(インドネシア、2019年10月8-12日)
1. デジタル規制の状況: 2020年内の個人情報保護法の制定を目指す
【積極的なデジタル振興政策】
世界4番目の人口を擁するインドネシアでは中間所得層が牽引する消費活動が近年の経済発展に大きく貢献している。中でもスマートフォンの普及によりECをはじめ旅行手配や配車、電子決済や投資までアプリを介した様々なサービスが誕生しており、銀行口座を有さない地方でも急速に利用が広がっている。かかる状況を踏まえ、インドネシア政府は将来性も見越してデジタル振興には前向きなスタンスである。具体的には、国家情報通信網の敷設・強化などインフラ整備を進めると同時に、2018年に打ち出した”Making Indonesia 4.0”政策を基にデジタル技術を活用した新規分野のビジネス支援にも積極的である。また、”Next I Corn”指針では代表的なユニコーンGojekやTravelokaに続く次世代企業の育成にも余念がない。さらに、通信情報省(MCIT)や商業省(MOT)など規制当局のみならず、現政権下で2015年に新設された創造経済庁(BEKRAF)によりクリエイティブな新規ビジネスの開発・育成推進にも力を入れる。
【ローカライゼーション規制は緩和】
このように、インドネシア国内市場の潜在性に期待し、欧米をはじめ外国企業による事業展開が年々増えてきている。2019年の改正令71号により、従前保護主義的なイメージの要因となっていた国内保管(ローカライゼーション)義務は、公共データのみを対象とする規制緩和が実現したのも背景にありそうだ。他方、個別の業種ではインドネシア金融庁(OJK)規則1号(2013年)により金融機関が有する特定のデータについては国内管理が義務付けられている。通信環境の改善により、インドネシア国内におけるデータセンターやクラウドサービスプロバイダが増えていることも重なり、企業による事業展開上の影響は軽微のようだ。
【個人情報保護法の制定】
インドネシアは元来、個人情報の共有・公開に関しては寛容性が高いとされる。背景として人的ネットワーク構築や日常活動の利便性など情報公開によるメリットを享受できる機会に比べ、情報流出リスクは軽視される傾向にあるようだ。一方で、近年スマホや電子決済の普及により、企業や個人情報漏えいに伴う弊害やリスクが深刻化してきており、産業界や個人間で企業・個人の情報保護の必要性が益々高まっている。現状、個人情報保護に関する法規制は業種ごとや対象別に部分的に規定されるものを含め32もの法規則が存在する。分かりにくさに加え、罰則規定は限定的、さらに規制当局による取締りも厳しくないため、個人情報保護の法制枠組みは脆弱という指摘が多い。このような中、個人情報を含むデータ保護について規定するデータ保護法案(DPL)が審議中である。
インドネシア国内の業界団体では加盟企業・団体数が最も多く歴史あるKADINが政府と民間セクターの橋渡し役として様々な活動を行う。業界を超えたデジタル化の取り組みやデジタル産業に関する知識啓蒙やイベントを頻繁に開催しているほか、各種企業を代表する社長等で構成される傘下の委員会でもデジタル分野振興におけるビジネス上の課題や規制等に関する議論が活発に行われているようである。加盟企業による最近の関心事はデータの分類についてや個人情報保護の実践方法とされる。
2. 産業・企業への影響
【データローカライゼーションへの企業の反応・対応】
2012年の政府規則82号により、データセンターの国内設置義務が課されてきたが、2019年10月には規制緩和となる改正令71号が発令された。このような中、政府機関、業界団体、企業(日系含む)からは下記のような意見が聞かれた。
⟨肯定的意見⟩
• 金融等の一部の業種を除き、民間企業に対しては国外にデータを保存することが可能となったため、規制緩和は歓迎である。特に新規で進出する企業にとっては恩恵が大きいだろう。ただし、すでに政府規則82号を受け、既進出企業の多くはクラウド等を利用し、国内にデータを保存する体制を進めているため、規制緩和されても、改めて国外にデータを移す企業は限定的だろう。(日系企業、業界団体)
• インドネシアにはデータ・情報分析の専門家が少ないため、サーバーを国外(例:シンガポール)に置きたい企業には望ましいだろう。(日系企業)
• インドネシアの通信環境は著しく改善してきている。さらに、インドネシアは市場規模が大きく、島国であるため、自国内にデータセンターを設置するメリットは大きい。(政府機関、日系企業)
⟨否定的意見⟩
• 金融事業者へのOJK規制は継続する見込みであり、引き続き国内にデータ保管を行う必要がある。(日系企業)
• 国内のクラウドサービスは国際競争力が低く、海外で保管が許可されれば、多くの企業がデータを海外に移転してしまう可能性があり、インドネシア国内のデータセンター事業、クラウドサービス事業は打撃を受けかねない。(地場企業)
【データ保護法案への企業の反応】
個人情報保護に関する法規制は32にも上り、分かりにくさに加え、罰則規定は限定的、さらに規制当局による取締りも厳しくないため、個人情報保護の法制枠組みは脆弱である。このため、デジタルエコノミーの進展も受け、包括的な個人情報保護の必要性が認識されたことから、政府内では2012年ごろから議論が進められてきた。GDPRをベースとしたデータ保護法案が現在国会で審議されている。政府機関、業界団体、企業(日系含む)からは下記のような意見が聞かれた。
⟨肯定的意見⟩
• 既存法規則では、データ流通の権利と責任が曖昧である。データ流通で問題が発生した時にデータプロセッサの責任を問う規制が存在しない。欧州ではコントローラとプロセッサの責任が明確に定義されている。(業界団体)
• 地場企業の中でも、欧米と取引がある企業を中心にGDPRに伴う訴訟リスク等を警戒して個人情報保護への対応を行う企業が増えている。日系企業は本社に倣って導入しているため、影響は限定的と考える。(日系企業)
⟨否定的意見⟩
• 日系企業のマネジメント層は個人情報保護の意識はあるが、そのために予算を組んで手当するまでに至っていない印象だ。特に製造業などは扱う個人情報が少ないため、厳しい規制になると対応コストの負担が大きくなる。(日系企業)
