アジアにおけるグローバルプライバシー管理──中国･インド･東南アジア最新データ保護法マップ

Global Privacy Management in Asia - Focus on China, India, Southeast Asia
IAPP Asia 2025: Privacy Forum + AI Governance Global 現地レポート[Vol.10]　

この記事は、IAPP Asia 2025: Privacy Forum + AI Governance Globalにおける講演内容をもとに、AIによる自動音声認識および自動翻訳技術を用いて作成されたものです。その性質上、実際の講演内容と異なる表現や解釈が含まれる可能性があり、一部の情報が省略または不正確である場合があります。

転載：IAPP Global Privacy Summit 2025

本セッションでは、中国、インド、そして東南アジア（タイ、ベトナム）の法律専門家が登壇し、アジア地域におけるデータ保護法の複雑で多様な現状について議論しました。

中国のセキュリティと利活用を両立させる法制度、インドで新たに制定された独自のアプローチを持つデジタル個人データ保護法、そして東南アジア各国の異なる法的根拠や越境データ移転の要件など、グローバル企業が直面する具体的な課題が浮き彫りになりました。

◆ この記事でわかること
===
・中国、インド、東南アジアのデータ保護法はそれぞれ独自のアプローチを採用しており、企業は各国のセキュリティ要件や法的根拠の違いに個別に対応する必要がある。
・国境を越えるデータ移転はアジア全域で重要な課題であり、中国のセキュリティ評価やベトナムの事前届出など、国ごとに厳格で異なる手続きが求められる。
・法律の域外適用やデータ侵害時の通知義務により、グローバル企業は単一の事案でもアジア複数国の規制当局へ同時に対応する必要がある。
===

登壇者

Moderator: David Nesaratnam Alfred, CIPP/A, CIPM, CIPT, FIP
通信、デジタル技術、インターネットに関する法的アドバイスにおいて20年以上の経験を持つ上級弁護士。2013年の設立以来、シンガポールの個人データ保護委員会(PDPC)の主任顧問を務めており、それ以前はシンガポールの個人データ保護法の策定に助言を行っていた。PDPCにおける法務業務に加え、データ保護に関する問題に関する法曹界への働きかけや、データ保護法の発展促進にも積極的に取り組んでいる。この分野での活動の一環として、PDPCが毎年発行する「個人データ保護ダイジェスト」の構想策定と発行を主導し、現在2年目を迎えている。
シンガポール国立大学で法学士(LLB)と法学修士(LLM)、シカゴ大学で経営学修士(MBA)を取得。また、CIPP/AおよびCIPTの認定資格も保有し、IAPPより情報プ​​ライバシーフェローに任命されている。

Nopparat Lalitkomon, Partner, Tilleke & Gibbins
Tilleke & Gibbins のパートナー。

Rahul Matthan, Partner, Trilegal
Trilegalのパートナーであり、同事務所のテクノロジー部門を率いる。暗号通貨、電気通信規制、インターネットおよびソーシャルメディア法、テクノロジーM&Aなど、多岐にわたる問題についてクライアントにアドバイスを提供してきた経歴を経て、インドにおけるテクノロジー政策の策定において、ますます積極的な役割を果たしている。
テクノロジー、社会、そして法律の交差点について毎週コラムを執筆している。彼の最新著書『第三の道：データガバナンスへのインドの革命的アプローチ』では、デジタル公共インフラがデータガバナンスに新たなアプローチをもたらす可能性について論じている。2024年には、今後10年間で注目すべきインドの経済思想家の一人に選ばれた。
インド準備銀行(RBI)の家計金融委員会と、Kris Gopalakrishnan委員会の非個人データ委員を務めた。G20議長国時代には、財務省のDPIアドバイザーを務めた。
長年にわたり経営委員会の委員を務めた後、現在はTrilegalの取締役会のメンバーを務めている。

Susan Ning, Managing Partner of Regulatory, King & Wood Mallesons
IAPPアジア2025：プライバシーフォーラム＋AIガバナンスグローバルにおける講演者。

はじめに：アジアにおけるデータ保護法の複雑性

David: 皆様、本日は「アジアにおけるグローバルプライバシー管理」のパネルへようこそ。この重要なテーマにご興味をお持ちいただき、誠にありがとうございます。

本日は、アジア各国のデータ保護分野において、非常に優れた専門家の方々をお招きすることができました。このパネルの目的は、複数の国にまたがるデータ保護管理の複雑性について議論することですが、その大前提として、各法域の国内法を深く理解することが不可欠です。

ご存知の通り、データ保護法は非常に属地的な性質を持ち、国や地域ごとに独自の法律が存在します。しかし、ビジネスがグローバル化、リージョン化する中で、それらの法律は相互に影響し合います。地理的に隣接する国同士であっても、その法的な要件は必ずしも同じではなく、時には大きく異なることが、多くのグローバル企業にとっての大きな課題となっています。

本日は、まず中国、インド、そして東南アジア数カ国の法律について、その道の専門家であるパネリストの皆様にお話しいただき、法制度の多様性と複雑性をご理解いただきたいと思います。その上で、国境を越えるデータ移転といった、より具体的で実践的な問題にどう対処すべきか、議論を深めていきたいと考えています。

それではまず、私の左隣におりますSusan Ning氏をご紹介します。彼女は中国を代表する法律事務所である、King & Wood Mallesonsの規制･コンプライアンス部門の責任者を務めています。Susan氏をはじめ、本日のパネリストは全員、それぞれの分野で非常に高く評価されている専門家です。

その隣には、Rahul Matthan氏。彼はインドの有力法律事務所のTMT（テクノロジー･メディア･通信）部門の責任者です。インドのデータ保護法は比較的新しいものだと思われるかもしれませんが、実際にはIT法の中に以前からデータ保護に関する要件が存在しており、Rahul氏は長年にわたりその分野の第一線で活躍されています。

そして一番左にはNopparat Lalitkomon氏がいます。彼はタイとベトナムで比較的新しいデータ保護法について、多くの企業にアドバイスを提供しており、TMT分野の弁護士として非常に有名です。

それではまず、各パネリストからそれぞれの国の法制度の枠組みについてご説明いただき、その後、国境を越えるデータ移転に関するディスカッションに移ります。

中国のデータ保護法制：セキュリティと利活用の両立

Susan: 本日は、中国におけるサイバーセキュリティ、データ保護、そして個人情報保護という、3つの主要な法律についてお話しします。これらの法律が、現在の中国におけるデータ保護の基本的な法的枠組みを形成しています。

まず、国際社会における中国のデータ規制に対する一般的な見方として、「全てのデータを国内に留め置く、厳格なデータローカライゼーションを要求している」というものがありますが、これは必ずしも正確な理解ではありません。

中国政府の基本方針は、データの「セキュリティ確保」と、経済発展のための「利活用促進」という、二つの側面の両立を目指すものです。重要データや個人情報の利活用は禁止されているわけではなく、国家によるセキュリティ評価や標準契約の締結、第三者機関による認証といった、定められた手続きを経ることを条件に認められています。

データの利活用という側面を具体的に申し上げますと、中国には現在、実に59ものデータ取引所が存在し、昨年一年間で16兆人民元ものデータが取引されました。もちろん、そこで取引されるデータは全て合法的なものでなければなりません。特に個人情報に関しては、完全に匿名化されるか、契約上の必要性や緊急事態といった明確な法的根拠がない限り、そのものを売買することは犯罪行為となります。

中国の法制度は、先ほど申し上げた3つの主要法に加え、国家の安全保障に関わる審査制度、各種の行政規則、そして国家標準や業界標準といった、より柔軟なソフトローによって構成される、多層的な構造になっています。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

「重要データ」に関しては、国境を越えて移転する場合や、海外にデータセンターを設置して中国の重要データを扱う場合には、国家安全保障審査の対象となります。どのようなデータがこの「重要データ」に該当するかについては、銀行、医療、自動車といった各産業分野の監督官庁や、上海や広州といった主要都市がそれぞれ詳細なガイドラインを公表しており、事業者はこれらに基づき自社が扱うデータを特定し、管理する必要があります。

個人情報に関しては、その収集から共有、国境を越える移転、そして海外での処理に至るまで、そのライフサイクル全体が個人情報保護法によって厳しく規制されています。今年1月1日に施行された「ネットワークデータ管理規則」は、これらの要件をさらに具体化するものであり、同時に、国家安全保障審査が不要となる例外規定も設けているため、産業界からは歓迎されています。

結論として、国境を越えるデータ移転については、通常の商取引における小規模な個人情報の移転であれば、国家安全保障審査は不要であり、標準契約の締結や第三者認証といった、より簡便な方法で行うことが可能です。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

インドのデジタル個人データ保護法：馴染み深さと独自性

Rahul: 私はテクノロジー分野の弁護士として、実際には明確な法律が存在しない中で、15年以上にわたりデータ保護に関する実務を行ってきました。しかし2025年、ついにインドでも包括的なデータ保護法が制定されました。

この新しい法律は、データ保護の実務家にとっては「非常に馴染み深い」と同時に「非常に奇妙な」法律であると言えます。GDPRやOECDの原則といった、皆様がよくご存知のデータ保護の基本原則、例えば目的の特定やデータ最小化といった考え方は、全てこの法律に含まれています。しかし、その原則を実施するための方法は、非常にインド独自のものとなっています。

この法律は、データ処理の基本を「通知と同意」に置いていますが、「正当な利益」を法的根拠として利用できる場面は、法執行や医療上の緊急事態など、極めて限定的です。また、GDPRにおけるデータポータビリティの権利が明記されていない点も特徴的ですが、「同意マネージャー」という独自の仕組みを通じて、限定的ながらデータの移転が可能になっています。

これは、インドの金融サービス分野で既に導入されているDEPA(Data Empowerment and Protection Architecture)という先進的なデジタルインフラを活用するもので、安全なデジタル同意に基づき、個人の銀行口座の情報をフィンテック企業へ移動させるといったことを可能にします。

特に厳格なのは「子供のデータ」に関する規定です。インドでは18歳未満を子供と定義し、そのデータを処理するには、検証可能な形で保護者の同意を得ることが義務付けられています。この非常に困難な課題を解決するため、現在検討中のルール案では「エイジトークン」という技術的な解決策が提案されています。これは、インドの国民IDシステムである「Aadhaar」を活用し、個人を特定することなく、その人物が18歳以上か否かを示すことができるデジタル証明書のようなものです。

規制機関としては「データ保護委員会」が設置されますが、これは一般的なデータ保護機関(DPA)とは異なり、自ら調査を行うのではなく、申し立てに基づいて判断を下す、より司法的な性質を持つ機関となります。そのため、事前のガイダンスを発行するのではなく、個別の事案に対する判例を通じて、徐々に法解釈が形成されていくことが予想されます。

そして国境を越えるデータ移転ですが、かつての法案で長らく議論されたデータローカライゼーションの要件は、産業界からの働きかけもあり、段階的に緩和され、現行法では原則として撤廃されました。現在は、データ移転が禁止される国の「ブラックリスト」が作成される予定ですが、まだどの国もリストアップされておらず、事実上、現時点では国境を越えるデータ移転は許可されています。

法律の施行時期については、関連する詳細な規則が間もなく公布され、その後18ヶ月から24ヶ月の移行期間を経て、全面的に施行される見込みです。

ベトナムとタイのデータ保護法比較

Nopparat: 本日はベトナムとタイの法律について、両国の特徴を比較しながらご説明します。

両国の法律とも、データの収集、利用、移転、削除といったライフサイクル全体をカバーする包括的な内容となっています。ベトナムでは2026年1月1日に新しい個人データ保護法(PDPL)が施行されますが、それまでは現行の法令(PDPD)に準拠していれば問題ありません。一方、タイの個人データ保護法(PDPA)は2020年から施行されており、その後も多くの下位規則が制定され、法体系が成熟しつつあります。

両国の法律における大きな違いは、データ処理の法的根拠です。ベトナムは「同意」を非常に重視しており、民間企業が同意以外の法的根拠に頼ることは、実務上ほとんどできません。これに対し、タイの法律はGDPRと同様に、同意以外にも契約上の義務の履行や、企業の正当な利益といった、複数の法的根拠を認めており、より柔軟な運用が可能です。

国境を越えるデータ移転に関しても、大きな違いがあります。ベトナムでは、本人からの同意の取得、データ移転に関する契約の締結、そして移転先国の法制度などを評価する移転影響評価(TIA)を含む詳細な書類を、データ移転の「前」に当局へ提出することが義務付けられています。タイでは、拘束的企業準則(BCR)や十分性認定など、複数の手段が認められており、より柔軟な対応が可能です。

データ侵害の通知義務についても、起算点が異なります。ベトナムでは侵害が「発生」してから72時間以内、タイでは侵害を「認識」してから22時間以内と定められており、インシデント対応のプロセスにおいてこの違いを意識する必要があります。

両国の法律とも、国外の事業者が国内の個人を対象にサービスを提供したり、その行動を監視（プロファイリングなど）したりする場合には、法律が域外適用されます。

罰則については、タイでは民事、刑事、行政上の詳細な罰則が定められていますが、ベトナムではまだ新しい法律に基づく具体的な制裁規則が制定されていません。しかし、タイの規制当局はデータ侵害事案を積極的に監視し、公表しているため、企業は常に注意を払う必要があります。

転載：IAPP Global Privacy Summit 2025（プライバシーテックにて翻訳を追加）

パネルディスカッション：実践的な課題

David: 各国の法律について、非常に分かりやすくご説明いただきありがとうございました。それでは、ここからはより実践的な課題について議論を進めたいと思います。まず、多くのグローバル企業が懸念している域外適用についてですが、中国とインドの状況はいかがでしょうか？

Susan: 中国のサイバーセキュリティ法は、国外からのサイバー攻撃なども対象としており、以前から域外適用の概念がありました。個人情報保護法もその考え方を引き継いでおり、中国国内の個人に製品やサービスを提供する場合、あるいはその行動を分析する場合には、事業者が国外にいても中国の法律が適用されます。

Rahul: インドもGDPRと同様の基準を採用しており、インド国民を対象としたデータ処理には法律が適用されます。ただし、インドが世界的な強みを持つITアウトソーシング産業を保護するため、海外の顧客データを契約に基づき処理する場合には、この法律の主要な規定の適用が免除されるという、重要な特例が設けられています。

David: 次に、具体的なデータ侵害のシナリオについて考えてみましょう。例えば、中国、インド、タイ、ベトナムの個人のデータが、シンガポールにあるデータセンターで侵害されたとします。この場合、各国の規制当局への通知は必要でしょうか？

Susan: シンガポールの事業者が自らの意思決定（データ管理者として）でデータを処理しているのであれば、中国当局への自発的な報告は考えられますが、法的な通知義務はありません。

Rahul: インドでは、状況によりますが、重大な侵害であれば通知を推奨します。特に、国の重要なインフラに関する侵害の通知義務は6時間以内と非常に厳格です。新しい法律では、委員会への通知だけでなく、影響を受ける全ての本人への通知も義務付けられており、これは企業にとって非常に重い責任となります。

Nopparat: タイでは、域外適用の要件を満たす場合、タイの法律に従って、まずリスクレベルを評価した上で通知の要否を判断する必要があります。通知が必要な場合、通知書はタイ語に翻訳する必要があり、そのための時間もインシデント対応計画に盛り込んでおく必要があります。

質疑応答

質問者1: ベトナムで議論されている新しい「デジタル技術産業法」の適用範囲について、もう少し詳しく教えていただけますか？

Nopparat: この法律は、AIを統合した製品やサービスを含む、新しいテクノロジー全般に関する原則的な指針を定めるものです。また、関連するデータ法では、特定のレベル以上のAIシステムに対してライセンス取得を義務付けるなど、今後さらに多くの具体的な枠組みが導入される予定です。

質問者2: シンガポールに地域本社があり、インドと中国に子会社があるとします。本社がグループ全体のコンプライアンス監視のために、子会社から顧客データを含む情報の提出を求める場合、グループ内移転として何らかの免除規定はありますか？

Susan: 残念ながら、中国ではそのような免除規定はありません。通常の個人情報移転の手続きに従う必要があります。つまり、本人からの個別同意の取得や、データの種類・量に応じた評価手続き（標準契約の締結など）が必要です。特に、1万人以上の機微な個人情報を移転する場合には、より厳格な政府の評価手続きが求められます。

Rahul: インドでも免除はありません。従業員のデータには一部特例がありますが、顧客情報に関しては、サービスの利用規約などでデータ移転について明確な同意を得ていることが前提となります。

Nopparat: タイ･ベトナムについても同様に、免除はありません。本人からの同意の取得、TIAの実施、そしてグループ内データ移転契約の締結といった、通常のプロセスを踏む必要があります。

質問者3: ベトナムでは、国外の委託先事業者（データ処理者）もデータ影響評価の書類を提出する必要があると聞きました。例えばGoogleのような巨大な委託先から詳細な情報を得るのは非常に困難ですが、実務上どうすればよいでしょうか？

Nopparat: はい、その通りです。これはベトナム独自の非常に厳しい要件で、実務上多くの困難が伴います。しかし、規制当局もその点を理解しており、我々としては、合理的な努力を尽くした上で、入手できた範囲の情報で書類を提出し、なぜこれ以上の情報が得られないのかを丁寧に説明すれば、当局も柔軟に対応してくれる傾向にあるとアドバイスしています。

David: 時間となりました。皆様、本日の素晴らしい議論に対し、パネリストに大きな拍手をお願いします。ありがとうございました。

以上

===

◆ 関連記事
[Vol.1]世界のAI・プライバシー専門家が語る未来──IAPPアジア2025 開会セッション
[Vol.2]企業において実現するプライバシー対応の自動化──グローバル視点での実践と戦略
[Vol.3]グローバルプライバシーの実装――最前線からの教訓
[Vol.4]AIガバナンスとデータ保護の最前線──世界の専門家が語る規制とベストプラクティス
[Vol.5]AIにおけるプライバシー・バイ・デザインとデフォルト：プライバシー保護技術の役割[
[Vol.6]AIにおけるデジタル信頼の構築──アジア太平洋の視点から
[Vol.7]進化する子供のプライバシー法──遵守するための実践的戦略
[Vol.8]AIは「死の谷」を越えられるか？歴史に学ぶ、次世代ガバナンス
[Vol.9]あなたのビジネスは大丈夫？アジアAI規制の最新マップ
[Vol.10]アジアにおけるグローバルプライバシー管理──中国･インド･東南アジア最新データ保護法マップ←この記事
[Vol.11]AI時代のリスクと機会──インシデントへの備えと対応
[Vol.12]AIガバナンス最前線──アジア各国の戦略
[Vol.13]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(前編）
[Vol.14]自律型AIの台頭──プライバシーと次世代AIの緊張関係をどう乗り越えるか(後編）

===

＜＜前へ：あなたのビジネスは大丈夫？アジアAI規制の最新マップ
＞＞次へ：AI時代のリスクと機会──インシデントへの備えと対応

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#データガバナンス　#データ保護　#データ侵害　#国境を越えるデータ移転　#アジア　#東南アジア　#移転影響評価　#標準契約条項　#正当な利益　#個人情報保護法　#越境データ移転　#サイバーセキュリティ　#同意　#重要データ　#域外適用　#データローカライゼーション