UU PDPの適用範囲と対象者

UU PDPはインドネシア初の包括的な個人データ保護法です。制定以前、インドネシアのデータ保護規則は銀行、通信、電子商取引、電子システムなど、業界別の規制に分散していました。UU PDPはこれらを単一の横断的な制度に統合し、管理者の所在地に関わらず、インドネシアのデータ主体の個人データを取り扱うすべての管理者または処理者に適用されます。

この域外適用は外国の出版社にとって最も重要な事実です。米国、EU、またはシンガポールを拠点とする出版社がインドネシアに物理的に所在するユーザーにコンテンツを提供している場合、UU PDPの適用を受けます。存在テストは機能的なものであり、形式的なものではありません。管理者がBahasa Indonesiaのコンテンツ、インドネシアの支払い方法、またはジオターゲティング広告によってインドネシアのユーザーを対象としている場合、UU PDPが全面的に適用されます。

Article 22に基づく同意基準

UU PDPのArticle 22は同意を定義し、インドネシアのトラフィックを対象としたクッキーバナーの基礎となります。この条項は同意が以下の要件を満たすことを求めています：

• 明示的であること——沈黙、事前にチェックされたボックス、サイトの継続使用は同意を構成しません。ユーザーは積極的なアクションを取る必要があります。
• 特定されていること——同意は特定の処理目的に結びついている必要があります。10の異なる目的をカバーする単一の「すべて同意」ボタンは非常に脆弱です。
• 情報に基づくこと——データ主体は同意する前に、管理者の身元、データカテゴリ、目的、保存期間、受信者、および自身の権利を受け取らなければなりません。
• 書面または電子的に記録されていること——Article 22(3)は管理者が同意を証明できることを求めます。ハッシュ化されたユーザー識別子にマッピングされたタイムスタンプ付きの同意ログがこの要件を満たします。ユーザーが「同意」をクリックしたという曖昧な主張では不十分です。
• 同等の条件で撤回可能であること——撤回は最初の付与と同じくらい容易でなければなりません。同意に1回のクリックが必要な一方で拒否に3回のクリックが必要な経路は準拠していません。

実務者はこれらの要件を認識するでしょう：これらはGDPRのArticle 7とほぼ一対一で対応しています。違いは範囲と執行にあり、概念にあるわけではありません。

同意を超えた適法根拠

GDPRと同様に、UU PDPは一部の処理について同意以外の適法根拠を認めています。Article 20は6つの適法根拠を列挙しています：同意、契約履行、法的義務、生命に関わる利益、公的任務、および正当な利益。しかし、ほとんどのクッキーおよびトラッキング活動については、同意のみが現実的に利用可能です。なぜなら、ユーザーが要求したサービスを提供するために不可欠なクッキーの厳格な必要性の例外は狭く、広告や分析には及ばないからです。

厳格な必要性の例外

セッションクッキー、ログインクッキー、言語設定クッキー、ショッピングカートクッキーは、非常に低いリスクで契約履行または正当な利益の下に入ります。これらには明示的な同意は必要ありませんが、プライバシー通知にはカテゴリを開示する必要があります。それ以外のもの——分析、広告、リターゲティング、サードパーティのピクセル、フィンガープリンティング——はすべてArticle 22の同意が必要です。

子どものデータ

Article 25は18歳未満のデータ主体のデータ処理に親の同意を求めています。これはデジタル同意の年齢のGDPRデフォルトである16歳（加盟国が13歳まで引き下げることができる）より厳格です。Bahasa Indonesiaで子ども向けコンテンツを運営する出版社は、閾値を18歳として扱い、自己申告チェックボックスではなく親の確認フローを設定する必要があります。

国境を越えたデータ転送

Article 56はインドネシア国外への個人データの転送を規定しています。管理者は、三つの条件のうち少なくとも一つが満たされた場合にのみ、別の国にデータを転送できます：転送先の国がUU PDPに匹敵する適切なレベルの個人データ保護を有している、適切なセーフガードが整っている、またはデータ主体が転送に明示的に同意している場合です。

インドネシアの通信情報省（Kominfo）はまだ適切性リストを公表していません。実際には、GDPR管轄区域、米国、シンガポール、またはオーストラリアにデータを転送する出版社は適切なセーフガードに依存しています——通常、UU PDPに適応した標準契約条項で、下流のサブプロセッサーがUU PDPの権利を遵守するという拘束力のある条項を含みます。複数の地域から運営するアドテクベンダーについては、データ処理契約でインドネシアのユーザーデータを取り扱う地域と各段階で適用されるセーフガードを指定する必要があります。

データ主体の権利と72時間の窓

UU PDPはインドネシアのデータ主体にGDPRに非常に類似した権利を付与しています：アクセス、訂正、削除、処理への異議申し立て、データポータビリティ、および自動化された決定に異議を唱える権利。出版社にとって重要な2つの具体的な事項があります。

第一に、Article 30は管理者が合理的な期間内に権利請求に応答することを求めており、施行規則では承認に3営業日、実質的な回答に最大14営業日と定めています。これはGDPRのデフォルトである1か月より速いです。

第二に、Article 46は個人データ侵害の通知を影響を受けたデータ主体および個人データ保護局に3 x 24 hours——つまり管理者が侵害を認知してから72時間以内——に行うことを求めています。時計は管理者が侵害を確認した時点から始まり、検知できた可能性のある時点からではありません。

ペナルティと最近の執行

UU PDPのペナルティ体制は、多くの出版社が当初認識していたよりも多くの「歯」を持っています。Article 57は年間収益の2%までの行政制裁を規定しています。Article 67 to 73は最も深刻な違反——不法な個人データの収集および不法な開示を含む——に対して最大6年の懲役および最大60億rupiaの罰金の刑事制裁を規定しています。

2025年を通じて執行はソフトローンチ段階にあり、Kominfoは罰金ではなく警告書と是正命令を発行していました。その段階は2026年初頭に終了しました。UU PDPの下での最初の主要な行政ペナルティ——2026年3月に未成年者向け製品ラインでの不十分な侵害通知と親の同意の欠如を理由に国内電子商取引事業者に発行された——は、執行が今や活発であるという明確なマーカーを設定しました。

準拠した出版社バナーの外観

2026年にインドネシアのトラフィックを提供する出版社にとって、実際的な設定は次のとおりです：

バナーをBahasa Indonesiaにローカライズする

Article 22のインフォームド・コンセント要件は、Bahasa語話者のユーザーに表示される英語のバナーでは満たされません。CMPはジオロケーション、IP、またはAccept-Languageヘッダーによってインドネシアのユーザーを検出し、バナー、プライバシー通知、および詳細なコントロールをBahasa Indonesiaで提供する必要があります。

同意をオプトインのみとして扱う

ユーザーが明示的に同意する前に、トラッキング、広告、または分析スクリプトを実行してはなりません。事前にチェックされたカテゴリ、継続ブラウジングからの暗示的な同意、および「このサイトを使用することで同意したことになります」という通知はすべて非準拠です。

文書化された同意ログを維持する

Article 22(3)は明確です：管理者は証拠を提示できなければなりません。ユーザー識別子をタイムスタンプ、表示されたバナーのバージョン、および行われた選択にマッピングする同意ログは、Kominfoが監査または苦情調査で要求する文書です。

撤回を真に同等にする

永続的なフローティング同意アイコン、プライバシー設定ページでのワンクリック拒否、またはデータ収集メールでの明確な登録解除——それぞれが合理的な実装です。4000語のプライバシーポリシーに埋もれたリンクはそうではありません。

まとめ

UU PDPはGDPRのクローンではありませんが、欧州の成熟したコンプライアンスプログラムを持つ出版社が既存の同意インフラをターゲットを絞った調整でインドネシアに拡張できるほど十分に近いものです：Bahasaのローカライズ、親の同意のための18歳の年齢閾値、72時間の侵害通知、およびUU PDPを明示的にカバーする標準契約条項。そのインフラを持たない出版社はUU PDPを構築のトリガーとして扱う必要があります。インドネシアの執行は今や活発であり、Kominfo調査が始まった後の是正のコストは、ローンチ前にバナーを正しく設定するコストよりも一様に高くなります。