UAE データ保護法: ビジネス コンプライアンス ガイド

アラブ首長国連邦は、中東で最も洗練されたデータ保護フレームワークの 1 つを開発しており、連邦、フリーゾーン、およびセクター固有の管轄区域にわたるデータ保護を管理する複数の重複する法律を備えています。 UAE の急速に成長するデジタル経済で合法的に事業を運営するには、自社のビジネスにどの法律が適用されるかを理解し、適用されるすべての制度にわたるコンプライアンスを確保することが不可欠です。

UAE の主なデータ保護法には、2021 年 9 月発効の個人データ保護に関する連邦令法第 45/2021 号 (PDPL)、DIFC データ保護法 2020 (ドバイ国際金融センターの企業向け)、ADGM データ保護規則 2021 (アブダビ グローバル マーケットの企業向け)、医療、電気通信、金融サービスを対象としたセクター固有の規制が含まれます。

重要なポイント

• UAE PDPL (連邦令法第 45/2021 号) は、UAE における個人データの処理に域外適用範囲で適用されます。
• DIFC および ADGM フリーゾーンには、GDPR をモデルとした独自の独立したデータ保護法があります
• UAE PDPL は、処理のための 8 つの法的根拠を提供します。同意と正当な利益が最も一般的に使用されます
• データ主体の権利には、アクセス、修正、削除、移植性、同意の撤回、異議が含まれます
• 国境を越えたデータ転送には、適切性の判断または適切な保護措置のいずれかが必要です
• UAE Data Office (UAEDO) は連邦監督機関です。 DIFC コミッショナーと ADGM 規制当局がそれぞれのフリーゾーンを監督
• PDPL に基づく罰則には、最高 2,000 万 AED (540 万米ドル) の罰金および特定の違反に対する懲役が含まれます。
• 医療データ、財務データ、生体認証データは機密データとして強化された保護を受ける

---

UAE データ保護フレームワーク: 重複する管轄区域

連邦PDPL (UAE本土)

個人データ保護に関する連邦法令第 45/2021 号 (一般に PDPL または UAE DPL と呼ばれます) は、以下に適用されます。

• UAE に居住する自然人
• 処理が行われる場所に関係なく、UAE 内または UAE 居住者に関する個人データを処理するあらゆる事業体
• UAE領土内で個人データを処理する法人

PDPL は、詳細な実装要件を規定する行政規則閣議決定第 33/2022 号によって補足されました。 UAE データ オフィス (UAEDO) は、施行、登録要件、ガイダンスの発行を監督します。

DIFC データ保護法 2020 (DP 法)

ドバイ国際金融センター (DIFC) は、英国慣習法に基づいた独自の法制度を持つ独立したフリーゾーンです。 DIFC データ保護長官によって管理される 2020 年 DIFC データ保護法は、構造と要件において GDPR を厳密に反映しています。以下に適用されます。

• 個人データを処理する DIFC 登録事業体
• DIFC内の個人のデータを処理するDIFC外部の事業体

ADGM データ保護規則 2021

アブダビ グローバル マーケット (ADGM) フリー ゾーンは DIFC と同様のアプローチに従っており、データ保護規制は ADGM 登録局によって管理されています。これらの規制は GDPR の原則にも厳密に従っています。

実際的な意味: DIFC 登録子会社と ADGM 支店を持ちドバイ本土で事業を展開している企業は、3 つの制度すべてに基づく義務に同時に直面する可能性があります。法人の構造を理解することが、コンプライアンス マッピングの出発点となります。

---

UAE PDPL: 中核的な義務

個人データの定義とカテゴリ

UAE PDPL では、個人データ とは、名前、音声、写真、識別番号、または身体的、心理的、経済的、文化的、または社会的アイデンティティに関連するその他の特徴やデータによるかどうかに関係なく、自然人の識別に直接的または間接的につながるあらゆるデータを意味します。

機密性の高い個人データ (高度な保護が必要) には次のものが含まれます。

• 家族または人種的起源に関連するデータ
• 政治的意見
• 宗教的または哲学的信念
• 犯罪歴に関するデータ
• 生体認証データ
• 健康データ
• 子供に関するデータ

機密データの処理には明示的な同意が必要であるか、特定の例外 (法的義務、医療上の必要性、重大な利益) に該当します。

処理の法的根拠

UAE PDPL の第 5 条では、8 つの法的根拠が認められています。

1. データ主体の明示的な同意
2. データ主体との 契約の締結
3. 法的義務の遵守
4. データ主体または第三者の 重大な利益の保護
5. 公益または公権力の行使
6. 管理者または第三者の 正当な利益 (データ主体の利益によって無効にされる場合を除く)
7. 法的請求の確立、行使、または防御
8. 公益のための アーカイブ、研究、または統計目的

同意要件: UAE PDPL では、同意は明示的、具体的、情報に基づいた、検証可能である必要があります。管理者は、同意が得られたことを証明できなければなりません。同意の撤回は、同意を与えるのと同じくらい簡単でなければならず、撤回時には同意に基づく処理を停止する必要があります。

データ主体の権利

UAE PDPL は、30 日 以内に履行する必要がある権利をデータ主体に付与します (正当な理由があれば延長可能)。

権利の行使: 管理者は、権利要求を受信して​​応答するための明確なチャネルを確立する必要があります。拒否は正当な理由とともに文書化する必要があります。

---

コントローラーとプロセッサーの義務

管理者の義務

UAEDO への登録: 個人データを処理する企業は、UAE データ オフィスへの登録が必要な場合があります。 UAEDO は追加の規制を通じて登録要件を策定しています。現在の要件については UAEDO のガイダンスを監視してください。

プライバシー通知: 収集時または収集前にデータ主体に提供し、以下を開示する必要があります。

• 管理者の身元と連絡先の詳細
• 処理の目的と法的根拠
• 収集される個人データのカテゴリー
• データの保存期間
• データ主体の権利とその行使方法
• 国境を越えた送金に関する情報
• データの提供が必須か任意か

データ保護責任者: UAE PDPL では、以下の目的でデータ保護責任者 (DPO) を任命する必要があります。

• 公的機関
• その中核的な活動が個人の大規模で体系的な監視を必要とするコントローラーまたはプロセッサー
• 核となる活動に機密データの大規模な処理が含まれるコントローラーまたはプロセッサー

これらの基準を満たしていない民間企業でも、ガバナンス目的で DPO を任命することで恩恵を受ける可能性があります。

セキュリティ対策: 処理の性質、範囲、状況、目的、およびデータ主体の権利に対するリスクを考慮して、適切な技術的および組織的なセキュリティ対策を実装します。

プロセッサー契約

プロセッサは、文書化されたコントローラの指示に基づいてのみデータを処理する必要があります。コントローラーとプロセッサーの間の合意には、以下の内容が含まれている必要があります。

• データ処理の指示と範囲
• 守秘義務
• セキュリティ要件
• サブプロセッサの制限
• データ主体の権利に関する支援
• データの返却または削除の義務

---

国境を越えたデータ転送ルール

UAE PDPL の第 22 条は、UAE 国外への個人データの転送を制限しています。許可される転送メカニズム:

UAEDO の十分性に関する決定: UAEDO は、適切なデータ保護を備えている国のリストを作成しています。 2026 年初頭の時点で、正式な十分性リストはまだ作成中です。実際、多くの UAE 企業は国境を越えた移転に契約条項を使用しています。

フリー ゾーンに関する考慮事項: DIFC と ADGM には独自の転送メカニズムがあります。 DIFC データ保護法では、適切な国 (GDPR が適切な国を含む) への転送、拘束力のある企業ルール、および標準的な契約条項が認められています。 DIFC コミッショナーは、特定の移転メカニズムを承認しました。

---

DIFC データ保護法 2020 — 主な違い

DIFC 内で、または DIFC を通じて活動する企業には、DIFC DP 法 2020 が直接適用され、連邦 PDPL よりも GDPR に準拠しています。主な特徴:

6 つの法的根拠 (GDPR と一致): 同意、契約、法的義務、重大な利益、公的任務、正当な利益

同意要件の厳格化: 特別なカテゴリの個人データの処理には書面による同意が必要です。同意は自由に与える必要があります (電力の不均衡の考慮が適用されます)

データ侵害の通知: DIFC コミッショナーへの 72 時間以内の通知。リスクが高い場合は個別に通知 - GDPR のタイミングと同じ

DPO 要件: GDPR と同じ閾値 (体系的なモニタリング、大規模な特別カテゴリ データ、公的機関)

罰金: レベル 1 の違反に対しては最大 100,000 米ドル。レベル 2 (重大、意図的、または無謀な違反) の場合は無制限

データ保護影響評価: 高リスクの処理に必要 (GDPR 第 35 条と同じトリガー)

---

セクター固有のデータ保護要件

ヘルスケアデータ

UAE の医療データ法 (2019 年連邦法第 2 号) およびドバイ保健局の規制により、医療データに追加の要件が課されます。

• 医療データの共有には患者の同意が必要です（公衆衛生と研究に関する特定の例外を除きます）
• 国境を越えた転送が特に許可されていない限り、医療データは UAE 内に保存する必要があります
• 電子医療記録は、特定のセキュリティおよび相互運用性の基準を満たしている必要があります
• ドバイ保健局は、医療データの必須データローカリゼーション要件を維持しています。

金融サービス

UAE 中央銀行と証券商品庁 (SCA) は、金融機関に対してデータ保護とサイバーセキュリティ要件を定めています。主な要件は次のとおりです。

• 機密性に応じた顧客データの分類と保護
• 定義された期間内でのデータ侵害の顧客通知
• 同意なしに顧客の財務データを共有することの制限
• サイバーセキュリティフレームワークコンプライアンス（銀行向けCBUAEサイバーセキュリティフレームワーク）

通信データ

電気通信規制局 (TRA) は、以下を含む電気通信プロバイダーによる個人データの処理を規制しています。

• 加入者のプライバシー保護
• 通話詳細記録へのアクセス制限
• 位置情報データの保護
• 特定の通信データのデータ ローカリゼーション要件

---

UAE PDPL に基づく侵害通知

UAE PDPL の第 16 条では、管制官に以下の通知を義務付けています。

1. UAE データ オフィス: データ主体に損害を与える可能性のある個人データ侵害に気づいてから 72 時間以内
2. データ主体: 違反が自分の権利に高いリスクをもたらす可能性がある場合は、不当な遅滞なく

UAEDO への通知には以下を含める必要があります。

• 侵害の性質
• 影響を受けるデータ主体のカテゴリとおおよその数
• 影響を受ける個人データ記録のカテゴリーとおおよその数
• DPO の連絡先詳細
• 侵害によって起こり得る影響
• 違反に対処するために講じられた、または提案された措置

文書化: 通知が必要ない場合でも (データ主体へのリスクが考えられないため)、違反は事実、影響、是正措置とともに内部的に文書化する必要があります。

---

PDPL の罰則と執行

UAE データ局 (UAEDO) は、捜査、行政罰金、刑事事件の検察への送致など、広範な執行権限を持っています。

行政罰:

• コントローラー/プロセッサーの義務違反に対する最高 500 万ディルハム (136 万米ドル) の罰金
• 機密データに関係する違反、またはデータ主体に損害を与える違反に対しては、最大 2,000 万ディルハム (544 万米ドル) の罰金

刑事罰: 噂とサイバー犯罪との闘いに関する連邦法第 34/2021 号は、特定のデータ関連の犯罪については PDPL と重複します。特定のデータ関連犯罪は、懲役および/または最高 300 万ディルハムの罰金に処される可能性があります。

DIFC コミッショナーの罰金: 重大な違反に対する無制限の罰金。軽微な違反には 100,000 ドル。 DIFC は歴史的に、決定を公表して積極的に執行してきました。

---

UAE データ保護コンプライアンス チェックリスト

• 法人ごとに定められた準拠法 (連邦 PDPL、DIFC DP 法、ADGM DPR、またはその組み合わせ)
• すべてのシステムにわたって個人データのインベントリが完了しました
• 機密データが特定され、強化された保護が適用されました
• すべての処理アクティビティについて文書化された法的根拠
• 必要な開示をすべて網羅したプライバシー通知を公開
• 必要に応じて DPO が任命されます。連絡先情報を公開
• データ主体の権利手順を文書化 (30 日間の応答タイムライン)
• プロセッサー契約が確認され、PDPL 要件に合わせて更新されました
• 国境を越えた移転の評価が完了 — メカニズムが整備されている
• 該当する場合、医療データのローカリゼーションを評価
• リスクに応じて文書化および実装されたセキュリティ対策
• 侵害通知手順を文書化 (72 時間のタイムライン)
• PDPL/DIFC DP 義務に関する従業員トレーニングが完了
• 現行規制に基づいて評価される UAEDO 登録

---

よくある質問

フリーゾーンのビジネスにはどの UAE データ保護法が適用されますか?

それはあなたのフリーゾーンによって異なります。 DIFC に登録されている企業は、連邦 PDPL から独立した 2020 年 DIFC データ保護法の対象となります。 ADGM のビジネスは、ADGM データ保護規則 2021 の対象となります。他のフリー ゾーン (JAFZA、DMCC、ドバイ インターネット シティなど) のビジネスは、通常、フリー ゾーン独自の規制とともに連邦 PDPL の対象となります。多くの場合、特に UAE 本土とフリーゾーンにまたがって事業を展開する企業の場合、複数のフレームワークが適用されます。

UAE PDPL ではデータのローカリゼーションが必要ですか?

UAE PDPL 自体は、包括的なデータ ローカリゼーション要件を課していません。国境を越えた転送は、適切な保護措置の下で許可されています。ただし、セクター固有の規制 (特に医療および金融サービス) により、特定のデータ カテゴリに対してローカリゼーション要件が課される場合があります。 UAE 中央銀行のサイバーセキュリティ フレームワークとドバイ保健局の規制により、特定の規制対象データに対してデータ保管義務が課されています。 PDPL に加えて、セクター固有の要件を常に確認してください。

UAE のデータ保護はクラウド サービスにどのように適用されますか?

UAE 企業に代わって UAE の個人データを処理するクラウド サービス プロバイダーは、PDPL の下で処理者となります。データが UAE 国外に保存される場合は、管理者とプロセッサー契約を締結し、適切なセキュリティ対策を実装し、国境を越えた転送要件に準拠する必要があります。クラウド サービスを使用する UAE の企業は、クラウド プロバイダーの PDPL コンプライアンス体制、BAA/DPA が整備されているかどうか、データ保管場所に国境を越えた転送メカニズムが必要かどうかを確認する必要があります。

AI と自動化された意思決定に対する UAE のアプローチは何ですか?

UAE PDPL には、重大な法的効果または同様に重大な効果を生み出す自動処理のみに基づく決定の対象とならない権利が含まれており、要求に応じて人間の介入が必要となります。 UAE はまた、AI におけるデータプライバシーと倫理を重視する AI 倫理フレームワークとドバイ AI 戦略 2031 も開発しました。重要な意思決定（信用スコアリング、人事審査、顧客分類）に AI を使用する企業は、PDPL 義務とセクター固有の AI ガバナンス要件の両方を評価する必要があります。

UAE のデータ保護は GDPR とどのように比較されますか?

UAE PDPL は、GDPR の基本原則 (合法性、公平性、透明性、目的の制限、データの最小化、正確性、ストレージの制限、セキュリティ、説明責任) および同様のデータ主体の権利を共有しています。ただし、PDPL は一部の領域で規範性が低く、タイムライン、DPO 資格要件、DPIA 要件は GDPR ほど詳細ではありません。 DIFC DP 法 2020 は、構造と詳細において GDPR にかなり近づいています。 GDPR と UAE PDPL の両方の対象となる組織は、GDPR 準拠が PDPL 準拠の強力な基盤を形成することになりますが、UAE 固有の追加が必要になります。

---

次のステップ

UAE の複雑な多層データ保護環境 (連邦 PDPL、DIFC、ADGM、部門規制) では、関連する各法人とデータ フローに義務をマッピングする、構造化されたコンプライアンス アプローチが必要です。 ECOSIRE のチームは、UAE フリーゾーンと本土の環境全体でコンプライアンスをナビゲートした経験があり、複数の規制要件を同時に満たすテクノロジー プラットフォームの実装に関する特別な専門知識を備えています。

始めましょう: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 UAE のデータ保護法は進化しており、このガイドは 2026 年初頭の要件を反映しています。貴社の組織および管轄区域に固有のアドバイスについては、資格のある UAE 法律顧問にご相談ください。