間の記録保存を行う義務も規定されました。

(4) データ処理影響評価と越境移転影響評価

　データ処理影響評価（以下「DPIA」）及び越境移転影響評価（以下「CTIA」）は、影響評価書類に変更があった場合の更新が原則6か月ごと（特定事由発生時は10日以内）とされました。政令13号下で当局に影響評価書類が受理されている企業については、PDPLの施行後（2026年以降）の最初に訪れる更新のタイミングで評価書の内容をPDPLに即したものに修正すれば足りると考えられます。PDPLでは、日本などベトナム国外でベトナム人の個人データを保管する行為についても越境移転に該当するため、ベトナム子会社が日本親会社のサーバーに顧客データを保管する場合にも越境移転影響評価が必要となる可能性があり、日系企業にとっても注意が必要です。

　なお、2025年7月1日には、「コアデータ」や「重要データ」について、データの分類に応じて越境移転等の特別の要求事項を規定するデータ法が施行されていますが、この「コアデータ」や「重要データ」が個人データにも該当する場合には、PDPLに従って影響評価等を行うこととされました。

(5) 罰則

　政令13号の規定に違反した場合の罰則に関しては、包括的なものは未整備でしたが、PDPLにおいては、越境移転規制違反の場合に最大で当該組織の前年の年間売上高の5％、個人データの売買の場合に最大で違反収益の10倍などの、行政罰の金額の上限がPDPLに規定されました。これを踏まえて政令で定められることとなる具体的な行政罰の金額の計算方法については、政令356号においては規定されておらず、別途、計算方法に関する政令の公布を待つ必要があります。罰則の制定や今後の政令公布に伴い、執行リスクにも影響があると思われるため、今後も実務上の運用等について注視が必要です。

3. インド～デジタル個人情報保護法の段階的施行開始及び下位規則の公表～

(1) はじめに

　インド政府電子・情報技術省は、2025年11月13日に、2023年デジタル個人情報保護法（以下「DPDP法」）に基づきDigital Personal Data Protection Rules, 2025（以下「DPDP規則」）を制定するとともに、DPDP法及びDPDP規則（総称して以下「DPDP法令」）の施行時期を公表しました※8。DPDP法令は2025年11月13日、2026年11月13日、2027年5月13日の3段階に分けて施行され、そのうち事業者に関連する義務の施行時期は基本的に2027年5月13日です。

(2) DPDP法令の保護の対象となる情報

　DPDP法令は、デジタル個人データ、即ちデジタル形態の個人データを保護の対象とします。DPDP法令上、個人データの性質に応じた種類（要配慮個人データなど）は設けられておらず、全ての個人データに関して一律に同じ規制が課されています。

(3) 個人データ処理の根拠

　データ受託者（GDPRの管理者に相当）による個人データの処理の根拠は、データ主体の同意と、特定の正当な使用のいずれかです。データ主体の同意がデータ処理の基本的な根拠であり、特定の正当な使用を根拠とできるのは限定的と一般的にいわれています。そのため、データ受託者にとってはデータ主体の同意を得ること、そして同意を得るために必要な手続き、要件（通知方法や通知内容等）を遵守することが重要です。

(4) データ受託者の一般的義務

　DPDP法令上、データ受託者の一般的な義務として、DPDP法の遵守、データ処理者との契約締結、個人データの完全性、正確性及び一貫性確保、適切な技術的及び組織的措置、合理的な安全保護措置、個人データ侵害の場合の通知・報告、個人データの消去、データ受託者の連絡先情報の公表、苦情処理メカニズムの設置、児童・障がい者の個人データの処理に関する追加的義務といった義務が規定されています。

(5) 重要データ受託者

　インド中央政府は、処理される個人データの量や機微性等の要因に基づいて、特定のデータ受託者又は一定の種類のデータ受託者について重要データ受託者として指定することができます。現時点では重要データ受託者の指定はなされておらず、これに該当するか否かは今後の指定を待つ必要がありますが、重要データ受託者に該当すれば、データ保護オフィサーの選任、データ監査、保護影響評価等の追加的な義務を負います。

(6) データの越境移転

　インド中央政府は、特定の国（ブラックリスト国）又は地域へのデータ受託者による個人データの移転を制限することができる他、外国企業等への個人データの移転に関して一般命令又は特別命令で制限を課すことができます。また、個人データをインド国内のサーバーに保存しなければならないというデータローカライゼーションはDPDP法において定められていないものの、DPDP規則上、今後指定される重要データ受託者は、中央政府が指定した個人データ及びその流通に関連するトラフィック・データがインド国外に移転されないという制限の下で処理されることを確保するための措置を講じなければなりません。

(7) 最後に

　DPDP法令の内容として不明確な規制があり、解釈も当分定まりませんが、2027年5月13日の全面施行に向けて、政府や当局の動向に関する情報を収集するとともに、例えば、データ主体への通知方法及び通知事項の対応準備、最低限対応すべき安全保護措置の対応状況の確認と、現状で未対応の措置への対応策の策定、実施、個人データ侵害の場合の通知・報告のための社内体制の整備、個人データ等の消去・保存のためのシステム部門等の社内関連部署と連携した上での対応、データ主体からの権利行使にかかる社内体制の整備、これらのためにデータマッピングを実施するなどして、同法令の施行に向けた準備活動を実施すべきと考えられます。

4. インドネシア～データ保護責任者（DPO）に関する判決～

　2025年7月16日、インドネシア憲法裁判所は、インドネシア個人情報保護法（以下「PDP」）上のDPO選任義務の要件を明確化する判決※9を下しました。PDPの文言上は、データ管理者及びデータ処理者のDPO選任事由として以下の(1)～(3)が「かつ（and）」で列挙されていることから、全てを満たさない場合は選任義務が生じないと解釈する余地がありましたが、同判決は、PDPの文言にかかわらず、下記(1)～(3)のいずれかに該当すれば選任義務が生じると判示しました。

1. 個人データを公共サービスの利益のために処理する場合
2. 主要な事業活動が、個人データの大規模かつ定期的で体系的な監視を要する場合
3. 主要な事業活動が、特定の個人データ（健康情報、生体認証データ、個人の財産に関する情報等の本人に重大な影響を及ぼし得る情報）又は犯罪に関連する個人データの大規模な処理を含む場合

5. タイ～拘束的企業準則に係るガイドラインの制定・新たな制裁金事例の公表～

(1) 拘束的企業準則に係るガイドラインの制定

　タイでは、2025年9月29日、拘束的企業準則の審査・承認に係るガイドライン（以下「BCRガイドライン」）が制定されました。タイの個人情報保護法（本章において、以下「PDPA」）上、個人データの域外移転を適法に行う方法の一つとして、グループ内企業間等における域外移転では、当局の承認を受けた拘束的企業準則を遵守する方法があります。拘束的企業準則が認められるための一般的な要件は2024年3月に施行された域外移転に関する下位規則に定められていましたが、具体的な手続や承認の要件は定められていませんでした。BCRガイドラインでは、当局申請時の必要書類や拘束的企業準則に定めるべき具体的な内容が定められている他、GDPRやUK GDPRで認証を受けた拘束的企業準則を利用する場合の特別な手続も定められており、かかる認証済みの拘束的企業準則とガイドラインに定める要件を含んだ付則（Addendum）を提出する方式が認められています。BCRガイドラインの制定によって、グループ内企業間等における域外移転の方法として、今後、拘束的企業準則の利用が進むことが期待されます。

(2) 新たな制裁金事例の公表

　タイの個人情報保護委員会は、2025年8月1日に新たに直近の1年間のPDPA違反を理由とする5つの制裁金事例を公表しました※10。民間企業の事例では、民間病院の医療記録の廃棄の委託先からの漏えい、小売業者の顧客データの電話詐欺業者への漏えい、玩具販売の予約管理システムの委託先からの顧客データの漏えいが紹介されており、特定の事業者に最大で700万バーツ（約3,400万円）の制裁金が課されました。いずれの事例についても個人データの漏えいを発端としたものであり、安全管理措置の懈怠、データ保護責任者の未選任や漏えい報告の遅滞が認定されています。PDPAが施行されてから約3年が経過し、執行事例の公表も始まっていることを踏まえると、今後は、執行リスクも考慮した上でより実態を伴った形での社内の体制・システム整備と法令に従った運用が求められる段階に来ていると考えられます。

6. オーストラリア～プライバシー法の改正第1弾（Tranche 1）の段階的施行～

　オーストラリアでは、直近でプライバシー保護法制に関するアップデートの議論が進んでおり、その第一弾（Tranche 1）として、2024年12月10日に成立した連邦プライバシー法（Privacy Act 1988 (Cth)）の改正法※11が下記表のとおり段階的に施行されています。

　特に企業に影響が大きいと思われる項目として、プライバシーの深刻な侵害が生じた場合に、個人が法定不法行為として民事損害賠償請求できることになった点が挙げられます。

7. フィリピン～データ共有契約（DSA）の明確化に関するガイダンス～

　フィリピン個人情報保護法（以下「DPA」）の解釈上、第三者に個人データを共有する際に、「NPC通達2020-03号（データ共有契約に関する通達）に基づくデータ共有契約（以下「DSA」）が必要かどうかについて、従前、実務上の混乱が見られていました。2025年6月26日、フィリピン国家プライバシー委員会（以下「NPC」）は、勧告（以下「本勧告」）※13を発出し、当局の解釈を明確化しました。

　具体的には、本勧告において、個人データの共有はDPA上の「処理」に該当し、DPAが定める適法化根拠に依拠する（又はDPA4条の例外に該当する）必要があること、DSAの締結は強く推奨されるものの義務ではないことが明確になりました。これによって、DPAが定める個人データ処理の適法化根拠が存在する場合、又はDPA4条の例外に該当する場合には、DSAがなくてもデータ共有は適法であることが明確になりました。

8. ミャンマー～サイバーセキュリティ法の施行開始～

　ミャンマーでは、2025年1月1日にサイバーセキュリティ法が成立し、同年7月30日付で施行されました。同法には、以下を含む事項が規定されています。

• 重要情報インフラの安全使用確保：国防、国家安全保障、電子政府サービスシステム、金融、通信、保健、運輸、電気、エネルギー及び当局所定の他のインフラに関連する電子情報インフラが「重要情報インフラ」とされ、その安全使用確保に向けた規定が導入されました。
• サイバーセキュリティサービスとデジタルプラットフォームサービスに係る許認可制度：サイバー資源又は類似技術及び関連機器を使用するサービス（サイバーセキュリティサービス）の事業者、並びにサイバー資源又は類似技術及び関連機器を使用してオンライン上でユーザーによる情報使用等を可能とするサービス（デジタルプラットフォームサービス）の事業者でミャンマー国内に10万人以上のユーザーを有する者は、同法による許認可取得又は登録を義務づけられます。
• VPN提供者による国内サイバー空間でのVPN設置又はVPNサービス提供に係る許認可制度

　ミャンマーサイバーセキュリティ法は、施行後まだ日が浅く、現時点では、運用に係る具体的なガイダンスは未だ十分公表されていないため、今後の動向を注視していく必要があります。

9. カンボジア～初の包括的個人データ保護法制定に向けた動き～

　カンボジアでは、2025年７月、初の包括的な個人データ保護法の草案である個人データ保護法案が公表され、意見公募手続が実施されました。現時点において正式な成立時期は未定ですが、2026年中の成立が示唆されており、今後の動向が注目されます。

III. 2026年の展望

1. ベトナム～PDPLの執行の動向～

　ベトナムでは、2026年1月1日に施行されたPDPL及び政令356号の運用及び執行の動向を注視する必要があります。特に、今後、PDPLの罰則について具体的な金額の計算方法等を定めた政令が別途公布されることが予想されており、新たな制度の法執行リスクの程度を測る観点からも注目されます。

2. オーストラリア～第2次（Tranche 2）改正に向けた動向と第一次（Tranche 1）改正の施行開始～

　オーストラリアでは、上記II.6のとおり、2024年末に成立したプライバシー保護法制の改正第1弾（Tranche 1）の施行が進む一方で、さらなる抜本的な改正を含む改正第2弾（Tranche 2）の具体化が予想されます。第二弾（Tranche 2）で導入が予定される主な改正項目としては以下があります。

• 小規模事業者の適用除外の撤廃：現在、年間売上高300万豪ドル以下の事業者は原則としてプライバシー法の適用除外になっているところ、当該適用除外を段階的に廃止し、規制対象を大幅に拡大する。
• 個人データ処理等の原則的要件の追加：同意の有無にかかわらず、個人情報の収集・利用・開示自体が客観的に「公正かつ合理的」であることを求める新たな原則的要件を追加する。
• 従業員記録の例外規定の見直し：雇用主による従業員データの取扱いに対する免除措置を縮小する。