IT・ベンチャーの企業法務

アルメニアの個人データ保護法を弁護士が解説

2025.07.27

2025.11.21

アルメニア共和国（以下、アルメニア）は、2015年に「個人データ保護法（Law on Protection of Personal Data）」を施行し、欧州のGDPRと類似した厳格なデータ保護原則を採用しています。これは、アルメニアが欧州評議会のデータ保護条約（Convention 108+）に加盟していることによるもので、監督機関である個人データ保護庁（PDPA）が強力な執行権限を持ちます。

アルメニア法は、適法性、目的の限定、安全管理といった普遍的な原則を採用していますが、日本の個人情報保護法（APPI）との間で、特に日本企業の経営と法務に直接影響を与える決定的な差異が存在します。

最も重要な点は、「国境を越えたデータ移転」規制です。アルメニアは日本を「十分な保護レベル」を有する国として認めていません。このため、アルメニア子会社から日本の親会社へ従業員や顧客の個人データを移転する場合、データ主体の同意を得るか、GDPR下の標準契約条項（SCC）に類似した契約上の保護措置を講じた上で、事前にPDPAの承認を得るという、時間と手間のかかる行政プロセスが必須となります。

また、データ漏洩時の対応義務も厳格であり、電子システムからのデータ流出が確認された場合、企業には即座に公表し、PDPAと警察に報告する義務があります。この「即時公表」義務は、日本法と比較して実務上のリスクが非常に高く、現地でのコンプライアンス体制構築において最優先で考慮すべき事項です。アルメニアでのビジネス展開を成功させるためには、日本の基準ではなく、PDPAが要求する欧州型の厳格なコンプライアンスと、ローカルな手続き要件への適応が不可欠となります。

本記事では、このアルメニア個人データ保護法の具体的な原則、日本企業が直面する国際データ移転の実務的な課題、そして厳格なコンプライアンス要件について詳細に解説します。

この記事の目次

アルメニア個人データ保護法の骨子と国際的な位置づけ

法の根拠と監督機関（PDPA）の役割

アルメニアは、2015年6月13日に「個人データ保護法」（Law on Protection of Personal Data, 略号 HO-49-N）を施行し、国内のデータプライバシー保護を体系的に確立しました。この法制度の背景には、アルメニアが欧州評議会の個人データ保護条約（Convention 108およびConvention 108+）に加盟しているという国際的なコミットメントがあり、その結果、EUのGDPRと類似した多くの保護原則が法体系に取り入れられています。

本件法の監督機関は、個人データ保護庁（PDPA：Personal Data Protection Agency, 公式ウェブサイト：pdpa.am）です。PDPAは、法要件に違反した場合に行政制裁を適用する権限、違反している個人データ処理のブロッキング、停止、または終了を要求する権限、データの訂正、修正、破壊を要求する権限など、広範な執行権限を有しています。また、PDPAは個人データ処理者（事業者）の登録簿を維持管理しています。

個人データの定義に関して、アルメニア法では「自然人を直接的または間接的に識別することを可能にする、または可能にする可能性があるあらゆる情報」として広範に定義されています。この定義自体は、日本のAPPIやGDPRにおける個人データ（個人情報）の概念と基本的に一致しており、データ範囲の特定において日本企業が慣れている基準と大きな差異が生じることはないでしょう。しかし、アルメニア法では、データ処理の適法な根拠、特にデータ主体の「告知された同意」の確保に対してGDPRと同様の厳格性を求めており、日本の企業が慣行的に行うデータ利用に際しては、GDPRレベルの明確な法的根拠付けが必要とされます。

データ処理の基本原則：日本のAPPIとの比較視点

アルメニア法は、適法性、公正性、透明性、目的の限定、データ最小化といった普遍的な原則を採用しています。個人データは、特定された、明示的かつ合法的な目的のために収集され、その目的と互換性のない方法でさらに処理されてはならないとされています。

また、本法では、データの品質に関する原則として「信頼性（Reliability）」が強調されています。この原則により、処理されるデータは、完全、正確、明確であり、必要に応じて最新の状態に保たれなければならないとされています。この要求は、データ処理者である企業に対し、データの正確性維持と最新化のための継続的な技術的・組織的義務を課すものであり、データガバナンスの徹底が求められます。

さらに、「最小限の関与（Minimum Engagement）」という原則も存在します。これは、国家および地方自治体の当局が電子システムを通じてデータ主体の個人データにアクセスできる場合、データ主体にそのデータを提供する行動を要求してはならないというものです。この規定から、アルメニア法が行政の効率化を図りつつ、データ主体に不必要な負担をかけないよう配慮する哲学を持っていることが伺えます。

データ処理の適法な根拠：同意の厳格性と機微情報

個人データの処理は、原則としてデータ主体が処理の目的、範囲、および期間を特定した「告知された同意」を与えた場合に適法となります。その他の適法な根拠としては、法令による直接的な規定がある場合や、公的にアクセス可能な情報源からデータが取得された場合などが挙げられます。

アルメニア法における同意取得の手続きは、日本のAPPIと比較して形式的な厳格さが際立っています。同意は、原則として書面または電子デジタル署名によって検証された電子形式で提供されなければなりません。口頭による同意も可能ですが、その場合はデータ主体の同意があったことを疑いなく証明できる、信頼性の高い手段によらなければなりません。

さらに、処理者はデータ主体から書面による同意を得る場合、データ処理の意図を事前に通知する義務を負います。この通知には、処理の法的根拠と目的、処理対象となるデータのリスト、実行される操作、データが移転される可能性のある人物の範囲、同意の有効期間、そして同意の撤回手続きと結果を含む、極めて詳細な事項を含める必要があります。この高度な告知義務は、APPIの要件よりもGDPRに近く、企業には詳細な透明性と厳格な記録管理体制が求められます。処理者には、データ主体から同意を得た事実を立証する責任（挙証責任）が課せられているため、コンプライアンスの文書化が重要です。

機密性の高い個人データ、例えば生体認証データや特別カテゴリーの個人データの処理には、法律で規定された例外がない限り、明示的な書面による同意と強化されたセキュリティ措置が要求されます。

日本企業にとって最も重要な課題：アルメニア国境を越えたデータ移転の実務

アルメニアの越境移転原則：「十分な保護レベル」の判断基準

アルメニアから日本への個人データ移転は、アルメニアでの事業展開を計画する日本企業にとって、最も複雑な法的課題となります。アルメニア法（個人データ保護法第24条）は、個人データの国外移転について、移転先国が「十分な保護レベル（adequate level of protection）」を確保している場合にのみ、PDPAの許可なしに適法となると定めています。PDPAは、国際合意を遵守している国や、PDPAが公式に公表したリストに含まれる国を適格国と見なします。

アルメニアは、欧州の標準に準拠しているため、すべてのEU加盟国およびEEA諸国を、十分な保護を確保している国として認めています。しかし、現時点において、日本はPDPAが公表する十分な保護レベルを有する国のリストには含まれていません。このため、アルメニア子会社から日本の親会社へ個人データ（例えば、従業員や顧客のデータ）を移転する場合、その移転は「十分な保護レベルを確保していない国」への移転として取り扱われます。

非適格国（日本）へのデータ移転のための法的根拠確保

日本が非適格国として扱われる現状において、アルメニアから日本へデータを適法に移転するためには、以下の代替的な法的根拠のいずれかを確保する必要があります。

データ主体の同意：データ主体が、データが十分な保護レベルを確保していない国へ移転されることについて、事前に告知された上で明示的な同意を与えること。
契約上の保護措置とPDPAの事前承認：データ移転が契約に基づいて行われる場合、その契約がPDPAによって承認された、十分な保護を確保するための保証措置を規定していること ²。

特に、契約上の保護措置を選択する場合、単に契約を締結するだけでは不十分であり、PDPAからの事前許可（Prior Authorization）を必要とします。PDPAは、移転の許可を与えるにあたり、移転契約書の内容だけでなく、受領国（日本）のデータ保護法制、契約上の保護措置の適切性、移転当事者が講じる技術的なセキュリティ対策、データ主体の権利保護措置の具体的内容など、包括的な基準に基づいて審査を行います。PDPAは申請の処理に約30日間の期間を要することが示されており、日本企業は、GDPR下のSCCに類似する契約を準備しても、PDPAによる行政的な審査と承認という手続きが必須となるため、データ移転の開始に時間とリソースを要します。

日本のAPPIにおける越境移転ルールとの構造的対比

日本のAPPIにおける越境データ移転規制は、OECDプライバシーガイドライン8原則に準拠しており、EUも日本に対して十分性認定を与えています。このため、日本からEU/EEA諸国への移転は、APPI上、受領者に対する義務付け措置を講じることで比較的スムーズに行うことができます。

しかし、アルメニア法はEU/EEA諸国を適格国とする一方で、日本を適格国としていません。この相互承認の非対称性により、アルメニアから日本への移転に関しては、日本のAPPIに準拠した社内規定やデータ移転契約だけでは不十分であり、アルメニア法がローカルに要求する保護措置を講じた上で、PDPAの事前承認を取得しなければなりません。これは、日本企業がアルメニアでのビジネスを本格化させる前の、初期コンプライアンス段階で必ず対処すべき重要事項です。

アルメニアにおけるコンプライアンスの実務：データ主体の権利行使と企業義務の比較

データ主体の権利と迅速な対応義務

アルメニア法は、データ主体が自身の個人データに関して、情報開示、訂正、ブロック、削除、同意撤回を要求する権利を強く保障しています。企業が対応において特に注意すべきは、その迅速性です。データ主体が自身の個人データに関する情報提供や閲覧機会を求める書面請求を行った場合、処理者は請求を受領してから5営業日以内に情報を提供するか、閲覧機会を与えなければなりません。日本のAPPIにおける対応期間と比較して、この5営業日という期限は非常にタイトであり、企業にはデータ検索および開示に関する迅速な対応体制の構築が必須です。

また、データ主体の同意撤回があった場合、処理者は同意撤回を受領した日から10営業日以内に当該個人データの処理を終了し、データを破壊する義務を負います。処理者は、データ破壊後、さらに3営業日以内にデータ主体にその破壊について通知しなければなりません。これらの迅速な対応期限は、データ処理者がデータライフサイクル全体を適切に管理し、データ主体からの要求に対し即座に反応できるシステムを持っていることを前提としています。

法令が求める安全管理措置

個人データ処理者は、不正アクセス、利用、開示、紛失、破壊を防ぐため、適切な技術的および組織的セキュリティ対策を講じる義務があります。具体的な技術的要件として、暗号化鍵とセキュアプロトコルを用いたデータ送信および保管、不正アクセス防止のためのアクセス制御システムの導入、処理活動中のデータ機密性の維持が特に強調されています。さらに、将来的にアルメニア政府がサイバーセキュリティの最低要件を設定し、ISO認証基準への準拠が求められる可能性も示唆されています。

コンプライアンス実務において、データ処理の適法性やデータの信頼性についてデータ主体またはPDPAによって異議が唱えられた場合、処理者は、管理活動が完了するまで当該個人データを直ちにブロック（処理を停止）しなければならないという義務も規定されています。

データ漏洩時の緊急対応：日本法との決定的な違い

アルメニア法におけるデータ漏洩時の対応義務は、日本の法務部員にとって特に大きなリスク要因となります。電子システムからの個人データの「流出（outflow）」が発生した場合、処理者には即座にその旨を公表する義務が課されています。同時に、アルメニア警察とPDPAにも直ちに報告しなければなりません。

日本のAPPIにおける漏洩報告義務は、重大事案（要配慮個人情報を含む、不正目的の漏洩、1,000人超など）の発生時に「速やかに」PPCへ報告することが求められますが、アルメニア法における「即時公表」義務は、事態の初期段階であっても公衆への情報開示を強制するため、企業は、事実確認が不十分な段階でのレピュテーション・リスクを負うことになります。この義務は、日本の法令が定める報告義務と比較しても、企業の実務上の判断を非常に困難にする極めて厳格な要件です。

さらに、違反が確認された場合、処理者は遅くとも3営業日以内に違反を是正するか、それが不可能な場合は個人データを破壊し、その措置についてデータ主体およびPDPAに通知しなければならないという、非常に迅速な是正措置も要求されます。

アルメニアのエンフォースメントと判例の動向

PDPAによる行政罰の現状と実効性

PDPAは、法要件違反に対し、是正命令、処理停止・禁止命令、および行政罰を課すことができます。アルメニア法における行政罰の最大額は500,000 AMD（アルメニア・ドラム）であり、これは概算で約1,300米ドルと、GDPRや日本のAPPIと比較して金額自体は低水準です。PDPAによる初の行政罰が科されたのは2023年と比較的新しく、執行の実績はまだ少ない状況です。

罰金額の低さから、コンプライアンスの軽視を招く可能性も考えられますが、PDPAが有する最大の権限は、罰金ではなく個人データ処理のブロッキング、停止、または禁止を命じる権限です。この行政処分は、データ処理を主幹とする企業の事業活動を根幹から停止させるものであり、実務上のリスクとしては罰金額の多寡よりも遥かに重大です。したがって、PDPAからのコンプライアンス監査や是正命令に対する備えが重要となります。

欧州人権裁判所の判例が示す個人情報保護の重要性

アルメニアは欧州人権条約（ECHR）の締約国であり、欧州人権裁判所（ECHR）の判例は、アルメニア国内の個人データ保護の解釈に強い影響を与えます。特に関連性の高い判例として、欧州人権裁判所が2025年11月13日に下した Manukyan v. Armenia 判決 (Application no. 5778/17) があります。この事件では、国家安全保障機関（NSS）による個人情報の収集および保管、そして威嚇を用いた協力強要が、法的な根拠を欠き、申請人の私生活への不当な干渉（欧州人権条約第8条違反）にあたると判断されました。

この判決は、アルメニアにおけるデータプライバシーの保護が、単なる国内法規制の遵守を超えて、国家機関による行動に対しても人権保護の観点から厳しく監視・評価されるべき基本的人権であることを示しています。日本企業がアルメニアの公的機関からのデータ要求に対応する際には、現地のデータ主体の基本権を侵害しないよう、法的正当性を特に慎重に確認することが求められます。

補足表：アルメニア、GDPR、日本APPIの主要データ保護原則・規制比較

日本の法務部員がアルメニア法の特殊性を迅速に理解できるように、主要な規制を比較します。

アルメニア、GDPR、日本APPIの主要データ保護原則・規制比較

項目	アルメニア個人データ保護法	EU GDPR	日本 APPI（概略）
越境移転：日本への対応	非適格国。PDPA承認の契約上の保護措置が必須。	認定済み。原則として追加措置不要。	—
越境移転：代替措置	PDPA承認の契約上の保護措置、または本人同意。	SCC、 BCR、または本人同意。	移転先での同等水準確保の措置、または本人同意。
漏洩報告（当局へ）	データ流出時は即時にPDPAと警察に報告。	原則72時間以内（DPA）。	原則としてPPCへの報告（重大事案の閾値あり）。
漏洩報告（本人へ）	違反是正・データ破壊は3営業日以内に本人通知。	高リスク時は遅延なく本人通知。	原則として本人通知（重大事案の閾値あり）。
最大行政罰金（法人）	50万 AMD（約1,300 USD）。	最大2000万ユーロ（または全世界売上高の4%）。	最大1億円（法人）。

まとめ

アルメニアの個人データ保護法は、欧州の標準に基づいた高度なデータ保護水準を確立しており、現地での事業展開を検討する日本企業は、日本国内のAPPIの基準だけでは不十分であることを認識する必要があります。

特に、アルメニアの法制が要求するコンプライアンス実務において、以下の3点が実務上の最重要課題となります。第一に、日本への個人データ移転は、PDPAによる事前承認手続きが必須であり、移転の適法性を確保するために時間を要する行政作業を伴います。第二に、データ主体からの権利行使に対する対応期限が非常に迅速（開示請求5営業日、データ破壊10営業日）であり、高度に整備されたデータ管理・対応体制が必要です。第三に、データ漏洩時の「即時公表」義務は、企業のレピュテーション管理と危機対応において極めて高いリスクをもたらします。

罰金の水準は低いものの、PDPAがデータ処理の停止や禁止を命じる権限は事業継続に決定的な影響を与えます。日本の企業がアルメニアで安全かつ適法に事業を運営するためには、これらのローカルな厳格な要件を深く理解し、PDPAの要求水準に合わせた体制を構築することが必須です。

モノリス法律事務所は、日本の個人情報保護法、GDPR、そしてアルメニア法を含む国際プライバシー法の構造を深く理解しており、お客様のアルメニアへのデータ移転戦略の策定、PDPAへの申請支援、および現地子会社のコンプライアンス体制構築をサポートいたします。