東亜：ASEAN諸国の個人情報保護法（PDPA）の強化と最新動向（2026年4月21日時点）

ASEAN地域では、デジタル経済の急速な発展に伴い、個人情報保護法（PDPA）の強化が喫緊の課題となっています。各国はデータプライバシー保護と経済成長のバランスを取りながら、法改正や執行強化を積極的に進めており、2026年に入りその動きはさらに加速しています。特に、ベトナムのPDPL全面施行、マレーシアのPDPA改正による罰則強化、タイのPDPAガイドラインに関する公開協議、インドネシアのPDP法執行強化、シンガポールのNRIC利用制限、フィリピンのDPA新ガイドラインなど、具体的な進展が顕著です。

ASEAN地域全体のデータプライバシー動向と越境データフローの課題

2026年4月21日現在、ASEAN地域全体でデータプライバシー規制の成熟が進む一方で、越境データフローの円滑化に向けた地域的枠組みの構築が喫緊の課題となっています。各国が独自のPDPAを強化する中で、規制の断片化が企業にとって複雑なコンプライアンス要件をもたらしています。このような課題に対応するため、ASEANはデジタル経済協定（DEFA）の交渉を進めており、2025年10月には実質的な合意に達しました。DEFAは2026年11月にフィリピンで署名されることを目指しており、デジタル貿易ルールの調和、信頼性の高い越境データ流通の実現、ペーパーレス取引、電子商取引、サイバーセキュリティ、デジタルID、デジタル決済に関する一貫した規制枠組みの確立を目的としています。この協定は、AIや越境データ流通、サイバーセキュリティに関する共通枠組みを構築するとされています。また、ASEAN各国政府は、マレーシアが主導する越境クラウドコンピューティングに関する地域的枠組みを承認しました。この枠組みは、「信頼できるデータ回廊」を導入し、ガバナンス、規制当局のアクセス、データ保護に関する共通原則を確立することで、越境データフローの摩擦を軽減し、クラウドおよびAI投資を促進することを目指しています。しかし、規制の断片化は依然として存在し、企業は各国固有の要件への対応が求められています。

タイ：PDPAガイドラインの公開協議と執行強化

タイでは、個人情報保護法（PDPA）の執行強化に向けた動きが活発化しています。2026年3月には新たなPDPAガイドラインに関する公開協議が開始され、4月1日から2日にかけて対面セッションが開催されました。この協議は、PDPAの具体的な運用に関する企業の理解を深め、コンプライアンスを促進することを目的としています。 PDPAの執行はすでに強化されており、2025年8月には個人情報保護委員会（PDPC）が5件の個人情報侵害事案に対して行政罰金を科したと発表しました。これらの事案には、政府機関のウェブアプリケーションからの個人情報漏洩や、私立病院における医療記録の不適切な廃棄などが含まれており、合計で約2,150万バーツ（約65万4,690米ドル）の罰金が課されました。また、2025年4月13日には技術犯罪防止・鎮圧緊急勅令が施行され、サイバー犯罪対策が強化されています。PDPCは、組織の種類や規模を問わず、あらゆる業種でPDPA違反を取り締まる姿勢を示しており、違反行為に対しては最大500万バーツの行政罰金や是正措置命令を課す権限を有しています。

マレーシア：PDPA改正による罰則強化とDPO義務化

マレーシアでは、2024年の個人情報保護法（PDPA）改正法が、データプライバシー保護の枠組みを大幅に強化しました。2025年4月には罰則が引き上げられ、違反企業はより重い制裁に直面する可能性があります。この改正により、生体認証データが「センシティブ個人データ」として分類され、その処理にはデータ主体の明示的な同意が求められるようになりました。また、越境データ移転に関する新たな規則が導入され、PDPAと同等以上の保護レベルを有する国への移転が認められるようになりました。これにより、企業は越境データ移転の際に、移転先の保護水準を評価する負担が増加しています。さらに、2025年6月にはデータ保護責任者（DPO）の任命が義務化され、データ侵害が発生した際には72時間以内に監督当局への通知が求められるようになりました。データ主体には、2025年6月1日よりデータポータビリティ権の行使が認められています。これらの変更は、企業に対し、より厳格なコンプライアンス体制の構築と迅速なインシデント対応を求めています。

インドネシア：PDP法の全面施行と米国とのデータ移転合意

インドネシアでは、2022年10月17日に施行された個人データ保護法（PDP法、2022年法律第27号）が、2年間の移行期間を経て2024年10月17日に全面施行されました。これにより、インドネシアに拠点を有しない外国企業であっても、インドネシアの顧客の個人データを取り扱う場合や、海外でインドネシア人を雇用する場合にはPDP法の適用対象となります。 PDP法の実施規則の策定は現在進行中であり、2026年中には大統領の指揮監督を受ける独立したデータ保護機関（PDP機関）の設立が予定されています。この機関は、PDP法の監督と執行を担うことになります。また、2026年4月20日には、米国との関税協定がインドネシアのデータ保護法に与える影響が報じられました。米国は、貿易協定を通じて他国のデータ保護規制を緩和するよう働きかけることがあり、インドネシアのPDP法もその影響を受ける可能性があります。これは、国内のデータ保護と国際貿易協定の間の複雑な関係を示唆しており、今後の動向が注目されます。

ベトナム：PDPLの全面施行と制裁措置の準備

ベトナムでは、2026年1月1日に個人情報保護法（PDPL、法律第91/2025/QH15号）およびその詳細な施行規則である政令第356/2025/ND-CP号（政令356号）が全面施行されました。これにより、ベトナムは包括的な個人情報保護規制を導入し、企業に対するコンプライアンス要求は大幅に厳格化されています。 PDPLの主要な変更点としては、個人データの定義が「基本個人データ」と「機微な個人データ」に厳格に区分され、機微な個人データの処理にはより高いセキュリティ要件が課されることになりました。また、データ主体の明確かつ具体的な同意がデータ処理の適法性の最も重要な根拠とされており、日本法のような包括的な同意やオプトアウト方式による第三者提供は原則として認められません。越境データ移転については、影響評価報告書や移転契約書、社内ポリシーなどを整備し、移転開始から60日以内に当局へ提出することが義務付けられています。データ保護責任者（DPO）の任命も義務化されており、DPOには特定の学歴や実務経験、研修受講が求められます。中小企業に対しては一部の義務が免除される措置も含まれています。現在、PDPL違反に対する制裁に関する草案が2026年4月に政府に提出される予定であり、違反者には直前年度売上高の5%または30億ドンという巨額の行政罰金が科されるリスクがあります。また、個人データの違法な売買の場合には、違反により得た収益の10倍または30億ドンのいずれか高い方の行政罰金が科せられる可能性があります。

シンガポール：NRIC利用制限とデータ侵害への罰則強化

シンガポールでは、個人情報保護法（PDPA）の執行が強化されており、特にNRIC（National Registration Identity Card）番号の利用制限が注目されています。個人情報保護委員会（PDPC）は、民間組織に対し、2026年12月31日までに本人確認やログイン認証におけるNRIC番号の利用を段階的に停止するよう義務付けています。2027年1月1日以降、NRIC番号を認証目的で使い続ける組織に対しては、PDPCが調査や是正命令、場合によっては罰金などの制裁を強化する方針です。これは、情報漏洩やなりすまし被害のリスクを低減するための措置であり、政府機関はすでに同様の慣行を廃止しています。データ侵害に対する罰則も強化されており、2026年4月20日には、2021年のPDPA改正以降で最高額となる罰金事例が報告されました。また、2026年1月8日にはデータ侵害に対する金融罰金に関する発表があり、企業はデータ保護体制の強化を一層求められています。PDPCは、パスワード、ワンタイムパスコード、生体認証、専用IDなど、より安全な認証方法への切り替えを推奨しており、中小企業や古いITシステムを利用している事業者に対しては、技術的支援や情報提供を通じて円滑な移行を支援する方針です。

フィリピン：DPA新ガイドラインとBPO業界への影響

フィリピンでは、2012年に制定されたデータプライバシー法（DPA、共和国法第10173号）に基づき、2026年に新たなプライバシーガイドラインが施行される予定です。この新ガイドラインは、デジタル変革の加速とサイバー脅威の高度化に対応するため、より厳格なコンプライアンス、説明責任の強化、および個人データ保護の強化を企業に求めています。特に、フィリピンの主要産業の一つであるビジネス・プロセス・アウトソーシング（BPO）企業は、大量の機密性の高い顧客情報を扱うため、これらの変更に厳密に対応する必要があります。新ガイドラインでは、データ管理者およびデータ処理者に対する説明責任が強化され、データ保護に関する役割と責任の明確化、データ処理インベントリの維持、文書化された管理策による説明責任の実証が求められます。また、定期的なプライバシー影響評価（PIA）の実施が奨励され、特に新技術の導入時、越境データ移転時、機微な個人データや大規模な個人データの処理時に重要視されます。データ侵害への対応準備も強化され、迅速な侵害検出と報告、文書化されたインシデント対応手順、従業員への意識向上トレーニングが義務付けられます。 DPA改正案の進捗状況も注目されており、現在、フィリピン下院および上院でDPAの改正を目指す法案が審議中です。フィリピンのDPAは、EUのGDPRに強く影響を受けた厳格な枠組みを有しており、違反時には高額な罰金や事業ライセンスの取り消し、さらには経営幹部への刑事罰が科されるリスクも存在します。