ジャカルタ - プラボウォ・スビアント大統領率いるインドネシア政府は、円滑な経済協力のためだけにデジタル主権の側面を無視すべきではありません。個人データ保護は、譲ることのできない消費者の基本的権利です。
2022年に正式に施行された個人データ保護法(PDP法)は、すべてのデータ管理者に対し、情報の処理または共有を行う前に、データ主体から明示的な同意を得ることを義務付けています。
個人データを国境を越えて移転するという行為は、非常に大きなリスクを伴います。そのリスクの一つは、外国の者がインドネシア国民の機密性の高い個人データにアクセスし、特定の利益のために悪用される可能性があることです。
インドネシア・サイバーセキュリティ・フォーラム(ICSF)のアルディ・ステジャ会長は、米国とインドネシアの間の合意は、2022年個人情報保護法第27号の推進に数十年にわたり尽力してきた産業界および政府関係者と協議することなく締結されたのではないかと疑っている。
「既に個人情報保護法と消費者保護法が存在する中で、このような事態に発展するとは大変驚いています。既存の法律が無視されるのであれば、一体何の意味があるのでしょうか?」とステジャ会長は述べた。
ステジャ会長は、インドネシア国民の個人情報管理を、ハッキングに対して非常に脆弱な国に委ねることがいかに可能であるかを強調した。インドネシア消費者エンパワーメント・フォーラム(FKBI)のトゥルス・アバディ会長は、個人情報保護は消費者の基本的権利であり、譲ることのできないものであることを強調した。
「個人データ保護は消費者の基本的権利です。個人データ保護法(PDP)に相当する保証のない国境を越えたデータ移転は、社会のセキュリティ、プライバシー、そしてデジタル主権にとって大きなリスクとなります」と、トゥルス氏は7月29日(火)の公式声明で述べた。
トゥルス氏によると、この協定の個人データ管理条項には3つの大きなリスクがある。第一に、インドネシア国民のデータ保護基準に不平等が生じること、特に米国(CCPA、HIPAA)に基づいてデータが処理されることで、インドネシアのPDP法と完全には整合していないことが懸念される。第二に、データが米国のサーバーに保存された場合、インドネシアの消費者は苦情申し立てメカニズムに迅速にアクセスできなくなる可能性がある。第三に、データ所有者の明示的な同意なしにデータが販売されたり、プロファイリングに利用されたりするなど、データの悪用の可能性もある。
「貿易協定は国民のプライバシー権を犠牲にしてはなりません。協定を最終決定する前に、政府に対しデータ保護条項を強化するよう強く求めます」とトゥルス氏は強調した。
トゥルス氏は、国際協力によって消費者の基本的権利が侵害されるべきではないと考えている。包括的な保護がなければ、インドネシア国民のデータセキュリティに対するリスクは大幅に増大するだろう。
「貿易協定は国民のプライバシー権を犠牲にしてはなりません。協定を最終決定する前に、政府に対しデータ保護条項の強化を強く求めます」とトゥルス氏は強調した。
インドネシアICT研究所の通信専門家で事務局長のヘル・スタディ氏は、ブルームバーグ・テクノズとのインタビューで、両国がデータに関するコミットメントに合意すれば、インドネシアは米国にとっての「温室」となるだろうと述べた。PDPの枠組みにおいても、データ移転前には各個人または機関が個人の同意を得る必要がある。
「同意が得られれば、米国はインドネシア国民の個人データにアクセスできるようになるという影響があります。米国は、軍や警察の職員に関するデータ、大統領と副大統領の健康履歴、下院議員の財務データや口座など、あらゆるデータにアクセスできるようになります。結局のところ、インドネシアは米国にとって温室のような存在なのです。」
政府:商業データのみ交換
ネザール・パトリア通信デジタル担当副大臣は、インドネシアと米国間の国境を越えたデータ移転に関する合意は最終決定されておらず、依然として協議中であることを強調した。
ネザール副大臣は7月28日(月)、ジャカルタで、「現在調整段階にあり、昨日伝えられた内容は最終的なものではありません。米国とインドネシア両政府間で技術的な事項について協議が続いており、協議は依然として進行中です」と述べた。
ネザール副大臣はまた、国民に対し、この合意を誤解しないよう求めた。この国境を越えたデータ移転プロセスは場当たり的に行われるものではなく、適用法令、すなわち2022年個人情報保護法第27号を遵守していると述べた。
「誤解しないでください。これは、インドネシアがすべての個人データを米国に自由に移転できるという意味ではありません。個人情報保護法に定められたプロトコルは依然として存在します」と副大臣は述べた。
経済担当調整省報道官のハリオ・リマンセト氏は、米インドネシア共同声明におけるデータ移転の対象は商業データのみであり、個人データや個人情報は含まれていないと説明した。
ハリオ氏は7月29日(火)、VOI通信に対し、「米インドネシア共同声明ではデータ移転に関する問題が取り上げられており、米国およびその他のパートナー諸国に認められている柔軟性は、商業データに焦点を合わせたものであり、個人データや個人情報は対象としていない」と述べた。
ハリオ氏は、移転されるデータは戦略データであり、その規定は個人情報保護法(PDP法)およびその他の関連法令に規定されていると強調した。「戦略データであり、その規定はPDP法およびその他の関連法令に規定されています。この問題の主導省庁は、技術データの提供などを担当する通信デジタル省です」とハリオ氏は述べた。
ハリオ氏は、アクセス可能な商業データの例として、消費者行動調査に用いられる地域の販売データを挙げた。
「個人データには氏名や年齢などが含まれますが、商業データには、その地域での売上など、処理が含まれます。例えば、銀行でこのデータを収集すると、銀行はそのデータに基づいて調査を行います。これが商業データの意味するところです」と彼は結論付けました。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
