2026年版マレーシアPDPA 2024年改正クッキー同意コンプライアンスガイド(パブリッシャー向け)
マレーシアの2010年個人データ保護法は、2013年に施行された当初、東南アジアにおける包括的プライバシー法の先駆けの一つでした。最初の10年間、運用上の基準は比較的緩やかでした。Personal Data Protection Department(JPDP、現在はPDP)は、対象となる7つの活動分類に属するデータ利用者に対して積極的な登録制度を運用していましたが、一般的なオンライン事業者に対する執行は控えめで、同意基準も広く許容的に解釈されていました。2024 Amendment Actは、Royal AssentをOctober 2024に取得し、2025年を通じて段階的に施行されましたが、このような状況を大きく変えました。改正により、一定の閾値を超えるデータ管理者への強制的なDPO指定、72時間以内の義務的違反通知、データポータビリティの権利、より強力な執行権限を持つ改称された規制当局が導入され、旧法のもとで曖昧に運用されていた越境データ移転要件が再確認されました。マレーシアのトラフィックを対象とするパブリッシャーおよびSaaSオペレーターにとって、ASEANで最も活発なフィンテック・デジタル経済エコシステムの一つを擁するこの市場において、改正PDPAは実質的な運用上の転換点を意味します。本ガイドでは、2024年に何が変わったのか、オンライントラッキングにおける改正同意基準をPDPがどのように解釈しているか、そして実務的なコンプライアンス作業をどこに集中させる必要があるかを説明します。
2026年のPDPA — 改正後の概要
改正PDPAは引き続きSection 5の7原則を中心に構成されています。一般、通知と選択、開示、セキュリティ、保持、データ整合性、アクセスです。Section 7の通知と選択の原則はクッキー同意にとって最も重要であり、データ利用者に対して英語とBahasa Malaysiaの両方で書面による通知を行い、処理前に同意を取得する(またはSection 6の代替根拠に依拠する)ことを要求しています。
2024年改正による3つの構造的変更は、オンラインパブリッシャーにとって運用上重要です。第一に、改称されたPersonal Data Protection Departmentは年間売上高の一定割合に連動した行政罰則を課す明示的な権限を得ており、旧来の固定罰金制度に取って代わりました。第二に、Section 12Aに基づく強制的なDPO指定は、定められた閾値を超えるデータ管理者に適用されます。広告収入に依存するほとんどのパブリッシャーおよびSaaSオペレーターはこれらの閾値を超えます。第三に、新しいSection 12Bは、認識から72時間以内にPDPへ違反を通知することを義務付けており、重大な損害が生じる可能性がある場合には影響を受けたデータ主体への通知も必要です。
改正PDPAがクッキーおよびオンライントラッキングをどのように扱うか
PDPAにはクッキー固有の規定はありません。同意および情報提供の義務は、法律のSection 5、6、7と、PDPの2025 Public Consultation Paper on Online Trackingから生じています。この文書は、クッキーバナーと行動広告に対する改正後の規制当局の期待を明確にしています。4つの点が最も大きな運用上の影響を持ちます。
非必須トラッキングへの積極的同意
2025 Public Consultation Paperは、オンラインコンテキストで解釈した場合に通知と選択の原則を満たさないとして、黙示の同意、継続使用、事前にチェックされたボックスを否定しました。非必須クッキーには明示的な積極的行動が必要であり、マレーシアの実務をEDPB Cookie Banner Taskforceの立場に合わせるものです。
二言語表示要件
Section 7(3)は、プライバシー通知と同意メカニズムを英語とBahasa Malaysiaの両方で提供することを要求しています。これは改正によって再確認された旧法の特徴であり、PDPはマレーシア居住者にサービスを提供するオーディエンスに対して英語のみのバナーが要件を満たさないことをますます明確にしています。
詳細なカテゴリ制御
Public Consultation Paperは、バナーがユーザーにカテゴリを個別に受け入れたり拒否したりすることを可能にすることを期待しています。詳細な区別のない単一ボタンのすべて承認は、Section 5(c)の比例性解釈(収集は「過剰」であってはならない)に基づく欠陥とみなされます。
越境データ移転(Section 129)
旧PDPAのSection 129は、越境データ移転が「ホワイトリスト」国の受信者に対してのみ行えることを要求していました(大臣が維持するはずだったリストですが、効果的に公表されたことはありませんでした)。2024年改正はこれをより実用的な枠組みに置き換えます。移転は、同等の保護を持つ管轄区域、または適切な契約上の保護措置のもと、または明示的な同意により行うことができます。PDPはEU SCCsに類似したモデル契約条項を公表しています。
2026年のPDPの執行姿勢
Personal Data Protection Departmentの改正後の姿勢は、改正前のアプローチと3つの点で明らかに異なります。
積極的なセクター別調査
PDPは改正施行以降、フィンテック、EC、デジタル融資セクターを積極的な調査の優先対象としています。これらの調査は通常、登録監査から始まり、登録が最新でない場合には広範な検査へとエスカレートします。
注目度の高い制裁
新しい行政罰則制度は、旧来の固定罰金モデルよりも大きく公に目立つ制裁をもたらしました。複数の通信およびフィンテック事業者が2025年に8桁のリンギット罰則を受け、PDPはこれを改正に実際の執行力があることを伝えるために活用しました。
ASEAN規制当局との連携
PDPはASEAN Data Management Frameworkワークストリームに参加し、シンガポールのPDPC、タイのPDPC、フィリピンのNPCと連携しています。マレーシアおよびその他のASEANトラフィックに関する越境調査は、協調手続きによって対処されることが増えています。
実践的コンプライアンスチェックリスト
マレーシアのトラフィックを対象とするクッキーバナーに対して答えるべき6つの具体的な質問です。
- データ管理者はPDPに登録されているか? 処理が対象クラスに該当する場合、登録が最新であることを確認してください。2024年改正は登録の実質的な適用範囲を拡大しました。
- DPOが指定されているか? Section 12Aは閾値を超える場合に指定を義務付けています。指定が文書化されており、DPOの連絡先がプライバシー通知に掲載されていることを確認してください。
- 通知は二言語で提供されているか? Section 7(3)に基づき、英語とBahasa Malaysiaの両方が必要です。
- 第一層に明示的な拒否ボタンがあるか? 拒否の経路は承認と同じ画面上になければなりません。スクロールによる同意は2025 Public Consultation Paperの基準を満たしません。
- 越境データ移転は文書化されているか? マレーシア以外のすべての送信先と移転を許可するSection 129メカニズムを特定してください。
- インシデント対応は連携されているか? クッキー関連のインシデントが認識から72時間以内のSection 12B通知ワークフローをトリガーすることを確認してください。
複数管轄のコンプライアンス体制におけるマレーシアの位置づけ
マレーシアはシンガポール、タイ、フィリピンとともに、最も運用上重要な4つのASEANデータ保護制度の一つです。2024年改正によりPDPAとGDPRの差はほぼ解消されました。これは、欧州基準で構築されたCMPアーキテクチャが、3つの特定の追加事項によりマレーシアのコンプライアンスの大部分を処理できることを意味します。すなわち、二言語(英語とBahasa Malaysia)バナーと通知、対象クラスの閾値が適用される場合のPDP登録、そして72時間タイマーを含むSection 12B違反通知ワークフローです。汎ASEAN展開を目指すパブリッシャーにとって、改正後のPDPAは重要なテンプレートです。新興の地域法はその構造を参考にする可能性が高く、運用上の追加事項は既に展開済みの欧州水準の同意スタックの上に実装可能です。