コロンビア – 個人情報保護法制

GDPRの施行を受け、世界各国で個人情報保護法の制定・改正作業が進んでいる。今日はコロンビアにおける個人情報保護状況について振り返ってみたいと思う。

I. コロンビアにおける個人情報の位置づけ

• コロンビア憲法上の個人情報等の位置づけ

コロンビア憲法（条文全文はこちら）は、個人又は家族のプライバシー権等を保障し、情報の収集、処理及び提供においてもこれらは尊重されなければならないとしている（憲法第15条）。

ARTÍCULO 15. （第1文・第2文のみ抜粋）

Todas las personas tienen derecho a su intimidad personal y familiar y a su  buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

他方、同憲法は、表現の自由を保障し、通信の自由を保護している（憲法第20条）。

ARTICULO 20.

Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación.

Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura.

• 法律上のプライバシーや個人情報の位置づけ

コロンビア法上は、現状大きく分けて、①包括的な個人情報保護法のほか、②金融規制業等各業種ごとの個人情報保護の2本立てで整理されている。

（1）　包括的な個人情報保護法制

包括的な個人情報保護法といえば、2012年法1581号（条文全文はこちら）及びその規則に相当する2013年規則1377号（条文全文はこちら）である。かかる法は、域外適用等の内容を含んでおり、コロンビアに拠点を有していない企業だからといっても、直ちにその規制を逃れることはできないことに留意が必要である。具体的な内容については、II. コロンビア個人情報保護法制の概要にて確認されたい。

（2）　業種毎における個人情報保護法制

主な、業種毎における個人情報保護法制としては、以下の2種が挙げられる。

2008年法1266号（条文全文はこちら）は、銀行業等金融業において、金銭債務に関する個人情報の収集、使用及び提供を規制している。

2011年決議3066号（決議全文はこちら）は、電気通信事業におけるデータ処理を規制している。

II. コロンビア個人情報保護法制の概要

コロンビア個人情報保護法上、「個人情報」（dato personal）は、識別された又は識別可能な個人に関連又は付随するあらゆる情報をいうとされている。なお、同法上、個人情報のうち、人種・政治的意見・宗教に関する事項等のいわゆるセンシティブ・データについてはより慎重な取扱いが求められている点についても留意されたい。

第3条（一部抜粋）

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;

1. 適用範囲（地理的範囲・適用除外）

コロンビア個人情報保護法は、個人情報のデータの処理（使用等を含む幅広い概念）が、①コロンビア国内にて行われる場合、又は②コロンビア国外で行われる場合であっても、条約等によりコロンビア法により保護されるとされている場合には、これが適用される。

2. 個人情報を収集するにあたっての事前の登録

コロンビア個人情報保護法上、特徴的な事項の一つが、データ処理者は、コロンビア商工業監督庁（Superintendencia de Industria y Comercio（SIC））により管理・監督されているNational Registry of Databaseに登録しなければならないということである。

かかる登録自体はオンラインでできる簡易なものであるが、収集する個人情報の量や保管等の概要を登録しなければならず、実務担当者レベルからするといささか手間なことが多い。

3. 個人情報を収集するにあたっての同意の取得等許されるための条件とは

• 同意

コロンビア個人情報保護法上、原則として、個人情報を処理する前に、同意を取得しなければならないとされている（同法第9条）。なお、18歳以下の者の個人情報を処理するにあたっては、両親等保護者の同意を取得する必要がある。

かかる同意については、みなし同意の規定が規則上設けられているので、必ずしも明確な同意を得なければならないわけではないとされている。

• 同意以外の場合

公権力による行使の場合や、情報が既に公開されている場合、医療・公衆衛生上の緊急性が認められる場合、歴史上、統計上、科学研究目的上の必要が認められる場合が、例外的に同意を得ずに、個人情報の処理を行うことがされる場合として挙げられている（コロンビア個人情報保護法第10条）。

4. 行政罰等罰則

コロンビア個人情報保護法違反の場合には、警告や指導、一時的な情報処理の停止等が挙げられるが、何よりも注意が必要なのが、比較的な高額な課徴金（月額最低賃金の2000倍・おおよそ50万米ドル程度）が課せられる可能性があるところである。

III. 最後に

以上、駆け足でコロンビアの個人情報保護法の概要を説明したが、日本語で、コロンビアの個人情報保護法の説明がある文献が非常に少ないところ、少しでもこれを検討する日本企業のお役に立てることを心より願っている。