インドでは、2023年に至るまで、個人情報保護に関する一般法は存在しませんでしたが、2023年8月11日、デジタル個人情報保護法（Digital Personal Data Protection Act, 2023：「DPDP法」）が成立しました。同法は、長らく施行されていませんでしたが、2025年11月13日、同法の運用に関する詳細を定めたデジタル個人情報保護規則（Digital Personal Data Protection Rules, 2025：「DPDP規則」）とともに施行されました。もっとも、下記のとおり、DPDP法とDPDP規則の諸規定は、段階的に施行されるため、多くの規定は2027年5月13日から施行される予定です。

なお、DPDP法とDPDP規則が全面施行されるまでの間は、現行の枠組みが適用されることになります。具体的には、IT法（Information Technology Act, 2000）43A条と同条に基づき制定された2011年個人情報保護規則（Information Technology (Reasonable security practices and procedures and sensitive personal date or information) Rules, 2011）が適用されます。DPDP法の施行に伴い、IT法と2011年個人情報保護規則は2027年5月13日をもって失効する予定です。

DPDP法及びDPDP規則の主な内容と施行スケジュールは、以下のとおりです。

（1）適用対象
適用対象は、DPDP法に定義された「デジタル個人情報」とされ、オンラインで収集された個人情報、及び、オフラインで収集された後デジタル化された個人情報がこれに該当します。デジタル化されていない個人情報は同法の適用対象外になります。

（2）データ受託者のデータ主体への同意取得に際しての通知義務・同意取得義務
データ受託者（「Data Fiduciary」：個人情報の処理の目的及び方法を単独で又はその他の者と共同で決定する者）がデジタル個人情報を処理する場合には、データ主体（「Data Principal」：個人情報が関係する個人）からの同意取得、又は、同法が定める一定の適法な場合に該当することが必要となります。この同意取得にあたり、データ主体に対する通知が必要とされているところ、DPDP規則において、当該通知が独立して理解可能であることや処理される個人情報の項目別の説明を含むこと等、通知が具備すべき要件が定められています。

（3）データ受託者に求められるセキュリティ対策
DPDP法上、データ受託者は合理的なセキュリティ対策を実施することが必要とされています。DPDP規則では、より具体的に、当該セキュリティ対策として、少なくとも、暗号化、難読化又はマスキングを含む適切なセキュリティ措置を講じることやアクセス制御を行うための適切な措置を講じること、デジタル個人情報へのアクセスの可視化等の内容が定められています。

（4）デジタル個人情報侵害の通知
DPDP法上、データ受託者は、デジタル個人情報の漏えい等の侵害を認識した場合、全ての影響を受けたデータ主体に通知する必要があります。DPDP規則では、侵害の性質、範囲、タイミング及び場所、当該侵害により生じ得る結果等、当該通知に記載すべき詳細内容が定められています。

（5）インド国外でのデジタル個人情報の処理
DPDP法では、越境移転やデータ・ローカライゼイションに関する規定は設けられておらず、インド中央政府がインド国外へのデジタル個人情報の移転について通達により制限することができる旨のみ規定されています。この点、DPDP規則においても具体的な規制内容は定められていないため、今後の動向を見守る必要があります。

（1）2025年11月13日に即日施行された主な規定

• 定義規定
• インド情報保護委員会（「Data Protection Board of India」：DPDP法上の監督機関であり、データ受託者による同法違反について制裁金を課す権限を有する委員会）に関する規定
   

（2）2025年11月13日から1年後（2026年11月13日）に施行される主な規定

• 同意管理者（「Consent Manager」：インド情報保護委員会に登録されるインド法人で、自身のプラットフォームを通じてデータ主体がデータ受託者に対して同意の付与や撤回を行うことができるようにする業者）に関する規定
   

（3）2025年11月13日から18か月後（2027年5月13日）に施行される主な規定

• データ受託者のデータ主体への同意取得に際しての通知義務・同意取得義務に関する規定
• データ主体の権利・義務に関する規定
• 域外データ移転規制に関する規定
• データ受託者が遵守すべき適切な技術的・組織的措置導入義務に関する規定等その他の規定
   

DPDP法及びDPDP規則の本格施行は、2027年5月13日に予定されていますが、DPDP法が更に改正されて全面施行の時期が早まることがないか、あるいは、本格施行までの間に具体的な運用をインド中央政府が明確化する可能性を含めて、今後の動向を注視していく必要があります。

2025年9月29日、タイ個人情報保護委員会（Personal Data Protection Committee：「PDPC」）は、同一の企業グループ又は事業体グループ内における個人情報保護方針の提出・検討・審査・認証・監督に関する規則（「本規則」）を公布しました。本規則により、拘束的企業準則（Binding Corporate Rules：「BCR」）を用いて個人情報を適法にタイ国外へ移転するための制度が確立されました。

タイ個人情報保護法（Personal Data Protection Act：「PDPA」）上、個人情報の域外移転については、以下のいずれかを満たす必要があります。
 

1. 移転先国が十分な保護水準を有する（PDPA 28条）
2. 移転先国が十分な保護水準を備えていない旨を通知した上で、本人の同意を取得する等の例外事由に該当する（PDPA 28条）
3. PDPA 29条に基づき、適切な保護措置を講じる

3.の適切な保護措置としては、標準契約条項（Standard Contractual Clauses：「SCC」）や認証済のBCRによることが想定されています。これらはいずれも欧州GDPRにおいても導入されているコンセプトで、特にタイにおいては現状SCCが実務上最も利用されており、ASEAN Model Contractual ClausesやEU Standard Contractual Clausesに沿ったSCCは、一定の基準に基づき認められています。もっとも、グループ会社間で複層的な移転が生じる場合や、利用目的・当事者等が頻繁に変わり得る場合において、SCCは契約締結や更新という一定の負担があります。これに対し、BCRは企業グループ全体の個人情報の越境移転を包括的に管理できる枠組みであり、タイにおいても制度の確立が待たれていたものですが、これまでタイにはBCRについてPDPCによる認証制度が存在しなかったため、利用できない状態にありました。

本規則は、情報管理者（Data Controller）向けBCR-Cと情報処理者（Data Processor）向けBCR-Pの双方について、認証制度を新たに整備するものです。申請主体となるのは、タイ国内に事務所を有するタイ法人であり、当該法人は、Liable BCR Member（責任主体）として指定され、PDPCやデータ主体とのコミュニケーションの窓口となります。

PDPCによるBCR認証のための審査期間は180日以内が目標とされています。なお、EU又は英国のGDPRに基づくBCR認証を受けている場合、簡素化されたプロセスが利用可能です。

本規則の下でBCRの認証を受けるためには、主として以下の事項を満たす必要があります。
 

• グループ全体における法的拘束力の存在
• データ主体の権利の尊重
• 苦情処理及び救済手続の整備
• PDPAの基準を満たす技術的・組織的セキュリティ対策の整備

また、認証後も、Liable BCR Memberは以下の体制を維持する必要があります。
 

• 適切なガバナンス及び内部監査
• 重要な変更のPDPCへの通知
• 定期的な監査・研修・是正措置の実施

BCRは、グループ全体で統一した規定の構築が可能であることから、個人情報の越境移転を行う銀行・保険業界等のグローバル企業で利用が進む可能性があります。

2025年10月2日、インドネシア投資・下流産業省（「BKPM」）は、BKPM規則2025年5号（「本規則」）を公表、施行しました。

本規則は、2025年6月5日に施行された政令2025年28号（本レター第178号（2025年8月号）ご参考：「本政令」）の下位規則に位置付けられ、本規則の施行により、リスクベースの許認可制度に関するBKPM規則2021年3号、4号及び5号はいずれも廃止されています。

本レターでは、本規則により明確化された外資企業による新規事業開始要件のうち、重要な点について解説します。

外資企業がインドネシアにおいて新規に会社を設立する場合、従前、資本金として100億インドネシアルピア（9,360万円）を払い込む必要がありました（「最低払込資本金」）。

本規則においては、最低払込資本金が、25億インドネシアルピア（約2,340万円）にまで引き下げられています（なお、BKPM規則2021年4号により、最低払込資本金が100億インドネシアルピア（約9,360万円）とされるまでは、BKPM規則2018年6号に基づき、最低払込資本金は25億インドネシアルピア（約2,340円）とされていたので、その当時と同額にまで引き下げられたことになります。）。

また、払い込まれた資本金については、インドネシア国内の銀行口座において保管し、事業活動等に用いる場合を除き、原則として払込みから12か月間、払戻しが禁止されています。

インドネシア法上、事業開始に必要なライセンス取得手続については、リスクベース・アプローチ（事業者が行う事業活動について、事業活動ごとに低・中低・中高・高の4段階のリスクに分類した上で、各リスクレベルに応じて取得すべき許認可が異なる枠組み）が採用されています。これは、2021年2月2日施行の政令2021年5号により導入されたものであり、同政令は本政令により改正されたものの、リスクベース・アプローチ自体は維持されています。

具体的には、本政令及び本規則により、以下の各手続が必要とされています（なお、本政令／本規則施行前に取得した既存のライセンスは、その有効期限が満了するまで有効とされています。）。こちらは、内資企業・外資企業に共通する手続となります。
 

※1：空間利用適合性承認（KKPR）、環境許可（AMDAL／UKL-UPL／SPPL）、建設許可（PBG）、及び建物機能証明（SLF）のうち、適用あるもの
※2：事業許認可統合電子サービス

本レター第178号（2025年8月号）で触れたとおり、本政令上、事業活動は2段階に分けられており（厳密にいえば、2段階目はさらに以下のとおり2段階に分かれます）、各段階との関係で必要となるライセンスは以下のとおりとなっています。
 

• 第1段階である準備段階：KKPR及び（適用ある場合は）SPPLの取得
• 第2段階である事業活動段階の前半（実質的には準備段階）：（適用ある場合は）AMDAL又はUKL-UPL、（建物の建設が必要な場合）PBG、及びNIB並びに（リスクレベルに応じて必要な場合は）Standard Certificate又は事業許可の取得（業種によっては、事業許可以外の付随的な許認可等の取得も必要）
• 第2段階である事業活動段階の後半（実質的な事業活動段階）：事業活動開始可能（ただし、建物の使用が必要な活動についてはSLF取得後のみ）

以上のとおり、最低払込資本金が引き下げられ、また事業開始までの手続がより一層明確化されたことにより、インドネシアに対する外資企業による投資の増加が期待されます。

（ご参考）
本レター第178号（2025年8月号）

2025年11月5日、シンガポールの国会において、会社法及び会計法（改正）法案（Corporate and Accounting Laws (Amendment) Bill：「本法案」）が可決されました。本法案は、取締役の義務違反に対する罰則の強化、企業に対する規制負担の軽減、企業の不正利用に対する規制強化、株主の利益保護、公認会計士に対する規制体制の強化等幅広い項目に関する改正を目的として可決されたものです。本レターでは、本法案のうち、取締役に対する規制強化及び企業に対する規制負担の軽減に関する改正に絞って、その概要をご紹介します。

シンガポール会社法上、取締役は、常に誠実に行動し合理的な注意を払って職務を遂行すべき義務を負います。当該義務に違反した場合、現行法では最大5,000シンガポールドル（約60万円）の罰金若しくは12か月以下の禁錮又はこれらが併科される可能性があります。

本法案は、罰金額を最大20,000シンガポールドル（約240万円）まで引き上げ、併せて年次報告書の未提出や会計帳簿の未整備等のコーポレートガバナンスに関する義務違反についても罰則を強化しています。

シンガポール高裁は、今年の初め、有償で名義貸しを行い300社以上の取締役に就任した結果、実質的な監督を行わなかった取締役に対し、実刑判決を下しています。このような実務の趨勢も踏まえると、シンガポールがコーポレートガバナンスの不正に対して厳格な姿勢を取っていることが窺われます。

シンガポール会社法上、企業は、閲覧権限を有する者に対して記録や資料の閲覧機会を確保するため、登録された事務所を、営業日のうち少なくとも3時間は営業する必要があります（最低営業時間）。当該規定は、シンガポール会社法が制定された1967年以来、変更されてきませんでした。

本法案では、企業の負担を軽減するため、当該最低営業時間が廃止されています。他方で、最低営業時間の廃止に伴い、企業の記録や資料の閲覧可能性を確保するための方策が用意されました。すなわち、閲覧権限を有する者は、閲覧の意思を合理的な期間の前に通知する必要があり、当該通知を受けた企業は対象となる営業日ごと9時～18時の間に少なくとも2時間の閲覧時間を確保することが義務づけられました。当該改正により、企業は柔軟に営業時間を決定することができるようになります。

上記は一例ですが、このようにシンガポールではコーポレートガバナンスの強化や企業に対する規制の見直しが継続的に行われており、今後の動向が注目されます。

※当事務所は、シンガポールにおいて外国法律事務を行う資格を有しています。シンガポール法に関するアドバイスをご依頼いただく場合、必要に応じて資格を有するシンガポール法律事務所と協働して対応させていただきます。

2021年2月の国家緊急事態宣言以降の対ミャンマー制裁の概要については、本レター第121号以降の各号でお伝えしてきたとおりです。本レターでは、米国財務省外国資産管理室（OFAC）の動向について、本レター第180号（2025年10月号）以降の続報をお伝えします。

直近の動向として、OFACは、米国時間2025年11月12日、ミャンマーの武装組織である民主カレン慈善軍（Democratic Karen Benevolent Army：「DKBA」）及び同幹部4名を、米国人を標的とした大規模サイバー詐欺への関与を理由に、資産凍結措置等の対象者（Specially Designated Nationals and Blocked Persons：「SDN」）として新たに指定する旨を公表しました。

OFACによれば、DKBAはカレン州ミャワディ近郊で詐欺拠点「Tai Chang」を管理し、人身売買により拘束された労働者にオンライン詐欺を強要していたとされます。詐取された資金は組織犯罪の資金源となり、同組織の軍事活動にも転用されていたとされています。

今回の措置は、米国民に対するサイバー詐欺ネットワークの関連に基づいて行われた、カレン民族軍（Karen National Army：「KNA」）及びその関係者等に対する制裁指定（2025年5月及び9月）に続くものです。

現時点で日系企業への直接的な影響は限定的と見られますが、米国当局がミャンマー関連の制裁対象を「軍政中枢」から「犯罪ネットワーク」にまで拡大している点は注目されます。今後も米国を中心とした主要国による制裁動向を注視していく必要があります。

（ご参考）
本レター第121号（2021年2月号）
本レター第180号（2025年10月号）

12月のヤンゴンは乾季を迎え、澄んだ空（最近の大気汚染のせいで若干霞んではいますが。。。）と明るい日差しが続く時期になっています（本レター第143号のコラムでも紹介したとおり、ミャンマーは10月のタディンジュ祭りを境に乾季に入り、翌年の3月くらいまでは素晴らしい気候が続きます。）。日中は比較的強い日射しが照りつけることがあるものの、朝夕は若干肌寒さを感じることもあるくらいです。雨季とは打って変わって湿度が低くなるため、空気も軽く感じられ、非常に過ごしやすい毎日です。ヤンゴンオフィスの窓から街を眺めると、乾季特有の明るい光に包まれた建物や道路が広がり、季節の変化を実感します。
 

2021年の政変から4年、年末12月28日には総選挙の実施が予定されています。外国人の入国制限等もあるのではないかと危惧していたのですが、11月末から12月第1週にかけての出張時には、出入国手続に特段の支障はなく、市内での移動も概ねスムーズでした。滞在したのはヤンゴン市内だけでしたが、滞在期間中は、これまでと変わるところはなく、特段の混乱に遭遇することもありませんでした。ホテルや飲食店も通常どおり営業していました。インターネットの接続に問題が生じているというような事前情報もありましたが、日常業務を進める上で大きな障害はありませんでした。

このように、私が見聞きできた範囲では街中に目立った変化は感じられませんでしたが、間もなく実施される総選挙が一定の政治的な節目であることは間違いなく、その結果により一定の動きがあり得ることは常に意識しておく必要があるように思います。

今年最後のコラムとして、今回は12月上旬時点でのヤンゴンの状況を簡潔にお伝えしました。2026年がミャンマーにとって、そしてここで生活し働く人々にとって、少しでも落ち着いた一年となることを心より祈っています。引き続き状況を丁寧に見守りながら、来年も定期的に現地の様子をお伝えしていきたいと思います。

（ご参考）
本レター第143号（2022年10月号）