世界で4番目に人口の多いインドネシアで、ついに個人情報保護法案が可決された。
ジョニー情報通信相は「今日は待ちに待った歴史的な瞬間です」と述べ、この法律はテクノロジー産業におけるデータ保護基準の改善に役立ち、国のデータ保護への取り組みに対する世界的な認識を強化するだろうと付け加えた。
同法では、情報の管理・処理者(公私問わず)に対し、情報を収集・共有する許可を求め、情報を使用する理由と方法をユーザーに提供することを義務付けている。情報の管理・処理者は、ファイアウォールや暗号化システムの設定により情報のセキュリティを確保する努力が求められる。これには2年間の猶予があるが、その間におけるデータ侵害がどのように処理されるのかは不明である。
重要な個人情報保護機関については、ジョコ・ウィドド大統領直属の機関とし、個人情報保護政策の確立、法定外紛争の解決のための調整、法律の違反者に対する行政処分と罰金を課す責任を負うこととなった。
同法ではまた、罰則についても定められた。行政処分については、違反したデータ責任者に対する営業停止と非司法上の罰金で、年間収益の2%と規定された。刑事処分は、個人情報を違法に収集・使用・販売・公表したことについて裁判所で有罪判決を受けた場合、最長6年の禁錮刑が課される。
罰則について、評論家は、最近の情報漏洩事例を参照すると、国営のデータ管理者にも罰則が適応されるべきであるものの、営業停止は公共サービスを停止することを意味し、賢明な扱いとは言い難い。また、年間収益の2%の罰金に変わる方法、例えば予算2%カット等もまだ規定されていない。
曖昧さが残る個人情報保護法ではあるものの、ジョニー情報通信相が述べた通り「インドネシアで理想的な個人情報保護システムを実現するための長い道のりの第一歩」であることは確かだろう。
