ASEANデータプライバシー法比較2026

📅 2026年3月22日更新 ⏱ 約1分で読めます

✅ 情報源: 各国データ保護当局（2026-03-22確認）

この記事のポイント

ASEAN主要国は全て個人情報保護法を制定済み（カンボジア・ミャンマー・ラオスは整備中）
シンガポールのPDPA、タイのPDPA、インドネシアのPDP法が最も厳格
越境データ移転規制は国により大きく異なり、ビジネスに直接影響
違反時の罰則は最大シンガポールSGD100万（約1億円）

📌 本記事は2026年3月時点の各国公式情報に基づいています。

ASEAN データプライバシー法一覧

国	法律名	施行年	監督機関
シンガポール	PDPA	2014年	PDPC
マレーシア	PDPA 2010	2013年	JPDP
タイ	PDPA	2022年（完全施行）	PDPC
ベトナム	PDPD（Decree 13）	2023年	公安省
インドネシア	PDP法	2024年（完全施行）	情報通信省
フィリピン	DPA 2012	2016年	NPC

主要規制の比較

項目	SG	MY	TH	VN	ID	PH
同意取得義務	○	○	○	○	○	○
DPO任命義務	○	△	○	○	○	○
越境移転制限	△	○	○	○	○	△
データ侵害通知	○	△	○	○	○	○
忘れられる権利	△	△	○	△	○	△
GDPR準拠度	高	中	高	中	高	中

越境データ移転規制

国	規制内容
シンガポール	移転先が同等の保護水準を提供することを確認
マレーシア	大臣が指定した国のみ移転可（ホワイトリスト制）
タイ	移転先が十分な保護基準を有すること、本人同意
ベトナム	影響評価報告書の作成・公安省への提出が必要
インドネシア	移転先が同等以上の保護水準であること
フィリピン	契約上の保護措置またはNPCの承認

罰則の比較

国	最大罰金	懲役
シンガポール	SGD100万（または年間売上10%）	—
マレーシア	RM50万	3年以下
タイ	THB500万	1年以下
ベトナム	VND1億	—
インドネシア	年間売上2%	5年以下
フィリピン	PHP500万	6年以下

日本人が知っておくべき注意点

日本のAPPI（個人情報保護法）との関係: 日本から ASEAN各国にデータを移転する場合、APPIの越境移転規制にも準拠が必要
CBPR（越境プライバシー規則）: APEC CBPRに参加している日本・シンガポール・フィリピン間はデータ移転が円滑
クラウドサービスの利用: データの保存先サーバーの所在地によっては越境移転規制に抵触する可能性
従業員データ: 駐在員のデータも各国のデータプライバシー法の対象

よくある質問（FAQ）

Q: 日本のAPPIに準拠していればASEAN各国でも問題ないですか？ A: いいえ、各国の法律は独自の要件を持っています。APPIだけでは不十分です。

Q: DPO（データ保護責任者）は現地に置く必要がありますか？ A: 国によります。タイ、インドネシアでは現地在住のDPO任命が推奨されています。

Q: データ侵害が発生した場合、何日以内に通知が必要ですか？ A: シンガポール3営業日、タイ72時間、フィリピン72時間が目安です。

Q: 中小企業でもデータプライバシー法の対象ですか？ A: はい、個人データを取り扱う全ての企業が対象です。一部の国では中小企業向けの簡素化措置があります。

Q: eコマースでASEAN各国の顧客データを扱う場合、どの国の法律が適用されますか？ A: 原則として顧客が所在する国の法律が適用されます。複数国の法律に同時に準拠する必要があります。

まとめ：自分でできること vs 専門家に相談すべきこと

自分でできること:

✅ 自社が取り扱う個人データの棚卸し
✅ プライバシーポリシーの整備
✅ 各国のデータ保護当局ウェブサイトの確認

専門家に相談すべきこと:

🔍 越境データ移転影響評価の実施（データプライバシー弁護士）
🔍 各国法への準拠体制の構築
🔍 データ侵害時の対応計画の策定

ASEAN データプライバシー個人情報保護法規制比較

※ この記事の情報は2026年3月22日時点のものです。最新情報は各国政府の公式サイトをご確認ください。当サイトは情報提供を目的としており、法的助言を行うものではありません。