-
概要
インドネシアは現在、東南アジア最大の経済大国です。著名なスタートアップの拠点として、Tokopedia や OVO をはじめ、国内で育成・成長したスタートアップが増加しています。多くのスタートアップがクラウドコンピューティング技術を活用し、デジタル化の加速や事業成長に伴う課題の解決に取り組んでいます。Tokopedia は Alibaba Cloud の IaaS、ビッグデータソリューション、AI 機能、セキュリティ機能を活用し、エンドユーザーによりインテリジェントで優れたユーザー体験を提供しています。
-
一般的な規制環境
インドネシアにおけるデータプライバシーとコンプライアンス:
Alibaba Cloud は、進化するインドネシアの規制環境に対応するお客様を支援します。主要な法的枠組みは、データ管理者およびデータ処理者に対してグローバル水準の要件を定める2022 年法律第 27 号 個人データ保護法 (PDP Law) です。さらに、政府規則第 71/2019 号 (GR 71) および電子システムにおける個人データ保護に関する通信情報省規則 2016 年第 20 号がコンプライアンスの指針となっており、安全なクラウド処理のための堅牢な環境を確保しています。
データローカライゼーション要件:
GR 71 は、電子システム運営者をパブリックスコープとプライベートスコープに分類しています。パブリックスコープの電子システム運営者は、インドネシア国内で電子システムおよび電子データを管理、処理、保存しなければなりません。プライベートスコープの電子システム運営者は、政府機関による実効的な監督が確保されることを条件に、インドネシア国内外に電子システムおよびデータを配置できます。プライベートスコープの電子システム運営者が国外にシステムおよびデータを保管する場合、モニタリングおよび法執行の目的で電子システムとデータへのアクセスを提供しなければなりません。 -
金融サービスセクター
概要:
Alibaba Cloud は、インドネシアの 3 つのアベイラビリティゾーンを備え、クラウド上での IT アーキテクチャの設計と実装において高い柔軟性を提供します。適切なソリューション設計により、金融サービス業界の規制対象事業体が求めるセキュリティ、レジリエンス、データレジデンシー、復旧性、パフォーマンスの要件を満たすことが可能です。3 つのアベイラビリティゾーンにまたがるシステムデプロイにより、より高いレベルのレジリエンスを実現できます。Alibaba Cloud は、パブリッククラウドへの移行時における機密性、完全性、可用性の損失リスクを最小限に抑えるため、多くのお客様を支援してきました。
Alibaba Cloud は、金融業界固有の規制要件へのコンプライアンスを促進するために尽力しています。初期段階のデューデリジェンスとリスクアセスメント、ソリューションの選定、導入と移行、導入後の保証まで、包括的なサービスを提供しています。これには、デューデリジェンス評価のあらゆる側面への対応、サービスおよびプロダクト設定のベストプラクティス、自動化された継続的なセキュリティチェックツール、ならびに内部統制の設計および運用の有効性に関する保証が含まれます。
規制当局:
インドネシアの金融機関は、Bank Indonesia (BI) およびインドネシア金融サービス庁 (OJK) により規制されています。BI はインドネシアの中央銀行であり、金融・決済システムを監督し、自国通貨の安定性の維持を担っています。OJK は、銀行、資本市場、保険、年金基金、その他の融資機関および金融サービス機関を含む、金融サービスセクターのすべての活動を規制・監督しています。
クラウドコンピューティングサービス利用時に参照すべき規則・ガイドライン:
1.POJK No. 13/POJK.03/2020 :商業銀行における情報技術利用のリスク管理に関する OJK No. 38/POJK.03/2016 の改正規則
2.POJK No. 4/POJK.05/2021 :ノンバンク金融サービス機関における情報技術利用のリスク管理に関する規則
3.Circular Letter No. 21/SEOJK.03/2017 :商業銀行における情報技術利用のリスク管理の適用に関する通達
4.POJK No. 38/POJK.05/2020 :保険、シャリア保険、再保険、シャリア再保険会社の事業運営に関する POJK No. 69/POJK.05/2016 の改正規則
5. POJK No.38/POJK.03/2016 :商業銀行における情報技術利用のリスク管理の実施に関する規則
6. POJK No.10/POJK.05/2022 :情報技術ベースの共同資金調達サービスに関する OJK No.77/POJK.01/2016 の代替規則
7. PBI No.23/7/PBI/2021 :決済システムインフラ運営者に関する規則
8. PBI No.23/6/PBI/2021 :決済サービスプロバイダーに関する規則
9.PBI No. 20/6/PBI/2018 :電子マネーに関する規則
10.PBI No. 18/40/PBI/2016 :決済トランザクション処理の実施に関する規則
以上は規則の網羅的なリストではありませんが、最も包括的かつ広く参照されている規則を示しています。POJK 38/POJK.03/2016 および Circular Letter No. 21/SEOJK.03/2017 は最も厳格な要件を定めており、インドネシアの大半の金融機関のベンチマークとして活用できます。なお、POJK 38/POJK.03/2016 は、銀行に対してインドネシア国内のデータセンターおよびディザスタリカバリセンターに電子システムを配置することを義務付けています。OJK の承認を得て電子システムを国外に配置できる例外的なケースもありますが、Alibaba Cloud のローカルサービスを利用してデータレジデンシー要件に準拠する方がより安全です。
Alibaba Cloud は、BI および OJK が発行する適用可能な規制要件に準拠した内部統制を評価するため、独立した監査法人と契約しています。この監査レポートは、アウトソーシングサービスプロバイダーとしての Alibaba Cloud が適用要件にどのように準拠しているかをお客様が理解するために役立ちます。
クラウドの利用は許可されているか
はい。OJK および BI は、FSI (金融サービス機関) によるパブリッククラウドサービスの利用を許可しています。Alibaba Cloud のクラウド導入成功事例に基づくと、FSI が関連する規制要件を満たしていることを証明できる限り、OJK および BI はクラウド導入とデジタル化の推進に対して協力的です。商業銀行と NBFI (ノンバンク金融機関) のいずれも、データセンターおよびリカバリデータセンターの運営、ならびに IT ベースのトランザクション処理を IT サービスプロバイダーにアウトソーシングすることが認められています。
追加の承認は必要か
クラウド導入に先立ち、OJK および BI の事前承認が必要です。商業銀行は、インドネシア国内でのクラウド導入の少なくとも 2 か月前に OJK に申請を提出し、承認を得なければなりません。インドネシア国外で電子システムを導入する場合は、少なくとも 3 か月前に OJK に申請を提出し、承認を得ることが求められます。また、商業銀行は、アウトソーシング活動の開始から 1 か月以内に、クラウド導入の実施状況を OJK に報告する必要があります。
NBFI (ノンバンク金融機関) は、技術開発計画において IT サービスプロバイダーの利用を OJK に通知し、実施レポートで導入の進捗状況を更新することが求められます。同様に、NBFI がインドネシア国外で電子システムを導入する場合は、導入の少なくとも 3 か月前に OJK に申請を提出し、承認を得る必要があります。
さらに、決済サービスを提供する銀行およびノンバンク機関(モバイル決済、決済バックエンド、POS 決済、顧客間決済、消費者決済を含む)には、事前承認が必要です。決済サービスプロバイダーは、決済トランザクション処理について BI に定期的にレポートを提出することが求められます。
フィンテック活動にはライセンスが必要か
金融サービスに関連するフィンテック活動は OJK により規制されています。金融サービスセクターにおけるデジタル金融イノベーションに関する OJK 規則第 13/POJK.02/2018 号は、以下のデジタル金融イノベーション活動を行う企業に対して、OJK への登録またはライセンスの取得を義務付けています(免除が適用される場合を除く)。
P2P レンディングは、インターネットを利用した電子システムを通じて、ルピア建ての融資契約の締結を目的として貸し手と借り手を結びつける金融サービスの提供と定義されています。P2P レンディングプラットフォームを提供する企業は、一定の要件を満たした上で OJK に登録し、ライセンスを取得する必要があります。お客様および企業は、クラウド導入前に、必要なライセンスを保有していること、および OJK/BI/Kemen Kominfo に登録済みであることを cekfintech で確認してください。
オフショアアウトソーシングは認められているか
原則として、FSI はインドネシア国内のデータセンターおよびディザスタリカバリセンターを使用し、インドネシア国内で IT ベースのトランザクション処理を行うことが求められます。ただし、特定の条件下では、OJK の事前承認を取得することにより、FSI はインドネシア国外のデータセンターおよびディザスタリカバリセンターに電子システムを配置することが認められています。具体的には、(a) 統合分析の支援、(b) 海外に本社を置く銀行のリスク管理、(c) 海外に本社を置く銀行の AML/CTF 機能、(d) グローバルな顧客へのサービス提供、(e) オフィス間の通信管理、(f) 内部管理の用途で、OJK の承認を得た場合に配置が可能です。FSI は、OJK の事前承認を取得し、インドネシア経済の発展への貢献を示すことができれば、インドネシア国外で IT ベースのトランザクション処理を実施することも認められています。したがって、インドネシア国外の IT サービスプロバイダーの利用は特定のシナリオに限定され、OJK の追加承認が必要です。また、BI の事前承認を取得した場合、決済トランザクションをインドネシア国外で処理することも可能です。
