個人データ保護法（インドネシア）

インドネシアの個人データ保護法（PDP Law）、正式には2022年法律第27号は、同国初の包括的なデータプライバシー規制であり、EUのGDPRから強い影響を受けています。データ管理者および処理者の義務、ならびにデータ主体の権利（アクセス権、訂正権、消去権など）を明確に定めています。企業のリスク管理において、PDP法は法務・コンプライアンス上の重要な統制点です。ISO/IEC 27701に準拠した管理体制の構築、データ保護影響評価（DPIA）の実施、データ保護責任者（DPO）の任命が求められます。台湾の個人情報保護法と比較して、罰則が年間売上高の最大2%と厳しく、越境データ移転に関する規定もより明確です。

PDP法を企業リスク管理に適用するには、体系的なアプローチが不可欠です。第1ステップは、第34条に基づき、データマッピングと高リスク活動に対するデータ保護影響評価（DPIA）を実施することです。第2ステップは、ISO/IEC 27701を参考にガバナンス体制を構築し、第53条に従いデータ保護責任者（DPO）を任命します。第3ステップは、72時間以内の通知義務を遵守するためのデータ侵害インシデント対応計画を策定・テストすることです。例えば、インドネシアで事業展開する台湾のフィンテック企業がこのプロセスを導入し、コンプライアンスギャップを80%削減し、初回監査で95%の合格率を達成しました。

台湾企業がPDP法を導入する際、主に3つの課題に直面します。第一に、法規制の理解と⾔語の壁です。法律はインドネシア語で書かれ、台湾の法律とは要件が異なります。第二に、第56条が定める越境データ移転の複雑さです。第三に、専門知識とリソースの不足です。対策として、まず法規制のギャップ分析を実施し、優先順位を決定します。データ移転には標準契約条項（SCC）を導入し、リソース不足にはリスクベースのアプローチを採用したり、「サービスとしてのDPO」のような外部委託を検討したりすることが有効です。これにより、効率的なコンプライアンス体制の構築が可能になります。

積穗科研は台湾企業のPDP Lawに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact