1. PDPA の全体像 {#overview}
Personal Data Protection Act 2010 (PDPA) はマレーシアの個人情報保護法。Personal Data Protection Department (JPDP / PDP Commissioner) が所管。
適用範囲
- 商業取引における個人データ処理
- マレーシア国内の活動
- マレーシア外からのアクセスでも国内データなら対象
用語 (2024 改訂)
- Data Subject (データ主体): 個人
- Data Controller (旧 Data User): 個人データを処理する事業者
- Data Processor: Controller の指示で処理する者
2. 2024 改訂の主要変更 {#2024}
主要変更点
- DPO (Data Protection Officer) 任命義務化
- データ越境移転規制緩和 (Whitelist 廃止)
- データ侵害通知義務新設 (72 時間以内)
- データポータビリティ権
- 用語変更 (GDPR 整合)
- 罰金強化 (RM 500K → RM 1M)
DPO 任命要件
- 規模 (年間データ処理量) で必須化
- 専門知識 (PDPA、IT セキュリティ)
- 独立性 (利益相反なし)
- 連絡先公表 (ウェブサイト等)
3. 7 原則 {#principles}
PDPA 第 5-12 条が定める原則:
- General Principle: 同意なしの処理禁止
- Notice & Choice: 利用目的の明示
- Disclosure: 第三者開示制限
- Security: 技術 + 組織的セキュリティ
- Retention: 必要最小期間のみ保管
- Data Integrity: 正確性維持
- Access: データ主体のアクセス権
4. 実装ステップ {#implementation}
Step 1: データマッピング (1-3 ヶ月)
- 収集データの全棚卸し
- 保管場所、アクセス権限
- 第三者共有先
Step 2: ポリシー策定 (1-2 ヶ月)
- Privacy Policy (公開)
- Internal Data Handling Policy
- Vendor Management Policy
- Incident Response Plan
Step 3: 同意取得 (継続)
- ウェブフォーム (Opt-in)
- 既存顧客への再同意取得
- 同意ログ管理
Step 4: セキュリティ実装
- 暗号化 (静止 + 通信)
- アクセス制御
- ログ管理 + 監査
- 定期セキュリティテスト
Step 5: DPO 任命 + 研修
- 内部 or 外部委託 (RM 5K-30K/月)
- 全社員研修 (年 1-2 回)
- ベンダー監査
5. 違反 + 罰則 {#penalties}
罰金 + 刑罰 (2024 改訂後)
- 最大罰金 RM 1,000,000
- 禁錮 3 年
- 法人取締役の個人責任
主な違反例
- 同意なしのデータ処理
- 越境移転規制違反
- セキュリティ漏洩 (72h 通知違反)
- DPO 未任命
Best Practice
- Privacy by Design (システム設計時から組込)
- Data Minimisation (最小必要データ)
- Annual Audit (年 1 回監査)
- Incident Response Plan (事前訓練)
- Vendor Due Diligence
Merca 法務サポート で PDPA 監査 + DPO 委託サービス。
