インドネシアがデータ転送のセキュリティを維持しなければならない失敗の危機にしているEU-USデータプライバシースキル
ジャカルタ—欧州連合と米国の間の個人データ転送の主要な基盤として2023年7月に採択されて以来、EU-USデータプライバシーフレームワーク(DPF)は、現在、暗い未来に直面しています。米国における政策の大幅な変化と欧州のデータ保護当局からの懐疑的な反応は、フレームワークの持続可能性に対する懸念を煽っています。
DPFの持続可能性に対する最大の打撃の1つは、プライバシーと市民的自由の超越委員会(PCLOB)の5人のメンバーのうち3人が解任されたことで、当局は定足数を持たず、米国政府によるプライバシーとデータ監視の慣行に関する独立した監視員としての機能を失いました。理事会は以前、外国人データに対する米国の諜報機関の説明責任を維持する上で重要な柱と考えられていました。
別の問題は、2025年初頭に米国大統領が署名した14215の大統領令から来ています。この命令は、DPFの主要な原則執行機関である連邦取引委員会(FTC)のすべての行動を、米国大統領によって最初に審査することを要求しています。
これは、監督機関の独立性と米国におけるデータ保護法執行機関の信頼性に対する直接的な脅威と見なされています。それだけでなく、2024年4月の外国情報監視法(FISA)第702条の再延長により、裁判所のマンデートを必要とせずに、米国以外の市民に属する電子データにアクセスする米国政府の権限がさらに拡大されます。この状況は、米国が欧州連合(EU)の市民、そしてもちインドネシアを含む外国人に適切なプライバシー保護を提供していないという認識を強化します。
ヨーロッパでは、さまざまなデータ保護当局が懸念を表明し始めています。ノルウェー、デンマーク、ドイツ、スウェーデン、ベルギーの当局は、ビジネスマンにDPFからの撤退戦略を準備するよう呼びかけています。
たとえば、ノルウェーの当局は、米国にデータを転送する際に代替メカニズムを検討するよう企業に助言しました。ドイツ政府は、外国人のデータの監視を制限するという点で、米国が約束を守ることの重要性を強調しています。
一方、ベルギーは、米国とEU諸国との間の金融情報の交換を許可するFATCA協定が、この地域で適用されるプライバシー原則に違反しているとさえ判断しました。
それでも、2025年7月末まで、DPFは技術的に有効であり、2,800社以上の米国企業がこの枠組みの中で認証を保持していると記録されています。しかし、地政学的および法的状況が不確実なため、ほとんどの企業は、標準契約条項(SCC)の使用や、現在不安定な国境を越えた移転メカニズムへの依存を避けるために、地域でのデータ保管を検討するなどの代替オプションを評価しています。
欧州連合(EU)は米国のデータ保護のセキュリティを疑っていますが、この状況は米国からインドネシアへのデータ転送協力に直接影響を与えていません。インドネシア政府は、インドネシア国民が関与する個人データの転送は、2022年の個人データ保護法(PDP法)第27号を遵守しなければならないことを保証します。2024年10月に完全に施行されるこの法律は、すべての個人データの収集、保存、処理活動に包括的な保護を提供します。
二国間協力の文脈で、2025年7月22日、インドネシアと米国は、適切なレベルのデータ保護を備えた国としての米国の承認を含むデジタル貿易の枠組みに合意しました。
この取引は、両国間のデジタル障壁を撤廃し、国境を越えて個人データを転送する企業に法的確実性を提供する一形態として設計されています。しかし、インドネシア政府は、この協定は市民の個人データ主権を外国企業に引き渡す一形態ではないと主張している。
Meutya Hafid通信情報相は、この協力は実際に同国のデータ保護メカニズムを強化すると述べた。米国からインドネシアへのデータ転送は、インドネシア国民によるGoogle、Facebook、Instagramなどのデジタルサービスの使用など、正当かつ限られた目的でのみ許可されています。
プラセティョ・ハディ国務長官はまた、インドネシア国民に関する単一のデータが外国政府に自由に提出されることはないと明らかにした。政府は、そのようなデータが国際的なデジタルエコシステムで使用される場合にのみ、そのようなデータがどのように保護されるかを規制しています。
しかし、この取引に関して少なからぬ批判がなされている。インドネシアサイバーセキュリティフォーラムのArdi Sutedja氏など、一部のサイバーセキュリティ専門家は、米国にはまだ個人データの保護を具体的に規制する連邦法がないと警告しています。
これは、インドネシア国民のデータが適切な法的保証なしに公開される可能性があるという懸念を提起する。PDIペルジュアンガン派のインドネシア下院議員、Tb Hasanuddinは、国境を越えたデータ転送協力を管理する際に、より透明かつ慎重に行動するよう政府に求めた。
DPFは不確実な未来に直面していますが、インドネシア政府は国家データ保護システムが引き続き堅調に推移し、維持されると主張しています。米国を含む海外からのデータの転送は、PDP法に従って常に監視されます。
対象国が平等な保護基準を満たしていないと判断された場合、二国間協定や標準契約条項などの追加の保護メカニズムが必要です。これらすべてが満たされない場合、まずデータ所有者の明示的な同意を得なければなりません。
世界的なダイナミクスが進化する中、インドネシアは国境を越えたデジタル化の流れの中で市民の個人データの保護が損なわれないようにするための大きな課題に直面しています。政府と業界のプレーヤーは、すべての市民のデジタル権利が停止のない世界的な接続の時代に安全であることを保証するために、国内規制の遵守を更新し、国際法の発展を監視し続けることが期待されています。