ウズベキスタンの個人情報保護法を弁護士が解説
中央アジアの要衝に位置するウズベキスタン共和国(以下、ウズベキスタン)は、近年、急速な経済開放政策とデジタルトランスフォーメーション(DX)を推進しており、日本企業にとっても新たな市場として、あるいはIT人材の供給源として、その重要性は日々高まりを見せています。しかし、このフロンティア市場への参入を検討する日本企業が直面する最大の法的障壁の一つが、急速に整備・強化されつつある「個人データ保護法制」です。
特に、2021年の法改正により導入された第27条の1に基づく「データローカライゼーション(データの現地化)」義務は、グローバルに展開するクラウドサービスや越境ECを前提とした現代のビジネスモデルに対し、物理的なサーバー設置という重い制約を課すものです。この規制は、単なる努力義務ではなく、違反した場合には行政罰、刑事罰、さらにはFacebookやTwitter(現X)などの主要プラットフォームさえも遮断対象とする強力な執行力を伴っています。
本記事では、日本の個人情報保護法(APPI)や欧州のGDPR(一般データ保護規則)とは異なる独自の法理と執行実態を持つウズベキスタンの個人データ法(ZRU-547号)について、その制定背景から具体的な条文解釈、現地当局の運用実態、そして日本企業が構築すべきコンプライアンス体制に至るまで、法的な観点から詳細かつ網羅的に解説を行います。ビジネスの持続可能性を確保し、予見可能なリスク管理を行うために、経営者および法務担当者の皆様に必読の内容となっています。
この記事の目次
ウズベキスタン個人データ保護法制の法的枠組みと沿革
法制定の背景と憲法上の根拠
ウズベキスタンにおける個人情報保護の法的基盤は、同国憲法にその源流を持っています。憲法第13条は「人間、その生命、自由、名誉、尊厳、およびその他の不可譲の権利が最高の価値である」と宣言し、第27条において「何人も私生活への干渉、通信および電話の秘密に対する保護を受ける権利を有する」と規定しています。
長らく、これらの憲法上の権利を具体化する包括的な法律は不在でしたが、デジタル経済の発展と国際的なデータ流通の拡大に伴い、2019年7月2日、初の包括的法典である「個人データ法(O‘zbekiston Respublikasining “Shaxsga doir ma’lumotlar to‘g‘risida”gi Qonuni, No. ZRU-547)」が制定され、同年10月1日より施行されました。この法律は、EUのGDPRなどの国際基準を参照しつつも、国家安全保障やデータ主権の確保という国家戦略を色濃く反映した内容となっています。
2021年改正による規制強化(ZRU-666号)
2019年の法制定当初、データローカライゼーションに関する規定は明確ではありませんでした。しかし、デジタル空間における国家主権の確立を目指す政府は、2021年1月14日に「一部の立法行為への変更と追加に関する法律(No. ZRU-666)」を成立させました。この改正により、個人データ法に第27条の1が追加され、「ウズベキスタン国民の個人データは、同国内の技術的手段を用いて処理されなければならない」という義務が明文化されました。
この改正は2021年4月16日に発効し、以後、外国企業を含むすべての事業者に対し、実質的な「サーバー国内設置義務」が課されることとなりました。この動きは、ロシアや中国、ベトナムなどで見られるデータ主権重視型の規制トレンドと軌を一にするものであり、自由なデータ流通を原則とする西側諸国の法制とは一線を画しています。
適用範囲と域外適用
本法第3条は、その適用範囲について、処理手段(自動化されているか、紙媒体などの非自動化手段か)を問わず、個人データの処理に関連して生じるすべての関係に適用されるとしています。
特筆すべきは、本法の規定が「ウズベキスタン共和国の領域内で行われる処理」に限定されず、実質的に「ウズベキスタン国民のデータを取り扱うすべての主体」に及ぶと解釈されている点です。法文上、明示的な域外適用条項は限定的ですが、第27条の1が「インターネットを含む情報技術を使用して処理する場合」と規定していることから、物理的に海外に拠点を置く日本企業であっても、ウズベキスタン国民向けにサービスを提供しデータを取得する以上、本法の規制対象となります。
ウズベキスタン個人データ法の主要な定義と当事者の役割
法コンプライアンスを検討する上で、本法が定める用語の定義を正確に理解することは不可欠です。日本の個人情報保護法とは異なる概念も含まれているため、注意が必要です。
「個人データ」の広範な定義
本法第4条において、「個人データ」とは、「特定の個人に関連する、または特定を可能にする、電子媒体、紙媒体、および(または)その他の有形媒体に記録された情報」と定義されています。日本の「個人情報」と同様に、氏名、生年月日、住所などが該当しますが、ウズベキスタンではさらに広範な解釈がなされる傾向にあります。
さらに、本法はより厳格な保護を要する「特別なカテゴリの個人データ(センシティブデータ)」を規定しています。これには、人種または社会的出身、政治的・宗教的・イデオロギー的信条、政党や労働組合への加盟状況、身体的または精神的健康に関するデータ、私生活(プライベートライフ)に関するデータ、犯罪歴が含まれます。また、「生体認証データ(バイオメトリクス)」や「遺伝子データ」についても、別途詳細な保護規定が設けられており、これらを処理する場合には、データ主体の書面による同意が必須となるなど、要件が加重されています。
「所有者」と「オペレーター」の区分
本法の特徴的な概念区分として、「所有者(Owner / Mulkdor)」と「オペレーター(Operator)」の二元論があります。
- 所有者(Owner):個人データのデータベースを所有し、その使用や処分を行う権利を有する主体。データの処理目的や手段を決定する権限を持つ点で、GDPRの「管理者(Controller)」に近い概念ですが、データベース自体の「所有権」に焦点が当てられています。
- オペレーター(Operator):個人データの処理(収集、保存、変更、送信など)を実際に実行する主体。GDPRの「処理者(Processor)」に近いですが、自ら目的を決定して処理を行う場合もオペレーターに含まれるため、実務上、多くの企業は「所有者」兼「オペレーター」として位置づけられます。
日本企業が現地法人を設立せず、日本から直接サービスを提供する場合、日本本社が「所有者」および「オペレーター」の地位を兼ねることになり、両方の責任を負うことになります。
ウズベキスタンのデータローカライゼーション規制の実務詳解
第27条の1の核心的義務
本件テーマにおいて最も重要かつ実務的負担が大きいのが、第27条の1に基づくデータローカライゼーション義務です。条文は、「所有者および(または)オペレーターは、情報技術(インターネットを含む)を使用してウズベキスタン共和国国民の個人データを処理する際、当該データの収集、体系化、および保管を、ウズベキスタン共和国の領土内に物理的に設置された技術的手段および、個人データ・データベース国家登録簿に適切に登録されたデータベースにおいて行うことを保証しなければならない」と規定しています。
この規定から導かれる実務上の要件として、以下の3点が挙げられます。第一に、規制対象は「ウズベキスタン共和国国民の個人データ」であり、現地で雇用するウズベク人スタッフの給与情報や、現地顧客の注文情報は確実に対象となります。第二に、「領土内に物理的に設置された技術的手段」という文言は、仮想的なクラウド上のリージョン指定だけでは不十分であり、物理的なサーバー筐体がウズベキスタンの国内に存在することを求めています。第三に、条文は明示的に「インターネットを含む」としており、Eコマース、SaaS、SNS、モバイルアプリなど、オンラインで完結するサービスであっても例外ではありません。
「一次保存」と「ミラーリング」の論点
データローカライゼーションには、一般的に「排他的ローカライゼーション(国内にのみ保存可能)」と「ミラーリング(国内にコピーがあれば国外移転も可能)」の二つのタイプが存在します。ウズベキスタンの法規制は、解釈の余地を含んでいますが、実務および当局の運用においては、「一次的な収集と保存は国内で行われるべきであり、その上で要件を満たせば国外への移転(コピー)も可能」という立場をとっています。
すなわち、日本企業が適法にデータを扱うためには、ウズベキスタン国内のユーザーが入力したデータをまず同国内のサーバーに保存(または即座に同期)し、国内サーバーで「収集・体系化・保管」の要件を満たす必要があります。その上で、第15条(越境移転)の要件(本人の同意など)を満たした上で、日本の本社サーバーへデータを転送・同期するというフローを構築しなければなりません。単に日本にサーバーがあり、ウズベキスタンからアクセスできるという状態では、第27条の1違反となります。
ウズベキスタンのデータベース国家登録制度と行政手続き
登録義務の概要とプロセス
第27条の1および関連規則(閣僚内閣決定第71号等)に基づき、個人データを処理するすべての所有者およびオペレーターは、自らが管理する「個人データ・データベース」を「個人データ・データベース国家登録簿(State Register of Personal Databases)」に登録する義務を負います。これは、日本の個人情報保護委員会への漏洩報告義務のような事後的なものではなく、事業開始要件としての事前登録(届出および審査)の性質を持ちます。
登録手続きは、専用の電子政府ポータル「pd.gov.uz」を通じて行われます。外国企業が直接登録を行う場合、現地の電子署名(E-IMZO)や納税者番号(PINFL/TIN)が必要となるケースが多く、技術的なハードルがあります。そのため、現地法人がある場合はその法人が、ない場合は現地の法的代理人を通じて行うことが一般的です。申請書には、所有者・オペレーターの名称、処理目的、データのカテゴリー、サーバーの物理的所在地などを記載し、当局(法務省傘下の個人化庁)による15日以内の審査を受けます。
登録免除の例外
一部のデータベースについては登録が免除されていますが、その範囲は極めて限定的です。具体的には、公的機関の自動化された情報システム(国家ステータスを持つもの)、労働法制に基づく従業員データの処理(ただし、紙媒体のみの場合などに限られる解釈もあり、電子的な人事管理システムの場合は登録が推奨されます)、一回限りの入館管理など、継続的な保存を伴わない場合などが挙げられます。ビジネス目的で顧客データベースを構築する場合、例外規定に該当する可能性は低く、原則として登録必須と考えるべきです。
ウズベキスタン個人データ法違反時の法的責任と執行実例
ウズベキスタンにおける法執行は、形式的な警告にとどまらず、実効的な制裁を伴う点で非常に厳格です。違反時の責任は主に行政責任と刑事責任に大別されます。
行政責任と刑事責任の比較
| 責任の種類 | 根拠法令 | 対象 | 制裁・罰則の内容 (2025年基準) |
| 行政責任 | 行政責任法典 第46条の2 | 一般市民 | 罰金:基礎算出額(BCV)の7倍 (約288万スム / 約3.4万円相当) |
| 役職員(法人代表等) | 罰金:基礎算出額(BCV)の50倍 (約2,060万スム / 約24万円相当) | ||
| 刑事責任 | 刑法 第141条の2 | 再犯者・重大な違反者 | 罰金:BCVの100倍〜150倍 (約4,120万〜6,180万スム / 約48万〜73万円相当) 特定の権利剥奪(最大3年) 矯正労働(最大2年) 自由の剥奪(拘禁)(最大3年) |
| サービス遮断 | 関連規則 | 事業者(プラットフォーム) | Webサイトやアプリへのアクセス遮断(ブロッキング) ※2021年のTwitter, TikTok遮断事例あり |
ソーシャルメディア遮断事件と没収規定
規制の厳格さを象徴する出来事が、2021年に発生した大規模なアクセス遮断です。2021年7月、通信規制当局はデータローカライゼーション義務違反を理由に、Twitter、TikTok、Skypeなどの主要プラットフォームへのアクセスを制限しました。その後、2022年8月にTwitter等の制限は解除されましたが、TikTokに関しては長期間にわたり制限が継続するなど、当局の判断次第でビジネスが停止するリスクがあります。
また、2025年に審議されているAI規制法案においては、違法なデータ処理を行った際に使用された設備の没収までもが規定に含まれる可能性があり、規制はさらに強化される傾向にあります。
ウズベキスタン法と日本の個人情報保護法(APPI)の比較分析
日本企業が理解しやすいよう、日本の個人情報保護法(APPI)とウズベキスタン法の主要な相違点を下表に整理します。
| 比較項目 | 日本:個人情報保護法 (APPI) | ウズベキスタン:個人データ法 (ZRU-547) |
| データの所在 (Localization) | 義務なし。 越境移転時の本人同意や体制整備が中心。 | 完全な国内保存義務あり(第27条の1)。 国民のデータは物理的に国内サーバーで処理・保管必須。 |
| 規制当局への登録 | 不要。 漏洩時等の報告義務はあるが、事業開始要件としての登録はない。 | 必須。 「個人データ・データベース国家登録簿」への事前登録と証明書取得が必要。 |
| 越境移転 | 原則、本人同意が必要。 EU等認定国や基準適合体制がある場合は同意不要。 | 可能だが制限あり。 国内保存要件(一次保存)を満たした上での移転(コピー)であること、かつ同意または十分性認定が必要。 |
| センシティブデータ | 要配慮個人情報として取得時に同意必須。 (人種、信条、病歴、犯罪歴など) | 特別カテゴリとして処理に書面同意必須。 生体情報(バイオメトリクス)にはさらに詳細な規定あり。 |
| 制裁・罰則 | 主に是正勧告・命令。 命令違反時に罰金(法人重科で最大1億円)。 | サイト遮断(ブロッキング)。 責任者個人への行政罰金および刑事罰(自由剥奪)。 設備の没収(2025年検討中)。 |
最大の相違点は、日本の法律が「データの流通(移転)」をコントロールすることに主眼を置いているのに対し、ウズベキスタンの法律は「データの保管場所(主権)」をコントロールすることに主眼を置いている点です。日本企業は「日本法を守っているから大丈夫(越境移転の同意を取っているから大丈夫)」という考えを捨て、物理的なインフラ対応を行う必要があります。
ウズベキスタン規制当局の変遷と最新動向
規制当局の移管
本法の執行体制には重要な変更がありました。当初、規制当局は「国家個人化センター(State Personalization Center:SPC)」でしたが、2023年1月1日より、行政改革の一環として法務省(Ministry of Justice)の管轄下にある「個人化庁(Personalization Agency)」へ権限が移管されました。これにより、法執行のプロセスがより司法的な手続きに厳格化されています。
2025年の重要アップデート:AI規制とApple Pay
2024年から2025年にかけて、ウズベキスタン政府はデジタル経済のさらなる発展を目指し、新たな法整備を進めています。第一に、AI規制法の導入です。2025年4月に下院で第一読会を通過した法案では、AIを使用して個人データを違法に処理した場合の罰則強化(設備の没収を含む)や、AI生成コンテンツの表示義務化が盛り込まれています。
第二に、データローカライゼーションの緩和検討です。Apple PayやGoogle Payなどの国際決済システムの導入を促進するため、第27条の1の厳格な運用が参入障壁となっていることが認識されており、政府内で法改正や運用緩和の議論が進められています。しかし、現時点において条文自体の削除や大幅な緩和は実現しておらず、公式には厳格なローカライゼーション義務が継続しています。将来的な緩和を期待しつつも、現行法に基づいた保守的なコンプライアンス対応をとることが、法的安定性の観点からは不可欠です。
まとめ
ウズベキスタン共和国の個人データ法は、急速なデジタル化と国家主権の確立という二つの要請の狭間で、非常に強力かつ厳格な規制として運用されています。特に第27条の1に基づくデータローカライゼーション義務は、日本企業の従来のITインフラやビジネスモデルに修正を迫る可能性が高いものです。
「知らなかった」では済まされない重いペナルティ(サービス遮断、刑事罰)が存在する以上、進出前のフィージビリティスタディの段階で、法務・ITの両面から綿密な対策を講じることが成功の鍵となります。
- 物理的保管義務:ウズベキスタン国民の個人データは、同国領域内に物理的に設置されたサーバーで処理・保管しなければならない。
- 登録制度:個人データを扱うデータベースは、事前に国家登録簿(pd.gov.uz)へ登録し、証明書を取得する必要がある。
- 厳格な制裁:違反時には高額な罰金に加え、Webサイトへのアクセス遮断や、責任者に対する刑事罰(自由剥奪刑を含む)が科される可能性がある。
モノリス法律事務所では、データベース登録手続きの代行、プライバシーポリシーのローカライズ、現地データセンター契約の法的レビュー、そして当局対応まで、貴社のウズベキスタン事業展開をワンストップでサポートいたします。
カテゴリー: IT・ベンチャーの企業法務
タグ: ウズベキスタン共和国海外事業
