データ交換は経済・政治スパイ活動への道ではない

ジャカルタ発 ― World、あるいはWorldcoinプラットフォームを覚えていますか？米国に拠点を置くTools for Humanity（TFH）が所有するこの生体認証サービスプラットフォームは、インドネシアの現地パートナーとしてPT Sandina Abadi Nusantaraと提携し、かつてインドネシアで大きな騒動を引き起こしました。

通信デジタル省によって活動停止処分を受けるまで、彼らの活動は2021年以降、個人情報保護法が可決される前のインドネシア国民の網膜または虹彩の生体認証データ約50万件を収集することに成功していました。

2025年半ば、Komdigiは生体認証データ収集の徹底的な調査を実施した後、最終的にプラットフォームの活動を停止しました。その結果、国内法に違反していると判断されました。さらに、データ収集は子供、高齢者、障害者、デジタルリテラシーの低い地域のコミュニティなど、社会的弱者層を対象としていました。

現在、米国政府がインドネシアへの相互関税引き下げの条件の一つとして個人データ移転条項を盛り込んだことで、ワールドアプリやワールドコイン事件のような事件が再び起こるのではないかと国民は懸念しているに違いありません。

アンパッド法学大学院のアフマド・M・ラムリ教授によると、個人データの移転は国際的な商取引において、実際には一般的かつ避けられない現象です。実際、デジタル時代の到来以来、国内外を問わず、個人データを移転するための仕組みは長年にわたり整備されてきました。

ラムリ教授は、米国への個人データの移転はインドネシアに限ったことではなく、他の国々でも同様のことが行われていると説明しました。例えば、個人データを厳格に保護する欧州連合（EU）諸国も、米国政府と個人データに関する協定を締結しています。

「個人データの移転は、インドネシア国民の個人データの管理を全て米国政府に移管することを意味するものではないことを理解する必要がある」とラムリ氏は2025年7月26日（土）に述べた。

ラムリ氏は、欧州連合（EU）の行動を踏まえ、EUは既に米国と7.1兆ドル規模の貿易取引に関する協定を締結していると述べた。実際、欧州委員会は「EU・米国データプライバシーフレームワーク」（DPF）を採択し、2023年7月10日に発効した。

一方、インドネシアと米国との協力に関しては、ホワイトハウスのファクトシート「米国とインドネシア、歴史的な貿易協定に合意」において、個人データの移転は「個人データの国外移転」と明確に表現されており、インドネシアと米国間のデジタル貿易障壁の撤廃に向けた措置が明記されている。

「重要なのは、インドネシアが米国をインドネシア法の下で適切なデータ保護を備えた国として認めることで、米国への個人データ移転を促進することです。これは、デジタル経済時代においてデータフローが合法かつ保護された状態を保つために、ケースバイケースで国境を越えた個人データ移転のためのメカニズムを指します」とラムリ氏は説明した。

ラムリ氏は、個人データ移転は既にあらゆる場所で行われていると明らかにした。例えば、ジャカルタからニューヨークへ飛行機で移動する場合、特に異なる航空会社を利用する場合、個人データの移転は複数の国にまたがる可能性がある。

もう一つの例は、インドネシアのインターネット利用者である。APJII 2025のデータによると、2億2,156万3,479人が、地域や管轄区域間での処理および移転のために、様々なグローバルデジタルプラットフォームに個人データを提供している。こうした個人データの提供は、メールアカウント、Zoom、YouTube、WhatsApp、ChatGPT、Googleマップなどのプラットフォームを作成する際に発生する。

ラムリ氏は、個人データの移転は避けられないことを強調した。個人データの移転がなければ、デジタルサービスや取引は存在し得ません。したがって、インドネシア政府の主要な任務は、個人データ保護法（PDP）の遵守状況を監督、監視、評価し、強制執行することです。これにより、世界中のデータ移転が説明責任を果たし、適用法を遵守していることが保証されます。

「この点において、個人データ保護庁はPDP法の規定を最適に実施する上で非常に戦略的な役割を果たしています。政府はPDP庁の設立をこれ以上遅らせるべきではありません」と、同氏は結論付けました。

インドネシアは個人データ移転規制の規制国にならなければならない

デジタル時代においては当たり前のことと考えられているものの、インドネシア・サイバーセキュリティフォーラムのアリ・ステッドジャ会長は、インドネシアと米国間の個人データ移転協定に起因するプライバシー侵害や国家安全保障侵害のリスクを指摘した。ステッドジャ会長は、PDP法は米国への国境を越えたデータ移転を認める可能性があるものの、真の問題は、そのようなデータフローの条件を誰が決定するかだと述べた。「問題の根源は、国境を越えたデータフローが許可されるかどうかではなく、それらのデータフローが誰の条件で規制されるかだ」とステッドジャ会長は付け加えた。

ステッドジャ会長は、PDP法には、インドネシアにデータ移転に対する管理権と主権を与えるための厳格な要件が含まれていると述べた。しかし、米国に関しては、これらの規制は緩和される可能性がある。さらに、この協定は障壁を取り除き、データフローの自由を最大限にすることを目指しており、それが管理権と主権を剥奪する可能性がある。

アルディ氏はさらに、いくつかの潜在的なリスクを概説した。その一つが、インドネシア国民の個人データが外国の当事者によって悪用される可能性である。これにより、データ窃盗やランサムウェア攻撃といったサイバー攻撃のリスクが高まる可能性があります。経済的な観点からは、デジタル植民地化の脅威があります。これは、世界中のデータを支配する巨大な米国テクノロジー企業がますます支配的になり、不公平なビジネス競争につながるというものです。

「彼らは米国にある自社のサーバーからインドネシアの市場データを分析し、競争力の高い製品を開発することができます。その結果、膨大なデータにアクセスできない地元のイノベーションやスタートアップ企業が阻害されることになります」と彼は説明しました。

インドネシア下院第1委員会（DPR RI）のアメリア・アングライニ議員も同様の警告を発し、米国政府との貿易交渉の一環として個人データを移転する際にはインドネシア政府に慎重になるよう促しました。個人データは貿易商品ではなく、憲法で保障され、個人情報保護法で保護されている国民の基本的権利です。

彼女は、データ保護および個人情報保護法第56条に基づき、個人データの海外移転は、インドネシアと同等以上の個人データ保護水準を有する国にのみ行うことができ、第57条および第58条に規定されている合意メカニズム、二国間協定、または適切な保護保証を通じて行われなければならないことを強調した。

ナスデモ党派閥の議員であるアメリア氏は、政府に対し、独立した権威ある機関の設立を迅速に進めるよう求めた。アメリア氏は、予防原則とデータ主体の権利保護が確実に実施されるよう政府に求めた。

ナスデモ党議員はさらに、PDP法第58条および第59条で義務付けられている独立した権威ある機関、すなわちPDP機関の設立を加速することの重要性を強調した。「このPDP機関は、国際協力の場を含め、あらゆるデータ処理および移転慣行の監視、評価、および法執行を確実に行います」とアメリア氏は述べた。