IT・ベンチャーの企業法務

ネパール連邦民主共和国のデータプライバシー法（個人情報保護法）

2025.04.01

2025.08.07

ネパールにおけるデータプライバシー保護は、2015年ネパール憲法第28条に「プライバシーの権利」として明記された基本的人権に深く根ざしています。この憲法規定は、個人の身体、住居、財産、文書、データ、通信、および人格に関するプライバシーの保護を試みるものです。

この憲法上の権利を具体化し、保護するために、2018年（ネパール暦2075年）に「個人情報保護法」（Individual Privacy Act, 2018 (2075)、「Privacy Act」）が制定され、ネパール初の個人情報保護に特化した法律として2018年9月18日に施行されました。Privacy Actは、個人情報の収集、保存、処理、利用、分析、および保護を規制することを意図しています。

Privacy Actの下位法令として、2020年に「個人情報保護規則」（Individual Privacy Regulation, 2020 (2077)、「Privacy Regulation」）が制定され、Privacy Actの施行を補完しています。この規則は、個人データの収集、記録、組織化、保存、適応または変更、抽出、参照、利用、送信による通信、普及またはその他の利用可能化、調整または相互接続、ならびにロック、暗号化、消去に関する条件を定めています。

これらの主要法令に加え、ネパールでは「国家刑法2017年（2074年）」（National Penal Code, 2017 (2074)、「Penal Code」）、2008年電子取引法（Electronic Transactions Act, 2008）、2019年広告法（Advertisement Act, 2019）、2020年広告規則（Advertisement Regulation, 2020）など、複数の法令がプライバシーおよびデータ保護に関連する規定を含んでいます。

なお、ネパールでは、西暦とは別にビクラム暦という独自の暦が使われています。ビクラム暦は紀元前57年を起年とし、西暦の4月半ばを新年とします。例えば、西暦2017年はビクラム暦では2073年または2074年です。「国家刑法2017年（2074年）」といった表記は、このビクラム暦によるものです。

本記事では、ネパールのデータプライバシー法（個人情報保護法）とその最新動向について詳しく解説します。また、ネパールの法律の全体像とその概要に関しては以下の記事で解説しています。

関連記事：ネパール連邦民主共和国の法律の全体像とその概要を弁護士が解説

この記事の目次

ネパールにおける個人情報保護の最新動向と今後の展望

ネパールはデジタル化の進展に伴い、データ保護法制の整備を継続的に進めています。2022年（ネパール暦2079年）に「データ法」（Data Act, 2079 (2022)）が施行され、データ収集、処理、保存、公開に関する包括的な規定を盛り込むことを目指していますが、プライバシー保護に関する包括的な規定はまだ不十分であると指摘されています。

特に注目すべきは、2023年ソーシャルネットワーク利用管理指令（Directives for Managing the Use of Social Networks, 2023）の制定と、それに続く2025年（ネパール暦2081年）ソーシャルメディア法案（Social Media Bill 2081 BS (2025 AD)）の提出です。これらの動きは、TikTokの禁止などの事態を背景に、ソーシャルメディアプラットフォームの登録義務化、コンテンツ規制、厳しい罰則導入を目指すものであり、データプライバシーにも大きな影響を与えます。

ネパールの法制度は、憲法にプライバシー権が明記されているものの、その具体的な保護は複数の法律や規則に分散しています。例えば、Privacy ActとPenal Codeは、類似のプライバシー侵害に対して異なる罰則を規定しており、管轄権の重複や不整合性が指摘されています。このような法制の断片化は、単に法律が多いというだけでなく、それぞれの法律が異なる目的や適用範囲を持つため、全体として一貫性のない規制環境を生み出しています。これにより、企業は一つの行為に対して複数の法律の適用を受ける可能性があり、それぞれの法律で異なる義務や罰則が課されることで、コンプライアンスが複雑化しています。特に、刑法とプライバシー法間の罰則の不整合性は、企業が違反した場合の法的リスク評価を困難にしています。これは、統一的なデータ保護法を持つ日本とは異なる状況であり、日本企業がネパールで事業を行う上での重要なリスク要因となります。

ネパールでは、Data Act 2079の導入やSocial Media Billの提案に見られるように、急速なデジタル変革に伴う新たなデータプライバシーやサイバーセキュリティの課題に対応しようと、法整備が積極的に進められています。このような法整備は、特定の課題（例：ソーシャルメディアの悪用）への反応として個別の法律や指令が導入される傾向があり、必ずしも体系的ではありません。このアプローチは、迅速な対応を可能にする一方で、法制全体の整合性を欠き、結果として前述の法制の断片化をさらに助長する可能性があります。

ネパールのデータプライバシー法の詳細と日本法との比較

個人情報・機微情報の定義

ネパール法と日本法は、個人情報の保護において共通の基盤を持ちながらも、その定義の範囲において重要な違いが存在します。

ネパールのPrivacy Act 2018は、保護対象となる「個人情報」（Personal Information）を具体的に列挙しています。これには、個人のカースト、民族性、出生、出身、宗教、肌の色、婚姻状況、学歴、住所、電話番号、メールアドレス、パスポート、市民権証明書、国民IDカード番号、運転免許証、有権者IDカード、公的機関発行のIDカードの詳細が含まれます。さらに、個人情報が記載された送受信された書簡、指紋、網膜、血液型などの生体認証情報、犯罪歴、そして専門家が意思決定プロセスで表明した意見や見解も個人情報として定義されています。Privacy Actにおける「個人」が自然人か法人かについては不明確であるとの指摘もありますが、定義内容から自然人を指すと考えられています。「機微情報」（Sensitive Information）については、Privacy Act 2018第27条(2)で明確に列挙されています。これには、カースト、民族性、出身、政治的所属、宗教的信条、身体的・精神的健康状態、性的指向または性生活に関する事項、そして財産に関する詳細が含まれます。

一方、日本のAPPIにおける「個人情報」は、生存する個人を識別できる情報（氏名、生年月日、住所、顔写真など）および個人識別符号（生体認証データ、公的ID番号など）を含むと定義されています。

「要配慮個人情報」（Sensitive Personal Information）は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害に関する情報、健康診断の結果などが含まれます。

以上のように、両国ともに、氏名、住所、連絡先、生体認証情報、犯罪歴など、基本的な個人識別情報を「個人情報」として保護しています。ネパール法の「個人情報」は、「個人情報が記載された送受信された書簡」や「専門家による意見」といった項目を明示的に含んでおり、日本のAPPIの一般的な定義よりも具体的な記載がある点が特徴です。

しかし、「機微情報／要配慮個人情報」の範囲には大きな違いがあります。ネパール法では「財産に関する詳細」が機微情報として明示的に含まれていますが、日本のAPPIでは「財産に関する詳細」は要配慮個人情報には該当しません。この違いは、日本企業がネパールで事業を行う上での実務上のコンプライアンスに直接的な影響を与えます。例えば、日本の金融機関や不動産会社がネパールに進出する際、顧客の資産情報（預金残高、不動産所有状況など）は日本では通常の個人情報として扱われることが多いですが、ネパールでは「機微情報」として、より厳格な同意取得や安全管理措置が求められることになります。これにより、データ収集のプロセス、保存方法、第三者への提供方法など、広範な業務プロセスにおいて追加的な法的義務とリスクが発生し、コンプライアンスコストが増加する可能性があります。

「データ管理者」「データ処理者」概念の有無と代替概念

ネパールのPrivacy Actおよびその関連法規は、GDPRのような「データ管理者（Data Controller）」や「データ処理者（Data Processor）」といった明確な概念を定義していません。この概念の欠如は、「違反が発生した場合の責任の所在を不明確にする」と指摘されています。

代わりに、Privacy Actは「法律に基づいて許可された公務員」（「Authorized Person」）または「その公務員によって許可された者」が個人情報を収集、保存、保護、分析、処理、公開することを許可しています。また、「公的機関（public body）」や「法人（body corporate）」がデータの収集・処理を行う主体として言及されています。

一方、日本のAPPIは、「個人情報取扱事業者」（Personal Information Handling Business Operator）という概念を明確に定義し、個人情報を取り扱うすべての事業者に適用されます。この「個人情報取扱事業者」は、個人情報の安全管理、委託先の監督、第三者提供の制限など、実質的にデータ管理者に類似した広範な義務を負います。また、委託先（データ処理者に相当）に対する監督義務も明確に定められています。

この比較から、日本のAPPIが「個人情報取扱事業者」という明確な責任主体を定め、委託先監督義務を通じてデータ処理チェーンにおける責任の所在を実質的に明確にしているのに対し、ネパール法は「データ管理者」「データ処理者」の概念を欠き、責任の割り当てに曖昧さが残ることがわかります。この曖昧さは、特に複数の企業が関与するデータ処理（例：クラウドサービス利用、業務委託）において、日本企業がネパールで事業を行う際の契約上のリスクを増大させ、インシデント発生時の責任分担を困難にする可能性があります。

データ処理の原則における同意の取得

個人情報の収集、利用、開示における本人の同意の取得は、両国のデータプライバシー法制において共通の重要な原則です。

ネパールでは、個人情報の収集は関係者の同意を得て許可されます。収集された個人情報は、データ主体の同意なしに開示された目的以外の目的に使用、頒布、または交換してはならないとされています。第三者への情報移転にも同意が必要です。また、未成年者や精神上の障害を持つ者のプライバシーに関する情報を使用する際には、その者の利益となる場合に限り、保護者または後見人の同意が義務付けられています。

一方、日本のAPPIでは、個人情報の収集、利用、開示には、原則として本人の明示的な同意が必要です。同意は、チェックボックスの選択や同意書への署名など、積極的な行動を通じて取得されるべきであり、自由に与えられ、特定され、情報に基づき、かつ曖昧であってはならないとされています。本人はいつでも同意を撤回する権利を有し、事業者はこの権利を尊重しなければなりません。特に、要配慮個人情報の取得や第三者提供には、原則として本人の事前の同意が必要です。

以上のように、両国ともに、個人情報の収集、利用、第三者提供において本人の同意を重要な法的根拠としています。しかし、日本のAPPIは、同意の「質」について、「明示的」「自由な」「特定の」「情報に基づいた」「曖昧でない」といった詳細な要件を定めており、国際的なベストプラクティスに沿っています。一方、ネパール法は同意の必要性を明記しているものの、その具体的な取得方法や質の要件に関する詳細な記述は、提供された情報からは確認できません。この詳細の欠如は、日本企業にとって潜在的なコンプライアンスリスクとなります。日本企業が自社の慣行に基づいて同意を取得した場合でも、ネパールの法解釈や将来の規制強化によって、その同意が不十分と判断される可能性があります。特に、ネパール法に明確な「データ管理者」の概念がないことと相まって、同意取得の不備が発覚した場合の責任追及が複雑になるリスクがあります。

データ処理の原則における利用目的の特定と目的外利用の制限

両国ともに、個人情報の利用目的を特定し、その目的の範囲内での利用を原則とする「目的特定（Purpose Specification）」および「目的外利用の制限」の原則を採用しています。

ネパール法では、個人情報は、開示された目的以外の目的で利用、拡散、交換してはならないと規定されています。情報収集時には、収集の目的を明確に開示する必要があります。さらに、特定の目的で収集・保存された個人情報は、その目的達成後30日以内に破棄されるべきであるという、具体的なデータ保持期間に関する義務が明記されています。

日本法（APPI）では、個人情報取扱事業者は、個人情報の利用目的をできる限り特定し、本人に通知または公表しなければなりません。特定された利用目的の範囲を超えて個人情報を取り扱う場合は、原則として本人の同意が必要です。

以上のように、両国ともに、利用目的の特定と目的外利用の制限という原則を共有していますが、ネパール法には、目的達成後の30日以内のデータ破棄義務が明記されている点が特徴的です。これは、日本企業がネパールでデータを扱う際に、データライフサイクルの管理において特に注意を払うべき点です。

データ処理の原則におけるデータ最小化の概念

データ最小化は、収集するデータがその目的にとって必要最小限であるべきという原則です。

ネパール法では、「開示された目的に必要なデータのみを収集すること」が求められています。また、「データの収集は、目的に関連し、必要な範囲に限定されるべきである」とされています。

APPIには「データ最小化」という明確な用語はありませんが、「利用目的の特定」や「適正取得」の原則を通じて、必要な範囲でのデータ収集・利用が求められるため、実質的にデータ最小化の考え方が含まれています。

以上のように、両国ともに、明示的か暗黙的かを問わず、データ収集がその目的にとって必要最小限であるべきという原則を共有しています。

データ主体のアクセス権・情報提供を受ける権利

ネパール法では、個人は電子媒体で利用可能なデータに関してプライバシーの権利を有し、関係者の同意なしにそのデータを使用または共有することはできません。個人は、収集された情報の主題および目的について通知を受ける権利、ならびに権限ある者が不正アクセス等に対する必要な措置を講じているかを確認する権利を有します。情報収集の時期、内容、性質、目的、方法、プロセスなどの情報にアクセスする権利も与えられています。

日本法（APPI）では、本人は、自己の保有個人データの開示を請求する権利を有します。事業者は、個人情報収集の目的を個人に通知する義務があります。

以上のように、両国ともに、データ主体が自身の情報にアクセスし、その利用状況について情報提供を受ける権利を認めています。

データ主体の訂正権

ネパール法では、個人は、公的機関の責任下にある個人情報が誤っている、または事実に即していない場合に、関連する証拠を提出して訂正を申請する権利を有します。公的機関は訂正の決定を通知しなければなりません。ただし、この訂正権は、個人がその情報に基づいて既に利益を得ている場合には行使できないという制限があります。また、この権利は、公的機関が管理する個人情報に限定されています。

日本法（APPI）では、本人は、自己の保有個人データの内容が事実でない場合に、訂正、追加または削除を請求する権利を有します。

以上のように、両国ともに訂正権を認めていますが、ネパール法では「公的機関の管理下にある情報に限定される」点と、「既に利益を得ている場合は行使できない」という制限がある点が日本法との重要な相違点です。

データ主体の消去権・異議申立権

ネパール法では、Privacy ActおよびRegulationは、データ主体の同意を得た上での処理制限に関する具体的な規定を設けていません。過去の2019年情報技術法案（Information Technology Bill 2019）は、「市民のデータアクセス権、訂正権、消去権、忘れられる権利をカバーしていない」と指摘されていました。しかし、2022年データ法（Data Act 2079）に関する情報では、「個人が自身のデータの削除を要求する権利を含む、いくつかの権利を付与している」と述べられています。

日本法（APPI）では、本人は、自己の保有個人データが目的外利用されている場合などに、その利用の停止または消去を請求する権利を有します。これは、実質的に「消去権」や「異議申立権」に類似する機能を持っています。

以上のように、日本法には利用停止・消去請求権が明確に存在します。ネパール法における消去権の扱いは、現時点で不明確さが残っていると言われています。法制が進化途上であるため、今後も新たな権利が導入されたり、既存の権利の範囲が変更されたりする可能性があり、継続的な法改正のモニタリングが不可欠であることを示唆しています。

越境データ移転

ネパールのPrivacy ActおよびRegulationは、一般的なデータ移転、特に国境を越えたデータ移転を規制する具体的な規定を設けていません。ただし、特定の個人データ（健康診断、財産、収入源、雇用、家族、生体認証、政治的所属、ビジネス取引の詳細など）は、同意なしに開示または移転することが禁止されています。

また、ネパールではデータローカライゼーションの動きが顕著です。2022年3月3日施行の国家放送規則第11次改正により、OTT（Over the Top）サービスプロバイダーは顧客データをネパール国内のサーバーに保存することが義務付けられました。さらに、改訂された2024年情報技術・サイバーセキュリティ法案（Draft Information Technology and Cyber Security Bill, 2024）には、政府、公共、金融、医療関連機関が保有する所定のデータのネパール国外への輸出を禁止する規定が含まれる予定です。1989年記録保護法改正法案も、国家的に重要な記録の国外輸出をさらに禁止する方向です。Privacy Actの域外適用性については沈黙しており、ネパールに物理的な拠点の無い外国企業に適用されるか不明確です。このような「規制されていない国境を越えたデータ移転」は、ネパールの政策ギャップとして指摘されています。

一方で、日本のAPPIは、越境データ移転に関して明確な枠組みを設けています。個人情報保護委員会（PPC）は、国外へのデータ移転に関するガイドラインを発行しています。APPIは、日本と同等以上のデータ保護水準を持つと認定された国・地域へのデータ移転を許可しています。現在、欧州連合（EU）および英国（UK）がこれに該当し、GDPRとの整合性が確保されています。これを「十分性認定（Whitelisted Jurisdictions）」と呼びます。十分性認定を受けていない国へのデータ移転には、データ保護に関する契約（データ保護協定）の締結が重要です。これは、移転元と移転先の双方がデータ保護義務を負う法的に拘束力のある契約であり、処理目的、データタイプ、セキュリティ対策、漏洩通知などが含まれます。これは、国際的な「標準契約条項（Standard Contractual Clauses）」に相当するアプローチです。また、特定の例外（Derogations）として、以下の場合にデータ移転が許可されます。

明示的な同意: データ主体の明確な事前の同意（情報に基づき、具体的かつ自由に与えられたもの）がある場合。
契約履行の必要性: データ主体との契約履行のために必要な場合。
公共の利益・法的要件: 公共の利益や法的請求のために必要な場合。

APPIは、日本国内の個人に商品やサービスを提供する外国事業者に対して、物理的な拠点がない場合でも適用される明確な域外適用性を持っています。このように、APPIは、十分性認定、データ保護協定、特定の例外といった多層的で明確な越境データ移転の枠組みを有し、域外適用性も明確です。これにより、企業は予測可能な形で越境データ移転を行うことができます。

データセキュリティ要件

データセキュリティは、個人情報保護の基盤となる要素であり、両国ともにその重要性を前提とした規定を置いています。

ネパールでは、公的機関は収集した個人情報を保護し、保存する義務を負い、不正なアクセス、使用、変更、開示、公開、または送信に対して適切な措置を講じなければならないとされています。国家刑法2017年第96条は、犯罪が発生したことを知った場合に、関係当局に情報を提供する法的義務を課しており、これは実質的にデータ漏洩通知義務の一部と解釈できます。また、提案中のソーシャルメディア法案2081 BS (2025 AD)では、ソーシャルメディアプラットフォームに対し、ユーザーの個人情報のプライバシーを保護し、公開されたり他の目的に使用されたりしないように必要なセキュリティ措置を講じることを義務付けています。

日本のAPPIは、個人情報取扱事業者に対し、個人データの漏洩、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じることを義務付けています。これには、組織的、人的、物理的、技術的な安全管理措置が含まれます。また、個人データの取扱いの全部または一部を委託する場合は、委託先に対しても必要かつ適切な監督を行わなければなりません。個人データの漏洩等が発生し、個人の権利利益を害するおそれがある場合には、個人情報保護委員会への報告および本人への通知が義務付けられています。

以上のように、両国ともに、個人情報の安全な管理と漏洩時の対応を求めています。しかし、日本のAPPIは、組織的、人的、物理的、技術的という具体的な分類に基づいた、より体系的な安全管理措置の枠組みを提供し、監督機関（PPC）と本人への漏洩通知を明確に義務付けています。ネパール法の要件はより一般的であり、特定の法律（刑法やソーシャルメディア法案）が漏洩通知やセキュリティに言及しているものの、全体として統一された詳細な枠組みはまだ発展途上であると言えます。

罰則と執行機関

法規制の実効性を担保する上で、違反に対する罰則とそれを執行する機関の存在は不可欠です。

ネパールでは、Privacy Actの違反は刑事犯罪とみなされます。違反者には、3年以下の懲役または3万ネパールルピー（約300米ドル）以下の罰金、またはその両方が科される可能性があります。より新しいData Act 2079では、2万から10万ネパールルピーの罰金、不正なデータ収集や監査妨害などの重大な違反には最大2年の懲役が規定されています。ソーシャルネットワーク利用管理指令の違反は、電子取引法2008に基づき、最大5万ネパールルピーの罰金、6ヶ月以下の懲役、またはその両方となる場合があります。さらに、提案中のソーシャルメディア法案2081 BSでは、プラットフォームの登録義務違反に対して最大250万ネパールルピーの罰金、コンテンツ削除指示不履行に対して50万から150万ネパールルピーの罰金、損害賠償義務が規定されています。個人ユーザーに対しても、偽アカウント作成、誤情報拡散、サイバーいじめ、ハッキング、フィッシング、ディープフェイク、セクストーションなどの違反に対して重い罰金や複数年の懲役が科され、公務員の場合は罰則が50%加重され、未成年者に関する犯罪には追加の懲役刑が課されます。

ネパールには、データ保護を専門とする特定のデータ保護機関は指定されていません。苦情は関係する地方裁判所に提出されるか、関連する警察署に第一情報報告書（FIR）が提出されることで、捜査・執行が行われます。Privacy Actと刑法の間で管轄権が重複し、異なる罰則が規定されていることが混乱を招く原因となっています。

日本のAPPIは、個人情報保護委員会（PPC）を独立した監督機関として位置づけており、PPCは指導、助言、勧告、命令、立入検査など、多様な執行権限を有しています。

APPI違反に対する罰則は、個人に対しては1年以下の懲役または100万円以下の罰金、法人に対しては1億円以下の罰金が科される可能性があります。命令違反や虚偽報告、不正な個人情報データベースの利用などに対しても具体的な罰則が定められています。また、刑事罰だけでなく、個人情報漏洩が発生した場合には、企業に多額の損害賠償責任が発生する可能性も指摘されています（例えば、2万2千件以上の個人情報漏洩で3億円以上の損害賠償金）。

以上のように、両国ともに、法令違反に対して懲役刑と罰金刑を課していますが、その金額や執行体制には大きな違いがあります。日本は、個人情報保護委員会（PPC）という一元的な独立した執行機関が存在し、明確な権限と罰則体系を持っています。これにより、企業は法的リスクをより予測しやすい環境にあります。一方、ネパールには単一のデータ保護機関がなく、執行はさまざまな裁判所や警察を通じて分散して行われます。ネパールの罰則は、法律によって大きく異なり、金額も日本の罰金に比べて一般的に低い傾向にありますが、ソーシャルメディア法案ではプラットフォームに対する高額な罰金が提案されています。ネパールでは、刑法とプライバシー法の間で管轄権が重複し、罰則に矛盾があるというリスクが高い状況です。

日本企業がネパールで事業を行う上での留意点と推奨事項

ネパールのデータプライバシー法制は発展途上にあり、日本のAPPIと比較して異なる特性を有しています。日本企業がネパールで事業を展開するにあたり、以下の点に留意し、適切なコンプライアンス戦略を構築することが推奨されます。

法制の断片化と継続的な監視の必要性

ネパールのデータプライバシー法制は、憲法上の権利を基盤としつつも、Privacy Act、Data Act、Penal Code、そして現在審議中のSocial Media Billなど、複数の法令や指令によって構成されており、全体として断片化された状況にあります。これらの法律間には、管轄権の重複や罰則の不整合性が指摘されており、企業が単一の行為に対して複数の異なる法的義務や罰則に直面する可能性があります。このような法制の断片化は、コンプライアンスの複雑性を増し、法的リスクの予測を困難にします。

ネパールの法制度は、デジタル技術の急速な進化と社会の変化に対応しようと、常に動的に変化しています。特定の課題（例：ソーシャルメディアの悪用）への反応として、個別の法律や指令が迅速に導入される傾向が見られます。このため、日本企業は、既存の法律だけでなく、常に新たな立法動向、特に現在審議中の法案や今後の指令、規則の制定状況を継続的に監視し、将来的な規制変更に備える必要があります。古い情報や未成立の法案に惑わされることなく、常に最新の施行済み法律に焦点を当てることが不可欠です。

機微情報の範囲拡大への対応

ネパール法における「機微情報」の定義は、日本のAPPIの「要配慮個人情報」と比較して、「財産に関する詳細」が明示的に含まれるという重要な違いがあります。これは、金融、不動産、Eコマースなど、顧客の資産情報を扱う日本企業にとって、ネパールでのデータ取扱いに際して特に注意が必要な点です。

日本企業は、ネパールで収集・処理するデータの分類を再確認し、顧客の預金残高、不動産所有状況、収入源などの「財産に関する詳細」を機微情報として認識する必要があります。これにより、これらのデータに対して、より厳格な同意取得（後述）や、日本の要配慮個人情報に適用されるレベル以上の安全管理措置を講じる必要が生じます。データ収集のプロセス、保存方法、第三者への提供方法など、広範な業務プロセスにおいて追加的な法的義務とリスクが発生し、コンプライアンスコストが増加する可能性があります。

同意取得プロセスの厳格化

ネパール法は個人情報の収集、処理、第三者提供に「同意」を求めていますが、その同意がどのような形式や内容であるべきかについての詳細な要件は、日本のAPPIほど明確ではありません。日本のAPPIは、「明示的」「自由な」「特定の」「情報に基づいた」「曖昧でない」同意という、国際的なベストプラクティスに沿った厳格な要件を明確にしています。

この「同意の質」に関する詳細な要件の欠如は、日本企業にとって潜在的なコンプライアンスリスクとなります。日本企業が自社の慣行に基づいて同意を取得した場合でも、ネパールの法解釈や将来の規制強化によって、その同意が不十分と判断される可能性があります。したがって、日本企業はネパールでの事業において、日本のAPPIが求める同意の基準を上回る、または少なくとも同等の厳格な同意取得プロセスを適用することが賢明です。具体的には、同意の対象となるデータ、利用目的、データ移転の可能性、データ主体が持つ権利などを明確に説明し、積極的な行動を通じて同意を得るように努めるべきです。

越境データ移転戦略の策定

ネパールのPrivacy Actは、一般的な越境データ移転に関する具体的な規定がほとんどなく、基本的には個人の同意に依存しています。しかし、その一方で、OTTサービスプロバイダーに対する国内サーバーへのデータ保存義務化や、将来的に政府、公共、金融、医療関連機関が保有する特定のデータの国外輸出を禁止する法案の動きなど、データローカライゼーションを志向する強い傾向が見られます。

これは、自由なデータフローと適切な保護のバランスを重視する日本のAPPIのアプローチとは対照的です。日本企業は、ネパールで扱うデータの種類と性質を詳細に分析し、特定のデータが国内保存義務の対象となる可能性を評価する必要があります。一般的なデータ移転については個人の同意を確実に取得するとともに、将来的なデータローカライゼーション規制の導入に備え、データフローの再構築や現地でのデータ保存オプションを検討するなど、柔軟な越境データ移転戦略を策定することが求められます。ネパール法の域外適用性が不明確であることも、外国企業にとっての不確実性を高めるため、慎重な対応が必要です。

データ管理者・処理者概念の欠如への対応

ネパールのPrivacy Actは、日本のAPPIにおける「個人情報取扱事業者」のような明確な「データ管理者」や「データ処理者」の概念を定義していません。代わりに、「法律に基づいて許可された公務員」や「公的機関」「法人」といった主体がデータ取扱者として言及されています。この概念の欠如は、特に複数の企業が関与するデータ処理（例：クラウドサービスの利用、業務委託）において、責任の所在を不明確にし、インシデント発生時の責任分担を複雑にする可能性があります。

日本企業は、ネパールでの現地のパートナー企業や委託先との契約において、データ保護に関する役割と責任を明確に定義することが不可欠です。契約書に、データの収集、処理、保存、セキュリティ、漏洩時の対応、データ主体の権利行使への協力などに関する具体的な義務と責任分担を盛り込むことで、法的な曖昧さを補完し、リスクを軽減することができます。

インシデント対応計画の策定

ネパールでは、国家刑法が犯罪情報の報告義務を課しており、ソーシャルメディア関連法案もセキュリティ措置や損害賠償義務を規定していますが、日本のAPPIのような統一された明確なデータ漏洩通知義務の枠組みはまだ確立されていません。また、特定のデータ保護機関が存在せず、苦情や捜査が地方裁判所や警察を通じて分散して行われるため、インシデント発生時の対応経路が複雑になる可能性があります。

日本企業は、ネパールにおけるデータ漏洩やプライバシー侵害に備え、堅牢なインシデント対応計画を策定する必要があります。この計画には、漏洩の検知、影響評価、関係当局（警察、裁判所など）への報告、影響を受ける個人への通知（法的義務がない場合でも、企業の社会的責任として考慮）、および再発防止策の実施に関する手順を明確に含めるべきです。ネパールの法執行機関との連携方法についても事前に確認しておくことが望ましいでしょう。

まとめ

ネパールのデータプライバシー法制は、憲法上のプライバシー権を基盤とし、Individual Privacy Act 2018を中心に発展途上にあります。Data Act 2079やSocial Media Bill 2081 BSといった新たな立法動向は、デジタル化の進展に対応しようとするネパールの意欲を示していますが、その法制度は依然として断片化されており、管轄権の重複や罰則の不整合性といった課題を抱えています。

一方、日本の個人情報保護法（APPI）は、度重なる改正を経て、個人情報の定義、データ処理原則、データ主体の権利、安全管理措置、越境データ移転ルール、罰則、そして独立した監督機関である個人情報保護委員会（PPC）の存在において、より成熟した包括的な枠組みを確立しています。

両国の法制度を比較すると、ネパール法における「財産に関する詳細」が機微情報に含まれる点、明確な「データ管理者」「データ処理者」の概念が欠如している点、同意取得の要件が日本のAPPIほど詳細でない点、そして越境データ移転に関する一般的な規定の曖昧さは、日本企業にとって実務上のコンプライアンスリスクを増大させる要因となります。

関連取扱分野：国際法務・海外事業