モンゴルの個人情報保護法を弁護士が解説
モンゴル国(以下、モンゴル)では急速なデジタル化と社会のオンライン化に伴い個人のプライバシーとデータセキュリティを保護するための強固な法的基盤の整備が進められてきました。その中核となるのが2021年12月17日にモンゴルの国民大会議(議会)で採択され2022年5月1日に施行された個人情報保護法(Law of Mongolia on Personal Data Protection)です。本法律は1995年に制定された旧来の個人秘密法(Law of Mongolia on Personal Secrecy)を廃止し国際的なデータ保護のトレンドに沿った包括的かつ現代的な規制をモンゴルに導入するものであり同時に施行されたサイバーセキュリティ法や電子署名法ならびに公共情報透明性法などとともにモンゴルのデジタルガバナンスの根幹を成しています。
モンゴルの個人情報保護法は日本の個人情報保護法と概念的な類似性を持ちつつも電子署名の個人キーを機微な個人データに含める点やデータ所有者の死後70年間にわたる保護規定が存在する点において独自の厳格さを持っています。またデータ収集時の明確な同意原則や生体認証データに対する国家と民間企業との権限の明確な分離に加えて2023年9月に導入された情報セキュリティ要件によるサーバーの国内設置義務などモンゴルでビジネスを展開する外資系企業にとって実務上極めて重要となるコンプライアンス要件が多数含まれています。
さらに近年の判例や国家人権委員会の報告書から読み取れるように法執行の現場ではプライバシー保護と表現の自由の境界を巡る先鋭的な議論や国家のデジタルシステムにおける説明責任の欠如といった課題も浮き彫りになっており進出企業には単なる条文の理解を超えた高度なリスクマネジメントが求められます。本記事では、モンゴルへのビジネス展開を検討している日本人の経営者や法務担当者に向けてモンゴルの個人情報保護法の詳細な規定と日本法との重要な相違点および実務上の対応策について網羅的かつ詳細に解説します。
この記事の目次
モンゴルにおけるデータ保護法制の歴史的背景と現行法の位置づけ
モンゴルにおけるプライバシー保護の歴史は1995年に制定された個人秘密法に遡りますがこの旧法はインターネットが普及する以前の社会環境を前提としていたため現代の高度なデータ駆動型社会におけるプライバシー保護には著しく不十分なものでした。特にモンゴル国政府が「E-Mongolia」と呼ばれる統合的な国家電子サービスプラットフォームの構築を推進し行政サービスのデジタル化を急速に進める中で国民の個人データが政府や民間企業によって大規模に収集および処理されるようになり旧法の規制の空白地帯が深刻な社会問題として認識されるようになりました。
このような背景から国連のプライバシー権に関する特別報告者などの国際的な人権機関からもモンゴルにおけるデータ保護法制の現代化と執行メカニズムの強化を求める勧告がなされていました。これに呼応する形でモンゴル国政府と議会はヨーロッパの一般データ保護規則(GDPR)などの国際的なベストプラクティスを参考にしつつモンゴル独自の社会的要請を組み込んだ新しい個人情報保護法を起草し2021年末の可決に至りました。
本法律は単独で機能するものではなく同時期に施行されたサイバーセキュリティ法や電子署名法と密接に連携して運用されるパラダイムを採用しています。これによりモンゴルは情報の透明性を確保しつつ個人のプライバシーをサイバー空間の脅威から保護するための多層的な法的防御網を構築したと言えます。モンゴルにおける個人データの保護は単なる情報管理の手続き論ではなく憲法によって保障された基本的人権の不可侵性をデジタル空間において具体化するための極めて高度な法的要請として位置づけられています。日本企業がモンゴルにおいて事業を展開する際にはこの「基本的人権としてのプライバシー」というモンゴルの立法精神を深く理解し日本国内の基準を単に横滑りさせるのではなく現地のコンプライアンス要請に適合した強固なガバナンス体制を構築する必要があります。
モンゴルにおける個人データおよび機微な個人データの定義
モンゴルの個人情報保護法は保護対象となるデータを主に「個人データ(Personal Data)」と「機微な個人データ(Sensitive Personal Data)」の二つのカテゴリーに明確に分類しています。この区分自体は日本の個人情報保護法における「個人情報」と「要配慮個人情報」の概念と非常に類似していますがその具体的な定義と範囲にはモンゴル特有のデジタル社会の発展を反映した重要な違いが存在します。
同法第4条第1項第11号に基づく「個人データ」には、個人の氏名や両親の氏名および生年月日や出生地に加え永住権の住所や位置情報ならびに市民登録番号や財産状況および学歴や所属団体の情報が含まれます。さらにオンライン識別子やその他直接的または間接的に自然人を特定できるあらゆる情報が個人データとして包括的に定義されています。日本の法律においても他の情報と容易に照合することができそれにより特定の個人を識別することができることとなる記述などは個人情報として扱われますがモンゴルでは財産や学歴といった特定の属性情報が明文で例示されている点が特徴です。
「機微な個人データ」は、個人のプライバシーの核心に関わる情報として特別に厳格な保護が求められるデータ群です。同法第4条第1項第12号においてこれには民族や人種および宗教や信条ならびに健康状態や通信内容および遺伝子データや生体認証データが含まれると規定されています。さらに犯罪歴や性的指向および性的関係に関するデータも機微な個人データとして扱われます。ここまでは日本の要配慮個人情報とほぼ同様の範囲ですがモンゴルの法律において極めて特徴的かつ実務上重要となるのが「電子署名の個人キー(秘密鍵)」が機微な個人データとして明記されている点です。
モンゴルでは行政サービスのデジタル化プラットフォームの普及に伴い国民の電子署名やデジタル認証が社会インフラとして急速に定着しています。そのため個人のデジタルアイデンティティを証明する電子署名の個人キーの漏洩が個人の財産や権利に対して致命的な損害を与えるリスクが高いと認識されておりこれを機微な個人データに格上げすることで強固な法的保護を与えているものと考えられます。日本の個人情報保護法制において認証のためのパスワードや暗号鍵などは適切に管理すべき個人データの一部または安全管理措置の対象として扱われますがそれ自体が直ちに「要配慮個人情報」に分類されるわけではありません。日本企業がモンゴルでフィンテックやEコマースなどのデジタルビジネスを展開しユーザーの電子署名や認証情報を扱う場合には機微な個人データとしての極めて厳格な取り扱いとセキュリティ対策が法的に義務付けられている点に最大限の注意を払う必要があります。
モンゴルにおけるデータ収集と処理における同意の原則
個人データおよび機微な個人データを収集および処理または利用する場合、モンゴルの法律は原則としてデータ所有者(Data Owner)からの事前の許可(同意)を義務付けています。この同意は自由に与えられたものでありかつ十分な情報に基づいたものでなければならず書面または電子形式で明確に記録される必要があります。データ所有者が未成年者や法的に能力を制限されている個人の場合はその法定代理人からの同意が不可欠です。
同意を取得するプロセスにおいてデータ管理者は単にウェブサイトのチェックボックスに同意させるだけでなくデータ所有者に対して事前に詳細な情報を提示し真の理解を得る法的な義務を負っています。同法第8条によればデータ管理者は同意を得るためにデータ収集と処理の明確な根拠と目的やデータ管理者の正式名称および連絡先に加えて収集および処理されるデータの具体的なリストを明示しなければなりません。さらにデータの処理および利用の期間や情報が一般に公開されるか否かの有無および第三者へのデータ移転の有無(移転先の名称や移転されるデータのリストを含む)ならびに同意を撤回するための具体的な方法と条件を提示した上で同意を得ることが求められます。
日本の個人情報保護法においても利用目的の特定や第三者提供時の同意取得は求められますがモンゴルの法律はデータの公開の有無や移転先の詳細なリストおよび処理期間までを同意取得時の必須要件として条文上で厳格に定めている点でより強力な透明性を企業に要求しています。したがって日本企業がモンゴルで事業展開する際に用いるプライバシーポリシーや同意取得のユーザーインターフェースは日本の定型的なテンプレートをそのまま翻訳するだけでは法令違反となる可能性が高くモンゴルの法律が要求するすべての明示事項を網羅した専用の法的ドキュメントを作成する必要があります。
モンゴルにおいて同意が免除される例外規定とビジネスへの適用
モンゴルの法律は厳格な同意原則を維持しつつも国家運営や民間企業の円滑な経済活動を確保するために同意が不要となる例外事項を明確に規定しています。この例外規定は国家機関と民間企業(法人およびその他の者)で適用される条件が分かれており民間企業が依拠できる法的根拠を正確に把握することが実務上重要です。
以下の表はモンゴルの個人情報保護法に基づく同意の例外事項を民間企業と国家機関の枠組みで比較整理したものです。
| 適用主体 | 同意なしで個人データを収集・処理できる主な例外条件 |
| 法人およびその他の者(民間企業等) | 法律によって明示的に許可されている場合 契約上の義務の実行および強制執行のために必要な場合 雇用関係においてデータ管理者が権利および義務を行使するために必要な場合 個人データが合法的に一般に公開されている場合 データ所有者の匿名性を完全に維持しつつ歴史的・科学的・芸術的・文学的作品を作成する場合 |
| 国家機関 | 法律によって明示的に許可されている場合 モンゴルが締約国である国際条約の義務を履行する場合 法的権限に基づく執行措置を行う場合(ただしデータ所有者の正当な利益や権利を不当に侵害しない範囲に限る) |
日本の個人情報保護法制では民間企業が同意なくデータを第三者提供する例外として「人の生命、身体又は財産の保護のために必要がある場合」や「公衆衛生の向上」などが広く規定されています。モンゴルの法律においても雇用関係の維持や契約履行というビジネス上不可欠な目的における例外が認められているため日本企業が現地の従業員データを労務管理の目的で処理する際や顧客との契約を履行する目的でデータを処理する際にはこの例外規定を法的根拠として活用することができます。
一方で機微な個人データについては原則としていかなる場合でも収集と処理が禁止されておりデータ所有者の明示的な許可がある場合を除き極めて限定的な例外しか認められていません。民間企業に適用され得る例外としては保健医療従事者が適用される法律に従って個人の健康と生命を保護するために職務を遂行する場合や市民や法人の請求に関する法律に基づき証拠や説明を提供する手続きの過程に限られます。したがって日本企業がモンゴルでヘルスケア事業やフィットネス事業などを展開しユーザーの健康データを扱う場合には機微な個人データの例外規定に頼るのではなく必ず明示的かつ厳格な同意を取得するプロセスを業務フローの初期段階に確実に組み込む必要があります。
モンゴルの遺伝子データおよび生体認証データの厳格な国家管理
機微な個人データの中でも遺伝子データと生体認証データ(バイオメトリクスデータ)の取り扱いはモンゴルの法律第10条において特別に厳格な規制が敷かれています。これらのデータは個人の身体的特徴に直接結びつく究極のプライバシー情報であるためその収集と利用の権限は原則として国家機関に独占されています。
具体的には指紋などの重複しない身体的生理学的データは市民登録や有権者登録を管理する目的で国家登録機関のみが収集できます。また国境警備機関は外国人の出入国管理の目的で生体認証データを収集し法執行機関や法医学機関は犯罪捜査や紛争解決の目的でこれらのデータを利用する権限を有しています。さらにモンゴルの議会(国民大会議)の議員の出欠確認や投票のためにも生体認証データの使用が法的に認められています。
民間企業に対する規制として注目すべき点は雇用主に対する特例です。雇用主は指紋以外の生体認証データ(例えば顔認証や虹彩認証など)に限り従業員の同意を得た上で勤怠管理や社内セキュリティのためのアクセス制御など内部労働手続きを円滑にする目的で使用することが許可されています。しかしこの目的で収集された生体認証データを他の目的で使用したり内容を改ざんしたり第三者に移転したりすることは法律で固く禁じられています。
日本においてもオフィス入退室時の顔認証システムや指紋認証システムの導入が広く進んでいますがモンゴルで同様のシステムを導入する際には指紋データの収集が国家の専権事項に抵触するリスクがあることや生体認証データの目的外利用が即座に法律違反となることを理解しシステムの仕様選定や従業員からの同意取得を慎重に行う必要があります。
モンゴルのデータ所有者死亡時における特殊な法的保護と存続期間
日本の個人情報保護法が「生存する個人に関する情報」のみを保護の対象とし死者のデータについては原則として法律の適用外としているのに対しモンゴルの個人情報保護法はデータ所有者が死亡した場合のデータの取り扱いについて独自の規定を設けています。
モンゴルの法律第13条によればデータ所有者が死亡したまたは死亡したと法的にみなされた場合その個人データの収集および処理または利用を行うには原則としてその後継者や家族または法定代理人からの書面による許可を取得しなければなりません。これはモンゴルの文化的背景や家族の結束を重んじる社会規範が反映された規定から個人情報の保護という概念を個人の死後も存続する家族の権利にまで拡張しているものということが言えるでしょう。
さらに機微な個人データに関する非常に特徴的な規定として同法第13条第2項はデータ所有者の死後70年が経過した場合には機微な個人データを収集および処理または利用するための許可を必要としないと定めています。この「死後70年間」という長期にわたる法的保護期間は日本の実務感覚からすると極めて異例の長さです。日本の企業がモンゴルで過去の顧客データや医療履歴などのアーカイブデータを利用して統計分析や人工知能(AI)の学習データを作成しようとする場合そのデータに死者の機微な情報が含まれているのであれば死後70年が経過していない限り遺族からの同意取得や厳密な匿名化措置が法的に求められるという強烈な制約を受けることになります。
ビジネス展開においてはデータのライフサイクル管理に「所有者の死後の扱い」という新たなパラメーターを追加し遺族の追跡が不可能なデータについては適法に破棄または完全に匿名化する運用ルールを構築することが求められます。公式な法令の条文についてはモンゴル政府の法務情報システム等で確認することができます。
モンゴルにおけるデータ管理者の義務と強固な情報セキュリティ要件
個人データを扱うデータ管理者およびその委託を受けたデータ処理者は情報を安全に管理し個人の権利侵害を防ぐための極めて重い責任を負っています。法律上データ管理者は個人データの収集や処理および利用活動の履歴を詳細に記録し保存する義務がありこれには個人データに発生した損害に対する対応記録も含まれます。
特に日本企業にとって最大のコンプライアンス上の課題となるのが同法第25条の権限に基づきモンゴルのデジタル開発・通信省が2023年9月11日に制定した「個人データの収集、処理、利用時における情報セキュリティ維持のための一般要件(Information Security Requirement)」という詳細な運用規則です。この規制によりデータ管理者は情報の安全性を維持するために単に内部規則を定めるだけでなく情報セキュリティを担当する専門の部署または担当者を配置することが義務付けられました。さらにライセンスされた正規のソフトウェアを使用し2年に1度の情報セキュリティ評価と毎年の情報セキュリティ監査を実施しなければなりません。データの変更や削除および復元に関するすべての履歴をログとして保存し監視する体制も不可欠です。
この2023年の要件の中で最も厳格かつビジネスへの影響が大きい規定はサーバーインフラストラクチャに関する要件です。この規則はデータ管理者の処理サーバーがモンゴルの領土内に設置されていなければならず国内からのみアクセス可能でなければならないと定めています。また専用のテクニカルルームに配置され国家のシステムである「KHUR」と情報を交換できる能力を持ちSSL証明書による保護と定期的なバックアップが義務付けられています。これは事実上の「データローカライゼーション(データの国内保存義務)」の要請であり日本のIT企業やEコマース事業者が自社の日本国内のクラウドサーバー(例えばAWSやAzureの東京リージョンなど)を用いてモンゴルの顧客データをそのまま一元処理するアーキテクチャは明確な法令違反となるリスクを孕んでいます。モンゴルへの事業進出に際しては現地のデータセンターを活用し独立したシステム環境を構築するコストとリソースを初期段階から事業計画に組み込むことが必須となります。
モンゴルにおけるデータ侵害時の即時通知義務と被害軽減措置
サイバー攻撃や内部不正によるデータ侵害(インシデント)が発生した場合の対応についてもモンゴルは極めて迅速かつ厳格な法的要請を行っています。データ収集者がデータ侵害を発見した場合は直ちにデータ管理者に通知しなければなりません。そしてその侵害がデータ所有者の権利や正当な利益に損害を与える可能性がある場合データ管理者はデータ所有者に対して「直ちに(immediately)」通知を提供する法的義務を負っています。
この通知には影響を受けるデータ所有者の特定やデータ管理者の名称と連絡先および侵害によって生じ得る潜在的な悪影響の詳細ならびに被害を軽減し排除するために講じられた対策のリストを含める必要があります。さらにデータ管理者は侵害の状況と対応措置を国家人権委員会や関連する国家機関に対しても即座に報告する義務があります。日本の個人情報保護法がデータ漏洩時の個人情報保護委員会への報告について速報(概ね3日から5日以内)と確報(30日または60日以内)という段階的な猶予期間を設けているのに対し、モンゴルの法律は猶予期間を明記せず即時対応を求めている点でより厳しい運用環境にあると言えます。日本企業はモンゴルでの事業活動においてインシデントレスポンス計画を現地の法律に合わせて最適化し有事の際には、モンゴルの当局に対して迅速なモンゴル語での報告体制を構築しておく必要があります。
モンゴルの越境データ移転に関する厳格な規制と実務上の障壁
モンゴルから海外へ個人データを移転する(越境データ移転)際の規制も日本や欧米の法域とは大きく異なります。モンゴルの法律第14条および第15条に基づき個人データをモンゴル国外の個人や法人および国際機関へ移転することは法律またはモンゴルが締結している国際条約に特段の定めがある場合を除きデータ所有者からの明示的な許可(同意)がない限り一切禁止されています。
日本の個人情報保護法では外国にある第三者への提供において個人情報保護委員会が同等の保護水準にあると認めた国(EUやイギリスなど)への移転やAPEC CBPRシステムに基づく移転あるいは相当措置を講じた契約の締結による移転といった「同意に代わる例外ルート」が広く整備されています。しかしモンゴルの法律には現在このような例外ルートや十分性認定制度を通じた包括的な移転免除規定が存在しません。
したがって、日本企業のモンゴル法人が日本本社や他国のグループ会社に顧客データや従業員データを共有するいわゆる「グループ内移転(intra-group transfer)」を行う場合であってもシステム上の自動転送を含めて越境移転に該当するためデータ所有者一人ひとりから個別に海外移転に関する明示的な同意を書面または電子形式で取得しなければならないという非常に重い実務負担が発生します。この制約はグローバルな人事管理システムやクラウド型の顧客管理システム(CRM)の導入において大きな障壁となるため現地法人と日本本社間のデータガバナンスのあり方を根本から再設計することが求められます。
モンゴル監督機関の役割と違反に対する罰則規定
モンゴルの個人情報保護法の遵守状況は国家人権委員会とデジタル開発・通信省の二つの主要な国家機関によって厳しく監視されています。デジタル開発・通信省は主に技術的な情報セキュリティ基準の策定やサイバーセキュリティ法との整合性の確保を担当し国家人権委員会は市民の基本的人権としてのプライバシー保護の観点から法執行の監視や市民からの苦情処理および法執行機関への勧告を担当しています。日本の個人情報保護法制において個人情報保護委員会が一元的に監督権限を有している体制とは異なりモンゴルでは技術的監督と人権保護の監督が二元化されている構造を理解することが現地の規制当局と円滑な関係を構築する上で不可欠です。
法律の規定に違反した場合企業および個人に対しては刑法(Criminal Code)や軽犯罪法(Offence Law / Minor Offences Law)に基づく制裁が科されます。データ管理者が人間の介入なしに電子形式で個人データを不当に処理し個人の自由や正当な権利を侵害する状況を作り出した場合法人に対しては500万トゥグルグ(MNT)の罰金が科されます。また刑事責任に問われないレベルの違法なデータの収集や処理および移転を行った法人に対しては2,000万トゥグルグの罰金が科されます。金額自体は日本円に換算すると数十万円から百万円程度と相対的に多額ではありませんが外資系企業に対するコンプライアンス違反の摘発はモンゴルにおける企業の社会的信用や事業ライセンスの維持に致命的なダメージを与えその後のビジネス展開を不可能にする恐れがあります。
モンゴルにおけるプライバシー権と表現の自由に関する判例動向
法律の条文だけでなく法執行の実態と裁判所の動向を把握することはモンゴルにおけるビジネスリスクを正確に評価するために不可欠です。国家人権委員会が2023年から2025年にかけて実施した「人権とテクノロジー」に関する全国規模の監視と検査の結果が「モンゴルにおける人権と自由の状況に関する第24次報告書」として議会に提出されています。この報告書ではモンゴルの行政デジタル化の象徴であるシステム「E-Mongolia」などにおいて民族や国籍などの機微な情報が十分に制御されずに転送されているリスクやデジタル車両証明書が市民の追跡を可能にしているプライバシー侵害のリスクが厳しく指摘されています。
また、国家機関やサービスプロバイダーにおいて個人データを不適切に取り扱った際の説明責任の欠如や責任追及メカニズムの不備も浮き彫りになっており、法律の条文と実際のシステム運用との間に大きなギャップが存在することが明らかになっています。日本企業がモンゴルの政府系システムとAPI連携などを行う場合には相手方システムのプライバシー保護水準の脆弱性が自社に波及するリスクを十分に評価する必要があります。
さらにモンゴルにおけるプライバシー権と表現の自由の衝突に関する重要な法的動向として最近の裁判例が挙げられます。モンゴルの法執行現場ではジャーナリストによる報道活動に対して個人の名誉毀損やプライバシー侵害を理由とした刑事訴追が多発していました。例えば著名なジャーナリストであるナラン・ウヌルツェツェグ(Naran Unurtsetseg)氏の事件(2024年から2025年にかけて進行)において同氏は軍事施設や宗教施設における暴力や性的虐待を告発する報道を行っていましたが裁判所は同氏に対して「個人情報の開示(disclosure of personal information)」や虚偽情報の拡散ならびに国家機密の不法取得などの罪で5年近い実刑判決を下しました。この裁判は非公開で行われ法執行機関によるプライバシー保護法制の恣意的な運用が疑われる事態となりました。
このような法執行の歪みに対する国内外からの批判が高まる中、モンゴルの憲法裁判所(Constitutional Court of Mongolia)は2025年11月25日に画期的な判決を下しました。この判決において憲法裁判所は刑法第13.14条に規定されていた「名誉、尊厳、およびビジネス上の評判に影響を与える虚偽情報の拡散」に関する条項がジャーナリストやメディア関係者を正当な証拠なしに調査し処罰するために国家機関によって悪用されており、モンゴルの憲法に違反しているとして当該条項の適用停止を命じました。この判決に関する公式な情報は、国際ジャーナリスト連盟のプレスリリース等で確認することができます。
この憲法裁判所の判決からデータプライバシーや名誉毀損に関する法律が政治的または経済的な意図を持って企業や個人に対する圧力手段として利用されるリスクがモンゴルには潜在しているということが言えるでしょう。日本企業がモンゴルでビジネスを展開する際特にメディアや通信およびITプラットフォーム事業に関与する場合には現地の法規制が文字通りに適用されるだけでなく現地の政治情勢や行政機関の恣意的な解釈によってビジネスリスクが急激に変動する可能性があることに最大限の注意を払い有事の際の危機管理プロトコルを整備しておく必要があります。
まとめ
モンゴルの個人情報保護法は日本の法律と比較しても死者データの70年間におよぶ長期保護やデータの公開や移転先の明示を必須とする厳格な同意原則に加えて機微な個人データとしての電子署名の個人キーの指定など非常に独自性が高く厳格なデジタル社会規範を反映した内容となっています。特に2023年の情報セキュリティ要件で義務付けられたサーバーの国内設置規制や包括的例外規定が存在しない越境データ移転の禁止は日本からリモートでモンゴルの市場を開拓しようとする企業やグローバルなシステム統合を目指す企業にとってビジネスモデルとITインフラの根本的な見直しを迫るほどの強烈なインパクトを持っています。
また、国家システムにおけるプライバシー保護の運用上の課題や法執行機関による恣意的な規制適用のリスクを考慮すると現地でのデータ処理アーキテクチャの構築や法的ドキュメントの設計には高度な法的・技術的専門知識が不可欠です。モンゴルにおけるデジタルビジネスの安全な展開と法的リスクの最小化に向けてモノリス法律事務所は現地の法規制の最新動向と判例の実態を踏まえた実務的な対応策の策定およびコンプライアンス体制の構築をサポートいたします。
カテゴリー: IT・ベンチャーの企業法務
