ASEAN各国のデータ移転規制・データローカライゼーション最前線
(最終回)
第6回:違反企業の実名公開でレピュテーションリスクも!?シンガポールの個人情報保護法
バックナンバー
2019/07/16
はじめに
ASEAN各国の最終回データ移転規制・データローカライゼーションを取り上げてきた本シリーズですが、最終回となる今回は、シンガポールの個人情報保護法について説明させていただきます。
シンガポール個人情報保護法(Personal Data Protection Act 2012 (No.26 of 2012)、以下「PDPA」)は、2012年10月に議会において採択され、2014年7月2日までに全面施行された、シンガポールにおける個人情報保護法制の基本となる法律です。PDPAにおいては、1 件でも個人情報を保有している事業者(organization)が適用対象となっており、大企業のみならず、小規模な企業や支店、駐在員事務所に対しても適用されます。同法に違反すると、企業には最大100 万シンガポールドル(約8,000万円)の罰金、企業の責任者に対しては3 年以内の禁固刑という罰則が課せられる可能性があるうえ、監督政府機関である個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」)による令状なしの立ち入り調査も認められており、処分事例はPDPCのウェブサイト上で実名公表がなされる等、そのネガティブインパクトは無視できないものになる恐れも少なくありません。
本稿においては、このようなPDPAの中身について概観するとともに、ご留意点や近時の動きについて紹介させていただきます。
「個人情報」の定義
PDPAによる保護の対象となる「個人情報」とは、「個人に関する情報であって、真実か否かを問わず、その情報から個人が特定できるもの、又は、その情報と、事業者がアクセスし、又はアクセス可能性のあるその他の情報と併せて個人が特定できるもの」と定義されています※1。
このように、定義が抽象的な表現にとどまっているため、かなり広範な情報が「個人情報」に該当しうることになると思われます。また、一部の国にみられるような「センシティブ個人情報」という個別の類型は現在のPDPAには規定されていませんが、PDPCの発行されるガイドライン上、国民識別カード番号(NRIC番号)といった一部の類型の個人情報については、今後取得が原則禁止とされることが予定されています(後述)。
なお、死者に関する情報であっても、死後10年以下の場合については、一部の規定(保護義務)は適用されることにも留意が必要です。
※1:PDPA section2 (1)
“personal data” means data, whether true or not, about an individual who can be identified —
(a)from that data; or
(b)from that data and other information to which the organisation has or is likely to have access;
PDPAの内容
PDPAは、大きく言って、次の3つの内容から構成されています。
1.個人情報の取扱いに関する9つの義務
2.データ保護担当者(Data Protection Officer、DPO)の選任義務
3.電話勧誘拒否登録制度(Do Not Call Registry)
1. 9つの義務の内容は次の通りです。
(1)同意取得義務(第13条):個人情報の収集時に、当該個人から同意を取得すべき義務
(2)利用目的の制限義務(第18条):個人情報の収集・使用・開示は、個人に通知した目的の範囲内に制限される義務
(3)利用目的の通知義務(第20条):個人情報の収集時には、(2)の利用目的を通知すべき義務
(4)アクセス権限及び訂正義務(第21条、第22条):収集された個人情報の保有者に、当該個人情報のアクセスと訂正を行うリクエストを認めるべき義務
(5)正確性義務(第23条):収集した個人情報の正確性を確保する義務
(6)保護義務(第24条):収集した個人情報に対する不正アクセスを防止するように適切な措置を講じる義務
(7)保有制限義務(第25条):収集した個人情報の利用目的が終了した後に保有を止めるべき義務
(8)国外移転に関する義務(第26条):収集した個人情報をシンガポール国外に移転する場合には、PDPAの求める措置を講じるべき義務
(9)公開義務:事業者の個人情報保護ポリシーやDPOの連絡先等を公開すべき義務
これらの義務は、一つ一つはいずれも「あたりまえ」のようにも感じるものばかりとも言えますが、後で見るように、実際にはPDPCがこれらの義務違反に基づく処分を多数、行っていますので、注意が必要と言えます。特に、(6)保護義務違反に基づく処分が多くを占めており、不正アクセスのための防止措置を十分に講じておくことや、DPOの選任・教育を含めた万が一の事故の際の対応体制を事前に構築しておくことが肝要と言えます。
なお、これらの義務の一部については、PDPAの附則(Schedule)において例外が定められています。例えば、緊急時や公知の情報、ビジネス上当然に取得が想定される情報等について、収集される個人からの同意取得が不要とされています(附則2)。その他、個人の同意なく個人情報が使用できる場合(附則3)、第三者への開示ができる場合(附則4)、アクセス権限及び訂正義務が免除される場合(附則5及び6)が定められています。
2. DPOの選任
DPOの選任に関しては、PDPA上、事業者に対する「事業者が本法を遵守することについて責任を負う1人以上の個人の任命義務」として現れます(第11条第3項)。DPOの具体的職務や責任についてはPDPA上に規定されていませんが、一般には、事業者内部における個人情報保護制度の周知徹底を行い、個人情報に関する外部との連絡窓口となる等の役割が期待されています。また、DPOに関する資格要件等も定められていないため、当該事業者内外の誰もが就任可能と言えますが、その職務を全うしうるに足る資質(当該事業者にPDPAを遵守させるための能力があること、シンガポールにおける個人からの連絡が取れる状況にあること等)は事実上求められます。
3. 電話勧誘拒否登録制度(Do Not Call Registry)
電話勧誘拒否登録制度(Do Not Call Registry)に登録されたシンガポールの電話番号に対してテレマーケティング等の営業活動を行うことはPDPA上、禁止されており、事業者は、営業活動を行おうとする電話番号が当該制度に登録されていないかを確認する義務があり、それに反して営業活動を行った場合、10,000シンガポールドル以下の罰金が科される恐れがあるため注意が必要と言えます(第43条)。
処罰事例の公表
前述の通り、PDPAの所管機関であるPDPCは、違反事例の摘発を活発に行っており、その処分の内容は同委員会のウェブサイトに実名公表されてしまいます※2。過去に処分が公表された事業者の中には、シンガポール国立大学(NUS)や生活協同組合(NTUC)といった、地元の公益的機関も含まれ、また日本の著名企業のシンガポール法人も少なからず含まれる等、PDPCの毅然とした態度を強く伺うことができる状況となっています。2019年1月には、病院における150万人以上の患者情報の流出事件(保護義務違反)に伴い、医療サービス業者及び病院に対してそれぞれ25万シンガポールドル(約2,000万円)、75万シンガポール(約6,000万円)の罰金が科されました。
このように、PDPA違反においては実際に多額の罰金が科されるケースが発生していますが、違反が認定された場合、その処罰の内容もさることながら、そもそも違反者として実名公表を受けてしまうこと自体、事業者のレピュテーションが大きく低下してしまう可能性も否定できないため、如何なる事業者であっても、PDPA遵守のための十分な対策が必要と言えます。
※2:https://www.pdpc.gov.sg/Commissions-Decisions/Data-Protection-Enforcement-Cases
国外移転規制
シンガポールにおいては、日系企業が親会社と情報を共有するケース等、当地で取得した個人情報を国外に移転させるケースも少なくないと思われます。ガイドライン上、シンガポールからの個人情報の国外移転については、(i)当該個人情報を移転する側において、その情報がPDPAに基づくルールに沿って確実に取り扱われるようにすること、及び(ii)移転を受ける側において、PDPAに基づくのと同等の法的強制力のある義務に服することが必要とされます。(i)の例としては当該個人情報保有者の同意がある場合、契約上、国外移転が想定される場合、公知の個人情報の場合等が含まれ、(ii)の例としては、法律に基づく義務、PDPA類似の水準を求める契約や社内規則に基づく義務等が含まれるとされています※3。
最新動向
1. NRIC番号等の取得・保有等の原則禁止
前述の通り、2019年9月1日から、事業者による国民識別カード(NRIC)番号、外国人識別番号(FIN)、ワークパーミット番号及び出生証明番号の取得、使用、開示及び保有が原則的に禁止されます(現在は猶予期間中)。従前はこれらの情報をもって顧客管理を行ってきた事業者が多いと想定されていましたが、今後は、NRIC番号等の一部(下4桁等)+他の情報(氏名、電話番号、メールアドレス等)の組み合わせによる顧客識別が奨励されています※4。なお、医師による治療、ホテルのチェックイン、携帯電話等の契約、教育機関への申込みといった類型的に取得ないし管理の必要性が高いと考えられる場面においては、例外も認められています。
2. 同意なく個人情報が取得できる場面の拡張
前述の通り、PDPA附則(Schedule)においては、同意なく個人情報を収集等できる場合について定められていますが、近時は、これら以外に、(i)公益目的があり、(ii)個別の同意取得が困難と考えられる場合において、複数の事業者間における個々の同意なき個人情報の共有が認められうることとなっています。具体的には、シェアリング自転車サービス業者間における悪質ユーザーに関する情報等が念頭に置かれています※5。
3. データ保護認証マーク(DPTM)制度
さらに、事業者による個人情報保護の取り組みを公的に認証するデータ保護認証マーク(DPTM)制度の運用も開始されています。このDPTM制度は、2018年7月から試験企業に対する申請が行われ、2019年1月から一般申請受付が開始されており、日本におけるプライバシーマークと同様、事業者の個人情報管理体制に関する消費者等からの信頼を担保、事業上の競争力を高めること等が目指されています※6。現時点で認証を受けられた事業者はまだ少数のようですが、これから一般に浸透することが期待されます。
※6:https://www.imda.gov.sg/dptm
4. 最新ガイドラインの発行
以上のほか、PDPCからは2019年5月22日-30日にかけて、4つのガイドラインが相次いで発行されており、同委員会の最新の考え方の大枠が垣間見られるものとなっています※7。
※7:https://www.pdpc.gov.sg/Legislation-and-Guidelines/Guidelines/Other-Guides
- 第1回:すでにFacebookも摘発!?ベトナムのサイバーセキュリティ法
- 第2回:今後法改正の可能性も?マレーシアの個人情報保護法
- 第3回:BPOで多くの個人情報が集積するフィリピンの個人情報保護法
- 第4回:個人情報保護法が未制定のインドネシアの個人データ取扱規定
- 第5回:ついに成立!タイの個人情報保護法
- 第6回:違反企業の実名公開でレピュテーションリスクも!?シンガポールの個人情報保護法
弁護士法人One Asia / One Asia Lawyersについて
弁護士法人One Asia/One Asia Lawyersは、ASEAN地域に特化した法律事務所であり、ASEANにおいてシームレスな法務アドバイザリー業務を日系企業に特化して行っております。各事務所には、現地弁護士に加えて、日本人弁護士、専門家、現地語法律通訳者が常駐しており、ASEAN地域に特化した進出法務、M&A、コーポレート・ガバナンス、労務、税務、知的財産、不動産、訴訟・仲裁対応などについて現地に根付いた最適なサービスを提供しております。
拠点:シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー、東京
メンバー数:187名(内日本人31名)
今回の執筆者:伊奈 知芳
One Asia Lawyersシンガポールオフィス
弁護士登録後、日本における対中国クロスボーダー投資案件を主要業務とするブティック型法律事務所にて約8年間勤務(うち2010年-2015年は上海事務所代表)。
2015年、同所を退職後、シンガポール国立大学法学部大学院(LL.M.)へ留学。2016年、同大学院を卒業(Master's Degreeを取得)後、One Asia Lawyersの設立に参画。以降一貫してシンガポールオフィスをベースとし、東南アジア及び中国を中心とするクロスボーダーM&A案件のほか、労務、コンプライアンスその他一般企業法務案件に幅広く従事している。シンガポールを中心とした個人情報保護法制に関する講演も多数行っている。
