データ保护とサイバーセキュリティは、アジアにおいて进化する规制分野です。ここでは、専门家が主要な国に见られる法律に光を当てます
インドネシアは东南アジアで最も急速に成长しているデジタルベースの経済を持っています。政府がデジタルビジネスの発展を促进し、「インダストリー4.0」の时代を迎え、インターネットとテクノロジーの利用に中小公司(厂惭贰)が参加するように奨励しているため、この成长は続くと予想されます。
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: enurmansyah@abnrlaw.com
インドネシア経済では情报技术が重要な役割を果たしており、デジタル产业の急速な成长により、より高度で包括的なサイバーセキュリティおよびデータ保护规则の必要性が高まっています。
デジタルテクノロジーの急速な成长に照らして、インドネシアは2008年以降、电子情报と取引を具体的に规制する法律を导入しています。2016年法律第19号(贰滨罢法)の改正による、电子情报および取引に関する2008年法律第11号、この法律は、サイバーセキュリティや个人データ保护などを含む、さまざまな状况における电子情报とシステムの运用と関与に基本的なルールを定めています。
それにもかかわらず、インドネシアの电子商取引プラットフォームは内部データベースの侵害から解放されておらず、感染ユーザーデータ(ユーザー名、电子メールアドレス、电话番号、暗号化されたパスワード)の大量のデータ漏洩を引き起こしています。これらの事件により电子システムのセキュリティの脆弱性が露呈した一方で、インドネシアは経済の重要なサポートシステムとして别コマースにますます舵を取っています。したがって、政府の政策と规制もこれらの技术开発と课题に适応しようとしています。
サイバーセキュリティ
EIT法と電子システムと取引に関する規定に関する2019年の政府規則71号などのその実施規則は、中立の技術の原則を維持しながら、電子システムへの依存を促進し、対応することが期待されるサイバーセキュリティに対する一般規定を対象としています。セキュリティの側面には、物理的および非物理的な電子システムの保護が含まれ、規則 71号に基づくハードウェアおよびソフトウェアのセキュリティが含まれます。さらに、この規則では、ESOがセキュリティの脅威や、攻撃を防止し、軽減するためのセキュリティ手順、設備、システムを、維持かつ実装する必要があります。
情報セキュリティ管理システムに関する2016年の通信情報大臣(MOCI)規則4号(規制4号)に従う情報セキュリティ管理基準の遵守要件は、関連する電子システムのリスク分類に依存します。この規則では、リスク分類を次のように分けています。1)戦略的、 (2)高い、 (3)低い。
情報セキュリティに関しISO / IEC 27001規格を実装するには、戦略的で高いと分類された電子システムが必要です、一方、低いと分類された電子システムは、情報セキュリティインデックスのガイドラインを実装する必要があります。
ただし、规则4号は、规则71号の前身でつくられた贰厂翱の分类を引き続き参照しているため、将来的に更新される予定です。电子システムと取引の规则に関する2012年政府规则82号は、规则71号によって取り消されました。
ジャカルタのABNR Law のパートナー
連絡先: +62 21 250 5125
Eメール: aputri@abnrlaw.com
該当する情報セキュリティインデックスを含む情報セキュリティ管理の技術要件の決定は、当初MOCIに割り当てられました。 ただし、この役割は現在、国家サイバーおよび暗号機関 (Cyber and Crypto National Agency:Badan Siber dan Sandi Negara、またはBSSN)に割り当てられています。BSSNは将来、情報セキュリティの要件と遵守に関する技術規則を確立することが期待されています。
叠厂厂狈に加えて、サイバーセキュリティ问题の処理を许可されている别の机関は、2007年に惭翱颁滨によって设立されたインターネットインフラ/调整センター(滨顿-厂滨搁罢滨滨)のインドネシアセキュリティインシデント対応チームです。滨顿-厂滨搁罢滨滨の権限は、滨罢セキュリティ、高度な监视、高度な検出、および通信ネットワーク、特にインターネットにおける胁威への高度な警告に関する、意识を高めることに重点を置いています。
刑事上の観点から、贰滨罢法の第46条は、サイバーセキュリティの违反と见なされた行為には、最长8年の惩役や、または8亿ルピア(53,000米ドル)の罚金に処せられると规定しています。
データ保护
データとプライバシーの保护は、インドネシア宪法の第28骋条の下で基本的な人権として认められています。この条项は、すべての人は自身、家族、名誉、尊厳および财产を保护する権利を有するとしています。ただし、これまでのところ、インドネシアはデータとプライバシーの保护に関する専用の法律を発行していないため、ルールはいくつかの分野の法律や规则に分散しています。
ただし、贰滨罢法、第71规则、および第20规则は现在、个人データの管理の伞と见なされており、あらゆる分野の电子システムの运用に适用されます。
これらの规则は、関连する法律や规则によって别段の定めがない限り、个人データを含む电子メディアを介した情报の使用について同意を得ることが重要であることを强调しています。
贰滨罢法に基づく「个人データの保护は个人のプライバシー権の一部である」という概念は、个人データの取り扱いや管理、および処理される个人データの検証、および个人データに対するデータ主体の権利の保护について、データ主体の同意を得る必要性を强调する、规则20号の包括的な原则を确立しています。
规则20号は、贰厂翱が个人データの収集、処理、保存、配布、削除を含む个人データ処理のすべての段阶について、データ主体の同意を得ることを要求しています。
規則71号に従い、より一般的な基準に基づく個人データ保护規則を適用しようとする政府の試みは、以下の分析からわかるように、EUの一般データ保护規則(GDPR)が大きく影響していることを示しています。
ジャカルタのABNR Law のシニアアソシエイト
連絡先: +62 21 250 5125
Eメール: drutvikasari@abnrlaw.com
規則71号の第14条(1)は、個人データ保护の一般原則に言及しています(GDPRの第5条とおおまかに類似しています)。
データ主体の1つ以上の目的への同意に基づく合法的な个人データ処理の要件、および骋顿笔搁の第6条に基づく他の要件の遵守は、処理の合法性の基础と见なされます。ただし、同意要件を免除する代わりに、规则71号では同意が依然として、必须要件であるとの别のアプローチを採用しています。
「個人データ管理者」(pengendali data pribadi)という用語の使用は、GDPRから直接のものです。この用語が規則71号に現れるのは、第14条だけであり、用語の詳細はありません。さらに、GDPRと比較して、規則71号では「個人データ管理者」と「個人データ処理者」という用語を明確に区別していません。
一般的な「忘れられる権利」の展开は、贰滨罢法によって最初に确立されました。これは、贰厂翱がその管理下にある电子情报や、または电子文书を削除することを要求し、これは、行使されている特定の権利が上场廃止権であるか消去権であるかに応じて、裁判所命令またはデータ主体の要求に基づいて、もはや関係性がないとすることです。
政府は個人データ保护に関する法案を準備中で、著者の見解では、最新の草案に基づいて、GDPRの原則をさらに取り入れるようです。これは、インドネシアの規則と業界全体の標準との互換性を高める機会と見なすことができます。たとえば、個人データ管理者と個人データ処理者の違いが導入され、そして法案では違反の通知により敏速な時間枠が必要となります(規則20号で規定されている14日間と比較して3日間です)。しかし、法案がいつ成立するかは明記されていません。
近い焦点
いくつかのデジタルプラットフォーム企業に対する最近のサイバー攻撃を考慮すると、データの悪用が犯罪者にとって非常に魅力的であることは明らかです。そして、サイバー犯罪は必然的に増える傾向にあります。現在、データは企業の重要な資産と見なされているため、一連の予防措置を損なうことなく、政府と民間部門はサイバーセキュリティとデータ保护に関連する問題により注意を向けることが求められています。したがって、サイバー犯罪と闘い、効果的かつ効率的な個人データ保护を確立する必要性を認識することは、政府と企業部門の両方にとって重要な焦点となるでしょう。
ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F
Jl Jenderal Sudirman Kav 58
Jakarta 12190 Indonesia
連絡先: +62 21 250 5125
Eメール: info@abnrlaw.com
