スリランカ連邦共和国の個人データ保護法(PDPA)に関する解説
スリランカは、南アジア地域において初めて包括的な個人データ保護法(Personal Data Protection Act No. 9 of 2022、以下「PDPA」)を制定しました。これは、同国のデジタル経済の健全な発展と、国際的なデジタル取引に対する信頼を確保するための立法です。PDPAは、EUのGDPR(一般データ保護規則)をモデルとしており、日本の個人情報保護法(以下「日本法」)と比較すると、多くの点でより厳格な規制を課しています。
PDPAは、スリランカに物理的な事業所を設立する日本企業に直接的な影響を与えるだけでなく、スリランカ国内のデータ主体に対して商品やサービスを提供したり、その行動を監視したりする企業にも適用されるため、日本企業も、その詳細を理解する必要があります。
本記事では、スリランカPDPAの全体像を、日本法との重要な相違点を含めて解説します。
この記事の目次
スリランカPDPAの全体像と日本企業への適用範囲
スリランカのPDPAは、2022年3月9日に議会で可決され、同年3月19日に承認された法律です。その主要な目的は、個人のプライバシーを保護し、データ主体の権利を確立するとともに、個人データを処理するデータ管理者(以下「コントローラー」)およびデータ処理者(以下「プロセッサー」)に具体的な義務を課すことにあります。この法律の施行を監督し、規制の実施を担う独立した機関として、スリランカデータ保護庁(Data Protection Authority、以下「DPA」)が設立されました。
PDPAの最も重要な特徴の一つは、その適用範囲がスリランカ国内で行われるデータ処理に限定されないという点です。PDPAは、GDPRと同様に「域外適用」を明確に規定しています。具体的には、スリランカに事業拠点を置かないコントローラーやプロセッサーであっても、スリランカ国内のデータ主体に対して商品やサービスを提供する場合、またはその行動を監視する場合にPDPAの適用対象となります。
したがって、スリランカに物理的な事業所を持たない日本のEC事業者やオンラインサービス提供事業者であっても、PDPAのコンプライアンスを検討する必要があるケースがあり得ます。
スリランカのデータ処理の基本原則と日本法との比較
PDPAは、データ処理の公正かつ適正な実施を確保するため、7つの基本原則を定めています。これらの原則は、GDPRの枠組みとほぼ一致しており、日本の個人情報保護法が定める個人情報取扱事業者の義務とも共通する部分が多く見られます。
- 適法性、公正性、透明性(Lawfulness, Fairness, and Transparency):データ処理は、DPAが定める方法、データ主体の同意、または契約履行の必要性などの法的根拠に基づいて行われなければなりません。
- 目的制限(Purpose Limitation):データは、特定され、明示的で、合法的な目的のためにのみ収集され、その目的と相容れない方法でさらに処理してはなりません。
- データ最小化(Data Minimization):処理目的に必要な範囲で、適切かつ関連性のあるデータのみを収集する必要があります。
- 正確性(Accuracy):個人データは正確かつ最新の状態に保たれ、不正確なデータは遅滞なく修正または削除されなければなりません。
- 保存期間制限(Storage Limitation):データは、処理目的に必要な期間を超えて保持してはなりません。
- 完全性・機密性(Integrity and Confidentiality):適切な技術的・組織的措置を講じ、不正なアクセスや損失からデータを保護しなければなりません。
- 説明責任(Accountability):データコントローラーは、これらの原則を遵守していることを証明する義務を負います。
特に注意が必要な相違点の一つに、センシティブな個人データに対する規制があります。PDPAは、GDPRと同様に「Special categories of personal data」に対し、より厳格な保護を定めています。その定義は、人種、民族的出身、政治的意見、宗教的・哲学的信条、健康データ、生体データ、性生活や性的指向に関するデータ、犯罪歴など広範にわたります。
日本の個人情報保護法も「要配慮個人情報」という類似の概念を有していますが、PDPAの定義は、GDPRと同様に「性生活や性的指向に関するデータ」など、より詳細に指定されています。日本の事業者がスリランカ国内でサービスを展開する際には、自社の扱うデータがPDPAの定めるセンシティブなデータに該当しないか確認する必要があります。
| 項目 | スリランカPDPA | 日本法(個人情報保護法、APPI) |
|---|---|---|
| 法的根拠 | データ主体の同意、契約履行、法的義務、公共の利益、正当な利益など、複数の適法根拠を詳細に規定。 | 原則として本人の同意が必要。その他、法令に基づく場合など法定の例外を規定。 |
| 機微な個人データ | 「Special categories of personal data」として、人種、健康データ、性生活、性的指向など、より詳細で厳格な定義を規定。原則として明示的な同意が必要。 | 「要配慮個人情報」として、人種、犯罪の経歴、犯罪被害の事実など、限定的な範囲を定義。 |
| データ主体の権利 | アクセス権、訂正権、消去権(忘れられる権利)、同意撤回権、自動意思決定に対する審査権などを認める。 | 開示請求権、訂正等請求権、利用停止等請求権などを認める。 |
| 越境データ移転 | DPAが十分性認定した国への移転を原則とし、それ以外の国への移転には、拘束力のある強制可能な約束など、適切な保護措置が必要。 | 個人情報保護委員会が十分性認定した国(EU、英国など)への移転が比較的容易。認定国以外へは本人同意または適切な保護措置(例:契約締結)が必要。 |
| 罰則 | 1件の違反につき最大1,000万スリランカルピー(約450万円)の罰金。再犯時には前回の2倍の罰金が科される。 | 法人に対する罰金は、違反内容により最大1億円。これに加え、個人に対する懲役刑も規定されている。 |
スリランカのデータ主体の権利
PDPAは、データ主体(個人)に対して、その個人データに関する広範な権利を認めています。これには、個人データへのアクセス権(Right of access)、同意撤回権(Right to withdraw consent)、訂正権(Right to rectification)、および一定の条件下でデータ消去を求めることができる消去権(Right to erasure、一般に「忘れられる権利」としても知られる)が含まれます。これらの権利は、日本の個人情報保護法における開示、訂正、利用停止等の権利と多くが共通しています。
PDPAがGDPRから影響を受けていることが特に顕著に表れているのは、「自動処理された意思決定に対する審査権」(Right to review automated decision-making)です。これは、個人の権利や自由に不可逆的かつ継続的な影響を及ぼす可能性のある、自動化されたデータ処理に基づく意思決定について、データ主体がその審査を求める権利です。例えば、AIを活用した信用スコアリングシステムや顧客ターゲティングシステムが、個人の権利に重大な影響を与えると判断された場合、データ主体はその決定がどのように行われたかについて説明を求め、場合によっては人による再審査を要求する権利を持つことになります。
日本法には、このような自動意思決定に関する明確な規定は存在しません。この違いは、PDPAが単なるデータの保護を超えて、アルゴリズムによる個人の意思決定への影響までを視野に入れていることを意味します。スリランカでAIを活用したサービスや、自動化された意思決定プロセスを導入する日本の企業は、この権利への対応を事前に検討し、意思決定プロセスの透明性を確保する義務が生じます。
スリランカの越境データ移転の要件
PDPAは、個人データのスリランカ国外への移転を厳しく規制しています。この規制は、GDPRと同様に、データ保護の水準がPDPAと同等または十分と認められる国(「十分性認定」を受けた国)への移転を原則としており、それ以外の場合には特定の要件を満たす必要があります。
越境データ移転に関して、PDPAは公共機関と非公共機関(民間企業)で異なる要件を設けているとされていますが、現時点でその具体的な詳細は公表されていません。当初2025年3月18日に予定されていたPDPAの主要規定の施行は延期されており、こうした部分に関する整備がまだ終わっていないものと思われます。
いずれにせよ、上述のように、民間企業が越境データ移転を行う場合、公的機関よりも柔軟な対応が認められる可能性はあります。しかし、それはDPAが定める「拘束力のある強制可能な約束」などの適切な保護措置を講じることを前提としています。日本企業は、今後のDPAからの規則やガイドラインを注視し、十分性認定がない場合でも移転を可能にするための法的・技術的措置を準備する必要があるでしょう。
日本はEUや英国と相互に十分性認定を付与しており、これらの国へのデータ移転は比較的容易です。しかし、スリランカと日本は現時点でそのような協定を結んでいません。これは、日本企業がスリランカのデータ主体から取得した個人データを日本に持ち帰る際、PDPAが定める「拘束力のある企業準則」(binding corporate rules)や契約など、新たな保護措置を講じなければならないことを意味します。このプロセスは、日本の企業がEUとの間で実施してきた慣行に類似しており、日本企業は越境データ移転に関する新たなコンプライアンス要件を確立する必要があるでしょう。
スリランカPDPAの施行状況と最新の動向
PDPAは、主要規定の完全施行まで時間をかけ、段階的に実施されてきました。まず、2023年7月17日にはDPAの設立に関する規定が施行され、DPAは既に運用を開始しています(官報No. 2341/59)。続いて、2023年12月1日には、DPAの長官や職員、資金に関する規定が施行されています(官報No. 2366/08)。当初、PDPAの主要な規定(データ処理の原則、データ主体の権利、罰則など)は、2025年3月18日に施行される予定でした。しかし、スリランカ政府は2025年3月14日付の官報No. 2427/34により、この施行日を正式に撤回しました。
この延期の背景には、PDPAの改正法案を議会に提出し、技術的選択肢やAIの導入に対応できる「将来を見据えた執行体制」を構築する目的があるとされています。この延期は、政府および民間セクターのフィードバックを反映させるための措置でもあります。日本企業は、この「猶予期間」を、単なる遅延と捉えるのではなく、今後の改正動向を注視し、PDPAの最終的な要件に柔軟に対応できる体制を構築する機会と考えるべきでしょう。
まとめ
スリランカのPDPAは、南アジアにおけるデータ保護の新たな基準を確立する画期的な法律であり、その厳格な内容は日本法とは異なる独自の課題を設定するものです。特に、GDPRをモデルとした越境データ移転のルールや、自動意思決定に対するデータ主体の権利などは、日本企業がこれまで経験してこなかった新たなコンプライアンス要件を生じさせる可能性があります。
PDPAの主要規定の施行延期は、企業にコンプライアンス準備の猶予を与えるものではありますが、将来の法改正によってより高度な対応が求められる可能性もあります。
スリランカへの事業展開を検討する日本企業は、PDPAへの適切な対応が不可欠です。プライバシーポリシーや社内規程の整備、データ処理プロセスの見直し、そして越境データ移転に関する法的リスクの分析と対策立案など、スリランカでのビジネスのためには、個人情報の取り扱いに関する体制の整備が必要不可欠だと言えるでしょう。
関連取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
