インドネシア国民は現在、米国政府によるインドネシア国民の個人データへのアクセス問題をめぐり、激しい反発を招いている。この問題は、米国とインドネシアの間で相互貿易協定（Reciprocative Trade Agreement）を締結することで合意したことを受けて発生した。TEMPOの報道によると、現地時間2025年7月22日（火）にホワイトハウスから発表された公式文書には、この協力の重要なポイントの一つとして、米国によるインドネシア国民の個人データの管理が挙げられている。

「インドネシアは、デジタル貿易、サービス、投資に影響を与える障壁に対処することを約束した。インドネシアは、個人データを自国領土から米国へ移転する能力に関して確実性を提供する」と文書は述べている。

プラボウォ・スビアント大統領は、インドネシア共和国とアメリカ合衆国政府間の交渉がまだ継続中であると伝えた。この発言は、2025年7月23日水曜日、ジャカルタのJCCセナヤンにあるハルラPKBで行われた。

「インドネシアは、米国をインドネシアの法律に基づき適切なデータ保護を提供する国または管轄区域として認めることで、自国の領土外に個人データを米国に送信する意思について確実性を提供する。」

個人データの移転を確実にするというコミットメントに関する上記の声明は、インドネシアにおける個人データを規制する既存の規制の観点から見ることができます。特に、インドネシアには個人データ保護に関する2022年法律第27号個人データ保護法があるためです。インドネシア共和国の領土外への個人データの移転については、同法第56条第2項、第3項、第4項に規定されています。

(2) 「…個人データ管理者は、個人データの移転を受ける個人データ管理者及び／又は個人データ処理者が所在する国が、同等以上の個人データ保護水準を有することを確保する義務を負う…」 (3) 「(2)の規定が満たされない場合、個人データ管理者は、適切かつ拘束力のある個人データ保護が確保されることを確保する義務を負う。」

（４）「（２）および（３）に規定する規定が履行されない場合には、個人データ管理者は個人データ主体の同意を得る義務がある。」

したがって、これらの規定では、個人データがインドネシアの管轄外に転送される場合、個人データの転送を受ける国がインドネシアと同等以上のデータ保護レベルを備えていることに注意し、確保することが必須であり、これが満たされない場合、個人データ管理者は個人データ主体、すなわち個人データを所有する当事者の同意を得る必要があります。

第56条の規定を遵守しない場合に対する制裁は、個人情報保護法においても、第57条第2項、第3項、第4項に行政制裁の形で規定されている。
（２）において、具体的には：

a. 書面による警告。
b. 個人データ処理活動の一時的な停止。
c. 個人データの削除または破壊および/または
行政罰金。
第（３）条 （２）ｄ項に規定する行政罰金の形態をとる行政制裁は、違反行為に対する年間収入または年間受取額の最大２パーセントとする。
第（４）条（２）に規定する行政処分は、当該機関が行う。

しかし、インドネシア政府は個人データ保護の実施を監督する機関を未だ設立していません。インドネシアと米国との貿易協定により、インドネシア領土から米国への個人データの移転が確実に行えることが保証されていることから、そのような機関がインドネシア内外における個人データの移転を監督することが期待されます。

したがって、この機関の存在は、インドネシアの個人情報保護法が施行され、インドネシアで施行されている法律および規制の規定に従ってインドネシア・米国協定の実施が確実に行われるようにするために機能します。