Compliance & Regulationシリーズの一部
完全ガイドを読むサウジアラビアPDPL: 個人データ保護コンプライアンス
サウジアラビアの個人データ保護法 (PDPL) は、2021 年 9 月 16 日に国王令 M/19 によって制定され、2023 年 9 月 17 日に発効し、サウジ初の包括的なデータ保護法となります。サウジデータ人工知能庁(SDAIA)が管理するPDPLは、サウジ居住者の個人データを処理する組織に適用され、サウジ市場で活動またはサウジ市場にサービスを提供する企業に重大な影響を及ぼします。
PDPL には、技術的および組織的措置、データ主体の権利プロセス、および国境を越えたデータ転送条件に関する詳細な要件を規定する実施規則 (2023 年 3 月に SDAIA によって発行) が付属していました。違反した場合、刑事違反として最大 500 万ランド (133 万米ドル) の罰金と 1 年の懲役が科される可能性があります。
重要なポイント
- サウジPDPLは、処理主体の所在地に関係なく、サウジアラビアにおける個人の個人データのあらゆる処理に適用されます。
- 処理のための 8 つの法的根拠が存在します。同意は明示的、具体的、情報に基づいた、検証可能でなければなりません
- 機密データ (健康、遺伝、信用、犯罪歴、生体認証、性的指向) には明示的な同意または特定の法的例外が必要です
- 国境を越えた転送には SDAIA の承認または特定の保護措置が必要です - データのローカリゼーションはコンプライアンスの重要な課題です
- データ主体の権利には、アクセス、修正、削除、移植性、異議申し立てが含まれます - 30 日間の応答タイムライン付き
- 機密データを大規模に処理する特定の組織には DPO の任命が必須です
- SDAIA は最大 500 万ランドの罰金を課す可能性があり、規制権限にはデータ処理の停止が含まれる
- PDPL は、サウジ中央銀行 (SAMA) およびその他の規制当局によるセクター固有の規制と並行して適用されます。
PDPL の範囲と適用性
遵守すべき人
サウジアラビアの PDPL (Royal Decree M/19 of 1443 AH / 2021) は以下に適用されます。
- サウジアラビアでの処理: サウジアラビア領土内で個人データを処理するあらゆる事業体
- サウジアラビア居住者のデータの処理: サウジアラビアに居住する個人の個人データを処理するサウジアラビア国外の事業体
- サウジベースの目的での処理: サウジアラビアの個人への商品またはサービスの提供に関連する処理
この域外の範囲は、サウジアラビアの顧客にサービスを提供する国際企業 (e コマース プラットフォーム、SaaS プロバイダー、デジタル サービスなど) が PDPL に準拠する必要があることを意味します。
主要な定義:
- 個人データ:氏名、暗証番号、住所、連絡先、その他個人を特定するデータを含み、具体的に個人の識別につながる、または識別することができるデータ
- 機密個人データ: 健康データ、遺伝データ、信用および財務データ、特別な支援が必要な個人に関連するデータ、犯罪歴、生体認証データ、人種または民族の起源を明らかにするデータ、宗教的信念、および性的指向を含む私生活に関連するデータ
免除
PDPL は以下には適用されません。
- 安全または司法目的で政府当局が保有する個人データ
- 死亡者のデータ(近親者の権利規定なし)
- 個人または家族の目的で処理される個人データ
- 再識別が不可能な方法でデータが匿名化される
処理の法的根拠
PDPL 実施規則は、個人データを処理するための法的根拠を確立します。管理者は、各処理活動に適用される法的根拠を文書化する必要があります。
| 法的根拠 | 説明 |
|---|---|
| 同意 | データ主体の明示的な同意 — 無料、具体的、情報に基づいた、検証可能 |
| 契約 | データ主体との契約履行に必要な処理 |
| 法的義務 | 法的または規制上の義務の遵守 |
| 重要な利益 | データ主体の生命または健康の保護 |
| 公益 | 公共の利益のために業務を遂行する |
| 正当な利益 | 管理者の利益が正当であり、データ主体の権利とバランスがとれている場合 |
| 研究と統計 | 適切な保護措置を講じた科学研究または統計目的のため |
| 法的権利の保護 | 法的請求の確立、行使、または防御 |
PDPL に基づく同意要件:
- 明示的かつ処理目的に固有である必要があります
- 他の同意書と同梱することはできません
- 専門用語を使わず、平易な言葉で書かれている必要があります
- 撤回は同意を与えるのと同じくらい簡単でなければなりません
- 同意の記録は保存しなければなりません
- マーケティングと広告には個別の明示的な同意が必要です
機密データ: 処理には明示的な同意が必要です またはは、法的義務、データ主体または他者の重大な利益の保護、医療上の機密保持義務を伴う医療上の必要性、法的手続きに関連した処理、または適切な保護手段を備えた科学研究のいずれかに該当します。
データ主体の権利
PDPL は、一般的な 30 日間の応答期間 (通知によりさらに 30 日間まで延長可能) として、データ主体に次の権利を付与します。
通知を受ける権利: データ主体は、データ収集前またはデータ収集時に、処理アクティビティについて知らされる必要があります。管理者は、身元と連絡先の詳細、目的、法的根拠、データのカテゴリー、保存期間、データ主体の権利、国境を越えた転送情報を開示する必要があります。
アクセス権: データ主体は、自分のデータが処理されているかどうかの確認を要求し、コピーを取得することができます。返答は 30 日以内に行う必要があります。 12 か月ごとに 1 部無料(追加のコピーには料金がかかります)。
修正の権利: データ主体は、不正確または古い個人データの修正を要求できます。
消去する権利: データ主体は、目的が達成された場合、同意が撤回された(他の法的根拠がない)場合、データが違法に収集された場合、または法的義務により削除が必要な場合に削除を要求できます。例外には、法的保持義務、法的権利の行使、および公益調査が含まれます。
移植性の権利: データ主体は、別の管理者に送信するために構造化された機械可読形式でデータを要求できます。
異議を唱える権利: データ主体は、正当な利益に基づいて処理に異議を唱えることができます (管理者は、データ主体の利益を無効にする説得力のある正当な理由を証明する必要があります)。
自動化された意思決定を制限する権利: データ主体は、重要な自動化された意思決定について人間によるレビューを要求できます。
コントローラーとプロセッサーの義務
プライバシー通知の要件
管理者は、以下をカバーする明確でアクセス可能なプライバシー通知を提供する必要があります。
- 団体名と連絡先情報
- 収集される個人データのカテゴリー
- 処理の目的と法的根拠
- データの使用、開示、転送方法
- データの保存期間
- データ主体の権利とその行使方法
- 国境を越えた送金に関する情報
- DPO の連絡先情報 (任命されている場合)
サウジを拠点とする事業の場合、プライバシーに関する通知は アラビア語 である必要があります (翻訳要件はサウジの消費者にサービスを提供する企業に適用されます)。
データ保護責任者 (DPO)
PDPL 実施規則では、以下の場合に DPO の任命が義務付けられています。
- 機密の個人データを大規模に処理する管理者
- データ主体の大規模で体系的な監視を実行する管理者
- 公的機関(例外あり)
DPO は次のことを行う必要があります。
- データ保護と情報セキュリティに関する専門知識を持っている
- 上級管理職に直接報告する
- SDAIA とデータ主体の連絡窓口として機能する
- PDPLへの準拠を監視する
- DPIA に関するアドバイスを提供する
DPO の連絡先の詳細は、プライバシー通知で開示する必要があります。
データ保護影響評価 (DPIA)
実施規則では、データ主体に高いリスクをもたらす可能性のある次のようなアクティビティを処理する前に DPIA を義務付けています。
- 機密データの大規模な処理
- データ主体の体系的なプロファイリング
- 新たな技術を用いた加工
- 大規模な子供のデータの処理
DPIA 文書は保存し、要求に応じて SDAIA が利用できるようにする必要があります。
セキュリティ要件
管理者は、データの機密性と処理のリスクに見合った次のような技術的および組織的な対策を実装する必要があります。
- 保存および送信時のデータ暗号化
- 最小特権の原則によるアクセス制御
- 個人データへのアクセスに関する監査ログ
- 定期的なセキュリティテストと脆弱性評価
- インシデント対応手順
- 個人データ システムの事業継続性と災害復旧
- ベンダーのセキュリティ評価と契約上の要件
国境を越えたデータ転送
PDPL の第 29 条は、個人データをサウジアラビア国外に転送することに重大な制限を課しています。これは、PDPL 準拠において運用上最も困難な側面の 1 つです。
許可された転送メカニズム:
- SDAIA の承認: 譲渡には SDAIA の事前承認および SDAIA が指定する条件が適用されます。
- 適切な保護: 適切なレベルのデータ保護を備えた国への移転 (SDAIA が承認リストを維持)
- 契約上の保護措置: 適切な保護を提供し、SDAIA 要件を満たす契約に基づく譲渡
- 拘束力のある企業規則: 承認された拘束力のある企業規則に基づくグループ内異動
- 同意: データ主体の明示的な、十分な情報に基づいた同意
- 契約の必要性: データ主体との契約履行のために必要な転送
- 重要な利益: 同意が得られない場合に重要な利益を保護するために必要な譲渡
- 公益: 適切な保護手段を備えた公益のために必要な移転
データ ローカライゼーションに関する考慮事項: SAMA (サウジアラビア通貨庁)、通信宇宙技術委員会 (CST)、保健省によるセクター固有の規制により、金融、電気通信、医療データに対してデータ ローカライゼーション要件が課されています。クラウドプロバイダーは、特定の規制されたデータカテゴリのためにサウジアラビア内にデータセンターを維持する必要があります。
実際的な影響: サウジアラビアで事業を展開している多くの多国籍企業は、複雑な国境を越えた転送コンプライアンスを回避するために、サウジアラビアを拠点とするクラウド リージョン (AWS、Azure、Google Cloud から利用可能) を使用したデータ常駐ソリューションを導入しています。
違反通知
PDPL の第 20 条では、管理者は、データ主体の権利または利益にリスクをもたらす侵害を発見してから 72 時間以内に個人データ侵害について SDAIA に通知する必要があります。
必須の侵害通知コンテンツ:
- 侵害の性質と状況
- 影響を受けるデータ主体のカテゴリとおおよその数
- 影響を受けるレコードのカテゴリとおおよその数
- DPO またはその他の連絡先の名前と連絡先の詳細
- 侵害によって起こり得る影響
- 違反に対処するために講じられた、または計画された措置
データ主体への通知: 侵害がデータ主体の権利または自由に高いリスクをもたらす可能性がある場合、不当な遅滞なく必要となります。通知には、何が起こったのか、どのデータが影響を受けたのか、データ主体が身を守るために講じることができる手順、さらなる問い合わせのための連絡先情報を含める必要があります。
SDAIA の施行と罰則
規制権限
SDAIA は PDPL の下で広範な規制権限を持っています。
- ガイダンスおよび規制の発行
- データ主体からの苦情の調査
- データ管理者の監査の実施
- 行政制裁の発動
- PDPLに違反する処理アクティビティの一時停止
- 刑事違反を検察に送致する
罰則
行政罰:
- データ主体の権利または管理者の義務の違反に対する最高 100 万 SAR (267,000 米ドル) の罰金
- 機密の個人データに関わる違反に対しては、最高 500 万ランド (133 万米ドル) の罰金
- 国境を越えた送金違反には最高 500 万ランドの罰金
- 2年以内に違反を繰り返すと罰金が2倍になる可能性がある
刑事罰:
- 許可なく機密データを開示または公開した場合: 2 年以下の懲役および/または 300 万ランド以下の罰金
- 国益を損なうためにサウジアラビア国外にデータを転送する場合: 1年以下の懲役および/または100万SAR以下の罰金
一般公開: SDAIA は、サウジアラビアの集中ビジネス市場における評判に重大な影響を与える違反および制裁に関する情報を公開する場合があります。
サウジの他の規制との相互作用
SAMA サイバーセキュリティ フレームワーク
サウジ中央銀行 (SAMA) は、SAMA の規制対象となるすべての事業体 (銀行、保険会社、金融会社) に適用される独自のサイバーセキュリティ フレームワーク (SAMACF) を持っています。フレームワークには次のものが含まれます。
- PDPL に準拠したデータ分類と保護要件
- インシデント対応と通知の要件
- 第三者のリスク管理義務
- クラウド サービス プロバイダーの評価要件
SAMA 規制対象の事業体は、SAMACF と PDPL の両方に準拠する必要があり、より厳格な要件が優先されます。
CST 個人データ保護規則 (電気通信)
通信・宇宙・技術委員会は、加入者データ保護、位置データ制限、通信事業者向けのデータローカリゼーションなど、通信固有のデータ保護要件を発行しました。
保健部門の規制
保健省とサウジ保健評議会は、データ共有に関する患者の同意、医療記録のデータローカリゼーション、医療情報システムの特定のセキュリティ基準、商業目的での医療データの使用制限を義務付ける医療データ保護要件を発行しました。
サウジアラビアの PDPL コンプライアンス チェックリスト
- PDPL 適用性分析完了 (域外範囲を含む)
- 個人データと機密データのインベントリが完了しました
- すべての処理アクティビティについて文書化された法的根拠
- 機密データの処理に関して別途明示的な同意を取得
- 必要なすべての開示を含むアラビア語で発行されたプライバシー通知 (サウジアラビアのユーザー向け)
- 必要に応じて DPO が任命されます。プライバシー通知の連絡先情報
- データ主体の権利手順が 30 日間の応答メカニズムとともに文書化されています
- プロセッサー契約が PDPL 要件に合わせて更新されました
- 国境を越えた移転評価が完了 — SDAIA 承認のメカニズムが整備されている
- 規制部門 (金融、医療、通信) のデータ ローカライゼーション評価
- DPIAは高リスクの処理活動に対して実施されました
- データの機密性に比例して実装されるセキュリティ対策
- 72 時間の侵害通知手順が文書化され、テストされています
- 保持スケジュールが文書化され、自動削除が構成されています
- PDPL 義務に関する従業員トレーニングが完了しました
よくある質問
サウジアラビアの PDPL はいつ施行可能になりましたか?
PDPL は 2021 年 9 月に国王令 M/19 によって制定され、その実施規則は 2023 年 3 月に公布されました。施行は法律制定から 2 年後の 2023 年 9 月 17 日に始まりました。 SDAIA は当初、準拠準備のための猶予期間を示していましたが、現在は施行が活発化しています。コンプライアンス プログラムをまだ開始していない企業は、現実の規制リスクに直面しています。
サウジアラビア国外の私のビジネスにもサウジアラビアの PDPL は適用されますか?
サウジアラビアに居住する個人の個人データを処理する場合は、はい。域外範囲は GDPR のアプローチと似ています。つまり、サウジアラビア居住者に商品やサービスを提供する場合、または何らかの目的でサウジアラビア居住者のデータを処理する場合には、PDPL が適用されます。これには、e コマース ビジネス、SaaS プロバイダー、デジタル サービス、およびサウジアラビアの従業員がいる企業 (雇用データの場合) が含まれます。
サウジアラビアにおけるデータ ローカライゼーションの要件は何ですか?
PDPL 自体は、包括的なデータのローカリゼーションを強制するものではなく、承認されたメカニズムを通じて国境を越えた転送を許可します。ただし、セクター固有の規制により、ローカリゼーションに関する重要な要件が生じます。SAMA 規制の金融機関は、顧客の財務データをサウジアラビア国内に保管する必要があります。規制対象の医療機関については、健康データをサウジアラビア国内に保存する必要があります。電気通信加入者データには特定の居住要件があります。クラウド プロバイダーの AWS、Microsoft Azure、Google Cloud はすべて、これらの要件に対処するためにサウジアラビアのクラウド リージョンを確立しています。
多国籍企業にとって、PDPL は GDPR とどのように連携しますか?
GDPR とサウジアラビア PDPL の両方の対象となる多国籍企業は、両方の枠組みを同時に満たさなければなりません。これらは同様の原則を共有していますが、詳細が異なります。PDPL の同意要件、国境を越えた転送メカニズム、侵害通知のタイムラインにはサウジ固有の要件があります。現実的な主な課題は国境を越えたデータの流れです。サウジアラビアから EU 諸国に流れるデータは、目的地で GDPR が適用されるからといって自動的にサウジ PDPL に準拠するわけではありません。各移転は PDPL のメカニズムに基づいて評価される必要があります。
SDAIA とは何ですか?また、どのような権限を持っていますか?
SDAIA (サウジ データ人工知能局) は、サウジアラビアのデータと AI の監督を担当する政府機関です。 2019 年に設立された SDAIA は PDPL を管理し、広範な規制、調査、執行の権限を持っています。指導と規制を発行し、苦情を調査し、監査を実施し、行政罰金を課し、刑事違反を検察に送致します。 SDAIA は国家データガバナンスフレームワークも管理し、サウジアラビアのデータエコノミー開発を監督しています。
次のステップ
サウジアラビアのデジタル経済の成長とビジョン 2030 の変革は、ますます厳格化する規制要件とともに重要なビジネスチャンスを生み出しています。 PDPL への準拠は、サウジ政府機関、銀行、医療機関、企業顧客と取引するための前提条件になりつつあります。
ECOSIRE は、組織が他の地域のデータ保護要件と並行してサウジの PDPL コンプライアンスをナビゲートするのに役立ちます。当社のサービスには、コンプライアンス ギャップ評価、プライバシー プログラムの設計、技術的な実装、継続的なコンプライアンス管理が含まれます。
詳細: ECOSIRE サービス
免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。サウジアラビアの PDPL 要件は、SDAIA のガイダンスと執行決定を通じて進化しています。あなたの組織に特有のアドバイスについては、資格のあるサウジアラビアの法律顧問にご相談ください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulationのその他の記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.