ナイジェリア NDPR: データ保護規則の遵守

ナイジェリアはアフリカ最大の経済規模と最も人口の多い国であり、アフリカ大陸全体の企業にとって重要な市場となっています。ナイジェリアのデータ保護フレームワークは、2019 年 1 月に国家情報技術開発庁 (NIITDA) によって発行されたナイジェリア データ保護規則 (NDPR) から、2023 年 6 月 14 日に署名されたナイジェリア データ保護法 2023 年データ保護法 (NDPA) まで、大幅な発展を遂げました。この法律は、独立したデータ保護機関としてナイジェリア データ保護委員会 (NDPC) を設立し、データ保護を法定法律に引き上げました。

ナイジェリアで事業を展開する組織、従業員、または顧客を抱える組織にとって、NDPR (移行期のコンプライアンスに引き続き関連する) と新しい NDPA 2023 フレームワークの両方を理解することが不可欠です。

重要なポイント

• 2023 年ナイジェリアデータ保護法 (NDPA) が NDPR に取って代わり、独立した監督機関として NDPC を設立
• NDPA は、ナイジェリアおよびナイジェリア人に商品/サービスが提供される場合やナイジェリア人の個人の行動が監視される域外における個人データの処理に適用されます。
• 消費者データの主な根拠として同意を伴う、処理のための 6 つの法的根拠が存在します。
• 機密性の高い個人データ (健康、生体認証、人種、宗教、政治的意見、性的指向) には、限られた例外を除いて明示的な同意が必要です
• 「データ処理者」および「重要なデータ管理者」には、監査およびコンプライアンス提出要件を含む特定の追加義務が課されます。
• 国境を越えた転送制限には、十分性、適切な保護措置、または同意が必要です
• NDPC は、一般的な違反に対して、年間総収益の 2% または ₦1,000 万のいずれか高い方の罰金を課すことができます。重大な違反には最高₦5,000万
• すべてのデータ管理者は、NIITDA 認定の監査人によるデータ保護監査を毎年実施する必要があります

---

ナイジェリアのデータ保護フレームワーク

NDPR から NDPA へ

NDPR 2019 (ナイジェリア データ保護規則): 正式な議会法ではなく、NIITDA の権限に基づいて発行されました。ナイジェリア居住者の個人データを扱う自然人および団体に適用されます。基本的なデータ保護原則、個人の権利、および NITDA 認可を受けた監査人による必須の年次監査を含むコンプライアンス要件を確立しました。

NDPA 2023 (ナイジェリアデータ保護法): 国会によって制定され、2023 年 6 月 14 日に大統領によって署名されました。独立した法定機関として NDPC を設立します。データ保護義務を主要な法律に引き上げます。新しい権利と義務を導入します。 GDPRとより緊密に連携します。 NDPR の矛盾する規定に優先します。

移行: NDPC は、移行期間中も NDPR 遵守メカニズムとガイダンスが引き続き適用されることを示しています。 NDPR に準拠していた組織は、追加の義務について NDPA を検討する必要があります。

NDPA の範囲

NDPA は以下に適用されます。

1. ナイジェリアにおける個人データの処理
2. 処理が行われる場所に関係なく、ナイジェリアの事業体による個人データの処理
3. ナイジェリアの個人に商品/サービスが提供される場合、またはナイジェリアの個人の行動が監視される場合の海外法人による処理

---

キーの定義とデータ カテゴリ

個人データ: 識別可能な個人に関するあらゆる情報。名前、識別番号、位置データ、または身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的アイデンティティに特有の 1 つ以上の要素を参照することによって、直接的または間接的に識別できるもの。

機密性の高い個人データ (NDPA のスケジュール 1): 高度な保護と明示的な同意が必要です。カテゴリには次のものが含まれます。

• 遺伝的または生体認証データ
• 健康または医療記録
• 人種または民族的出身
• 宗教的または政治的信念
• 労働組合への加入
• 性的指向または性的活動
• お子様に関するデータ

児童データ: 児童 (ナイジェリア法では 18 歳未満の個人と定義される) のデータには特別な保護が適用されます。子供の個人データを処理するには、親または保護者の同意が必要です。子供向けのオンライン サービスには、検証された保護者の同意メカニズムを実装する必要があります。

---

処理の法的根拠

NDPA の第 25 条では、次の 6 つの法的根拠を定めています。

1. 同意: 自由に与えられ、具体的で、情報に基づいた、明確な同意の表示。不利益を及ぼすことなく、いつでも引き出し可能でなければなりません。

2. 契約: データ主体との契約の履行、または契約締結前にデータ主体の要求に応じて措置を講じるために必要な処理。

3. 法的義務: 管理者の法的義務を遵守するために必要な処理。

4. 重大な利益: データ主体または他者の重大な利益を保護するために必要な処理。

5. 公益: 公益のために実行されるタスクの実行、または管理者に与えられた公的公的権限の行使に必要な処理。

6. 正当な利益: データ主体の基本的な権利および自由によって優先される場合を除き、管理者または第三者によって追求される正当な利益の目的に必要な処理。 (注: 公的機関がその任務を遂行する際に、この根拠に依存することはできません。)

同意要件: 各処理目的に固有である必要があります。自由に与えられます（必須ではない処理への同意に関する契約の条件はありません）。記録され実証可能。与えるのと同じくらい簡単に撤回できます。事前にチェックが入ったボックス、沈黙、または非アクティブな場合は、有効な同意とはみなされません。

---

データ主体の権利

NDPA は、管理者から不当な遅延なく行使できる以下の権利を個人に付与します。

対応スケジュール: NDPA は「不当な遅延なく」対応することを求めています。NDPC ガイダンスでは、合理的な標準として 30 日を示していますが、最初の 30 日以内にデータ主体に通知された場合、複雑な要求の場合は 60 日まで延長されます。

---

コントローラーの義務

プライバシーに関する通知

管理者は、プライバシー情報を収集時または収集前に提供する必要があります。

• 管理者の身元と連絡先の詳細
• データ保護責任者の連絡先詳細 (該当する場合)
• 処理の目的と法的根拠
• 個人データの受信者または受信者のカテゴリー
• 第三国への移転と保障措置
• 保存期間またはその決定基準
• データ主体の権利とその行使方法
• 同意を撤回する権利（同意が基礎となる場合）
• NDPC に苦情を申し立てる権利

言語: ナイジェリアでの事業に関するプライバシー通知は英語 (ナイジェリアの公用語) で行う必要があり、非英語圏の人口が多い地域の消費者向け製品については、現地語の翻訳を含める必要がある場合があります。

データ保護責任者 (DPO)

NDPA では、以下の場合に DPO の任命が必要です。

• 重要なデータ管理者または処理者 (毎月 10,000 人を超えるデータ主体のデータを処理する者、または中核的な活動として機密データを処理する者として定義されます)
• 公的機関

DPO の責任:

• データ保護義務についての情報提供とアドバイス
• NDPA および内部ポリシーへの準拠を監視する
• データ主体とNDPCの連絡窓口として機能する
• NDPCの調査に協力する

年次データ保護監査

ナイジェリアの最も特徴的なコンプライアンス要件の 1 つ: すべてのデータ管理者は、年次データ保護監査を実施し、NDPC (NDPR の下では以前の NITDA) に提出する必要があります。監査は、NIITDA 認可を受けたデータ保護コンプライアンス組織 (DPCO) によって実施される必要があります。 DPCO は、管理者のデータ保護慣行、コンプライアンスのギャップ、修復の推奨事項を網羅した監査レポートを発行します。これは毎年 NDPC に提出する必要があります。

監査範囲の対象範囲:

• データインベントリとフローマッピング
• 法的根拠のある文書
• プライバシー通知の適切性
• セキュリティ対策
• データ主体の権利手続き
• 国境を越えた転送のコンプライアンス
• 違反通知手順
• スタッフのトレーニング

費用: 監査料金は DPCO によって異なります。組織の規模と複雑さに応じて、₦500,000 ～ ₦5,000,000+ が見込まれます。

データ保護影響評価 (DPIA)

セクション 30 では、以下を含む高リスクの処理活動に対して DPIA が義務付けられています。

• 自動処理、プロファイリング、予測を使用した個人的側面の体系的な評価
• 機密性の高い個人データの大規模な処理
• 公共のアクセス可能なエリアの大規模な体系的な監視

---

セキュリティ要件

NDPA の第 38 条では、リスクに応じた技術的および組織的なセキュリティ対策が求められています。 NDPC と NITDA は、以下を指定する技術ガイダンスを発行しました。

最小限の技術的対策:

• 保管および送信時の個人データの暗号化 (送信には TLS、機密データには AES-256)
• 認証と最小限の権限によるアクセス制御
• 可能な場合は仮名化
• システム監査証跡とアクセスログ
• 定期的なセキュリティテスト (少なくとも年に一度)
• インシデントの検出と対応機能
• 安全なバックアップとリカバリ

最小限の組織的対策:

• 文書化されたプライバシーおよびセキュリティ ポリシー
• データ保護義務に関するスタッフのトレーニング
• データ分類フレームワーク
• ベンダー/プロセッサのセキュリティ評価
• データ処理施設の物理的セキュリティ管理

---

国境を越えたデータ転送

NDPA のセクション 43 は、ナイジェリア国外への個人データの転送を制限しています。許可されるメカニズム:

1. NDPC の適切性に関する決定: 適切なデータ保護が行われていると NDPC によって判断された国への移転
2. 適切な保護措置: データ主体に法的強制力のある権利を提供する以下のような保護措置の下での転送。

• 公的機関間の法的拘束力のある文書
• 拘束力のある企業ルール
• NDPC によって承認された標準契約条項
• 拘束力のある認証メカニズム

3. 明示的な同意: 提案された転送、リスク、および適切な決定や保護措置の欠如についてのデータ主体のインフォームドコンセント
4. 契約の必要性: データ主体と管理者の間の契約に必要な転送
5. 重要な利益: 同意が得られない場合の重要な利益の保護
6. 公益：重要な公益のために必要な譲渡

NDPC の十分性の決定: 欧州委員会は、その十分性の枠組みを開発中です。 2026 年初頭の時点で、正式な十分性に関する決定は公表されていません。標準契約条項は、十分性フレームワークが成熟するまでの日常的な国境を越えた移転に推奨されるメカニズムです。

---

違反通知

NDPA の第 40 条では、個人データ侵害の通知を義務付けています。

NDPC への通知: 個人の権利と自由に対するリスクをもたらす可能性のある違反に気づいてから 72 時間以内。

影響を受ける個人への通知: 侵害により権利と自由が高いリスクにさらされる可能性がある場合は、不当な遅滞なく。

NDPCへの通知内容:

• 侵害の性質とカテゴリ/影響を受けるデータ主体のおおよその数
• 影響を受ける個人データ記録のカテゴリーとおおよその数
• DPO の連絡先詳細
• 侵害によって起こり得る影響
• 悪影響を軽減するための措置を含む、違反に対処するために講じられた、または提案された措置

文書化: すべての違反（通知が必要ないものを含む）は、事実、影響、是正措置とともに社内で文書化する必要があります。

---

NDPC の施行と罰則

ナイジェリア データ保護委員会 (NDPC) は、NDPA 2023 に基づいて設立された独立政府機関です。権限には次のものが含まれます。

• 苦情の受付と調査
• 監査の実施（計画的および非通知）
• コンプライアンス通知の発行
• 行政制裁の発動
• 刑事違反を司法長官に通報する

行政罰:

刑事罰: NDPA は、個人データの不法取引を含む特定の違反に対する刑事責任を規定しています。 NDPA 第 48 条は、懲役を含む刑事罰を規定しています。

NIITDA 執行履歴: NDPR に基づき、NIITDA は次の罰金を課しました: Spenmo Technologies (₦1,000 万)、Julius Berger Nigeria (₦1,000 万)、Integrated Corporate Services Limited (₦400 万)。これらは、ナイジェリアで活動する国内企業と国際企業の両方に及ぶ積極的な執行を示しています。

---

NDPA 準拠チェックリスト

• NDPA の適用が確認されました (ナイジェリアの事業、ナイジェリアの顧客/従業員)
• 個人データの目録が完了しました
• 機密個人データが特定されました — 明示的な同意が得られました
• 子供のデータが特定 — 親の同意メカニズムが実装
• すべての処理アクティビティについて文書化された法的根拠
• 必要な開示をすべて英語で作成したプライバシー通知
• 必要に応じて DPO が任命される (1 か月あたり 10,000 件以上のデータ主体または機密データのコア活動)
• NITDA 認可を受けた DPCO と計画された年次データ保護監査
• データ主体の権利手順を文書化
• 国境を越えた移転評価が完了 — SCC またはその他のメカニズムが導入されている
• セキュリティ対策が実装されています (暗号化、アクセス制御、監査ログ)
• DPIAは高リスクの処理活動に対して実施されました
• 違反通知手順を文書化 (72 時間の NDPC 通知)
• NDPA 義務に関する従業員トレーニングを完了
• 処理者契約 (データ処理契約) の確認と更新

---

よくある質問

NDPA 2023 が制定された今でも NDPR は有効ですか?

NDPA 2023 は、NDPR の矛盾する規定に優先します。ただし、NDPC は、移行期間中も NDPR ガイダンスとコンプライアンスのメカニズムが引き続き適用されることを示しています。重要なのは、NDPR の最も特徴的な機能の 1 つである年次監査要件が NDPA でも継続されることです。 NDPR に基づいてコンプライアンス プログラムを構築した組織は、特にデータ主体の権利、機密データ、国境を越えた転送、および DPO 要件に関する新規または強化された義務について NDPA を検討する必要があります。

データ保護コンプライアンス組織 (DPCO) とは何ですか?なぜ必要ですか?

DPCO は、データ保護監査およびコンプライアンス サービスを提供するために NITDA/NDPC からライセンスを取得した組織です。ナイジェリアの法律で義務付けられている年次データ保護監査は、認可を受けた DPCO によって実施される必要があります。自己評価だけでは要件を満たしません。 DPCO は、お客様のデータ保護慣行をレビューし、コンプライアンスレポートを発行し、お客様に代わって NDPC に監査を提出します。認可された DPCO のリストは、NIITDA および NDPC の Web サイトで入手できます。ナイジェリアで事業を展開する海外企業にとって、年次監査義務を果たすためには DPCO の関与が不可欠です。

「重要なデータ管理者」とは何を意味し、追加の義務は何ですか?

重要なデータ管理者は、毎月 10,000 人を超えるデータ主体の個人データを処理する者、または中核的な活動として機密の個人データを処理する者として定義されます。これらの組織に対する追加の義務には、DPO の任命の義務、NDPC への登録 (VERBİS タイプのレジストリとは別)、強化された年次監査要件、および追加のコンプライアンス提出の可能性が含まれます。中規模および大規模の電子商取引企業、金融サービス会社、医療プラットフォーム、通信事業者は、重要なデータ管理者として認定される可能性があります。

ナイジェリアの NDPA は GDPR とどう違うのですか?

NDPA は、その構造と内容において GDPR を大きく活用しています。つまり、6 つの法的根拠、同じカテゴリーの機密データ (さらに生体認証と遺伝データ)、同様のデータ主体の権利、DPO 要件、DPIA 義務、違反通知などです。主な違い: (1) ナイジェリアの必須の年次外部監査には、GDPR に相当するものはありません。 (2) NDPC の十分性の決定は、EU 委員会の十分性の枠組みほど開発されていません。 (3) ナイジェリアの執行インフラはより新しく、まだ発展途上である。 (4) NDPA の罰金は一般に、大企業に対する GDPR の上限より絶対額で低くなります。 (5) ナイジェリアの国境を越えた送金ルールは GDPR と同様に構成されていますが、具体的なメカニズムは実装において異なります。

NDPA は海外で事業を展開するナイジェリア企業にも適用されますか?

はい。 NDPA は、処理が行われる場所に関係なく、ナイジェリアの事業体に適用されます。オフショア クラウド インフラストラクチャ、海外子会社、または国際事業を展開するナイジェリア企業は、ナイジェリア人の個人データの処理に関して引き続き NDPA の対象となります。逆に、ナイジェリア国内でナイジェリア人のデータを処理したり、ナイジェリア人に商品やサービスを提供したりする海外の事業体も、NDPA の域外規定の対象となります。これにより、ナイジェリアの多国籍企業には、ナイジェリアのデータに対する NDPA への準拠と、事業を展開する各国の法律への準拠という二重の義務が課せられます。

---

次のステップ

ナイジェリアのデータ保護環境は急速に成熟しており、NDPA 2023 によってより強力な法的枠組みが確立され、NDPC が執行能力を構築しています。ナイジェリアで事業を展開する企業にとって、地元企業であろうとナイジェリア市場にサービスを提供する国際企業であろうと、NDPA と NDPR の継続的な要件の両方を満たす包括的なコンプライアンス プログラムを構築することが不可欠です。

ECOSIRE は、アフリカで事業を展開する企業がナイジェリアの NDPA コンプライアンス要件を遵守し、設計によるデータ保護を実装し、NDPC で要求されるガバナンス フレームワークを確立するのに役立ちます。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。ナイジェリアのデータ保護フレームワークは、NDPC がガイダンスと規制の実施を発行するにつれて進化しています。あなたの組織に特有のアドバイスについては、資格のあるナイジェリアの法律顧問にご相談ください。