シンガポールの個人情報保護法はどのような制度か
IT・情報セキュリティ
目次
はじめに
シンガポールでは2013年1月に個人情報保護法(Personal Data Protection Act. 以下「PDPA」といいます)が成立し、2014年7月以降、すべての条項が施行されています。本稿では、シンガポールでの事業を営む日本企業またはシンガポールに所在する企業と取引を行っている日本企業に適用されるPDPAについて、その概要および法律上の留意点について解説します。
PDPAの概要
適用対象者
PDPAの適用対象は「事業者」(Organization)とされており、事業者には法人に限らず、自然人も含まれます。また、事業者は、シンガポール法人・シンガポール在住者か海外法人・海外居住者を問いません。さらに、日本の個人情報保護法と異なり、個人情報の保有している数が少ない場合にはPDPAの適用がないということはありませんので注意が必要です。
そのため、PDPAは、シンガポール国内外、組織の大小、および保有している個人情報の多寡を問わず、広くシンガポールにおける個人情報を取り扱っている者を対象とし、個人情報の保護を図っていることになります。そのため、日本企業の駐在員事務所や支店レベルであってもPDPAの適用対象となるということになります。ただし、すべての行為がPDPAの適用対象になるかといえば、そうではなく、個人のプライベートな活動などは適用除外とするなど一定の例外を設けています。
適用対象情報
PDPAの適用対象となる個人情報とは、日本の個人情報保護法と同様の考え方がとられており、日本の個人情報保護法と同様に、事業者が保有している情報または当該情報とアクセスが容易な情報を総合して個人が特定されるものを指し、情報自体が真実かどうかは問いません。
また、個人情報は紙ベースなどの非電子媒体とE-mailやハードディスクなどの電子媒体に保存されているかを問いません。ただし、PDPA上、名刺に記載されているようなビジネス上の連絡先に関する情報についてはPDPAの対象外となっています1。
個人情報の取得方法
個人の同意取得
事業者が、PDPAの適用のある個人情報を取得する場合、原則として対象となる個人から個人情報の取得に対して同意(「みなし同意」を含みます)を取得する必要があります。みなし同意とは、個人情報を自発的に特定の目的で提供し、かつ当該情報提供が合理的であるとき2には、情報提供者の同意が明示的になくとも同意があったものとみなされることをいいます。
この同意は個人情報の取得等の目的ごとに必要となりますので、事業者の方で取得後の個人情報の利用目的が変わった場合には再度同意を取得しなくてはならない点に注意が必要です。また、同意取得の方法自体に制限はなく、電子的方法(例えば、オンラインで同意する旨の印にクリックするような方法)でも構いませんが、将来の紛争予防のため、記録に残る形で取得しておくことが望ましいといえます。
なお、未成年からの個人情報の取得等に関しては、PDPA自体は特別の規定は設けていませんが、ガイドライン等によると有効な同意ができる年齢については個々の法律に基づいて決められるべきものであるとしつつも、13歳を1つのメルクマールとして判断されるべきと考えているようです。
第三者からの情報取得
事業者が、個人から直接取得するのではなく、当該個人情報を保有している第三者から個人情報を取得する場合、事業者が当該個人から直接同意を取得することは困難なことが想定されます。
このような場合、①第三者が、個人情報の取得・利用・開示について、事業者に対して有効に同意を与えることができる場合、②個人が、第三者に対して自身の個人情報を他の者へ開示することについてあらかじめ同意等を与えている場合などは、事業者は当該第三者経由で個人情報を取得・利用・開示(以下「取得等」といいます)等をすることができます。
第三者から事業者に対し有効な同意を与えることができる場合
個人情報の提供者、事業者が取得等することについて同意している場合
同意が不要である場合
また、PDPAでは、以下の様な場合に同意が不要とされています。
同意が不要な場合
- 同意が直ちに取得できない場合または同意を留保すると合理的に想定されていない場合に、当該個人の利益のために必要な場合
- 個人の生命・健康・安全に対する切迫した危険に対応するために必要な場合
- 当該個人情報が公知の場合
- 当該個人情報の取得等が国益のために必要な場合
- 当該個人情報が評価目的で利用される場合[^3]など
個人からのアクセス権
PDPA上、一定の例外を除き、個人は、事業者に対して、以下の情報の開示を求めることができます。
個人から開示を求めることができる情報
- 当該事業者が保有・管理している自己の個人情報
- 当該個人情報の利用・開示に関する情報(ただし、請求時点から過去1年以内に限ります)
以下、個人のこのような要求は「アクセス権の行使」といいます。
また、個人は、事業者が保有している自己の個人情報の誤り等を訂正するよう求めることができ、事業者は不適当である合理的な理由がない限り、速やかに訂正を行わないといけません。
訂正が行われた場合、事業者は、一定の例外を除き、訂正が行われた日から1年前までに同社から開示を受けた他の事業者に対して訂正情報の通知を行わなければなりません。
なお、個人からのアクセスおよび訂正要求に対して発生した費用と同程度の手数料を当該個人に請求することは許されると考えられています。
このように個人からのアクセス権の行使や訂正要求については、多くの個人情報を扱う事業者にとっては相当な負担となりえます。そのため、PDPA上も以下のような場合には、個人のアクセス権の行使や訂正要求を拒否することができます。
個人のアクセス権の行使や訂正要求を拒否することができる場合
- 評価目的で個人情報を保有している場合
- 個人情報が研究・教育目的で利用されている場合
- 事業者のシステムの性質上、当該事業者の事業に不合理な障害等をもたらす場合
- 個人情報へのアクセス権の行使・訂正要求に対応する場合の負荷・費用が、当該個人の利益に比べて事業者にとって著しく重い場合等の一定の場合
- 当該個人情報が些末である場合
- 個人情報へのアクセス権の行使・訂正要求が濫用的な場合
その他PDPA上の留意点
PDPA施行前に取得した個人情報の取り扱い
PDPAが施行される前に取得した個人情報については、事業者は引き続き当該情報を利用することができます。
個人情報の保有期間
PDPAでは、事業者が個人情報の保有が認められる具体的な期間を一律に規定しているわけではありません。しかし、以下のような場合には個人情報の廃棄が求められています。
個人情報の廃棄が求められる場合
- 個人情報の保有が、もはや取得等した時点での目的に有益ではなくなっている場合
- 個人情報の保有が法律上または事業目的上、もはや必要ではないと合理的に判断される場合
実務的には、上記の点を踏まえ、業界慣行や自社の文書管理規程等の内規を参考に取得から一定期間を経過した個人情報は廃棄することが望ましいといえます。こうすることによって、事業者への過大な負担となりうる個人情報へのアクセス権の行使や訂正要求に対応する必要もなくなるというメリットもあります。
PDPA上求められる社内体制について
必要な社内外の対応
事業者がPDPAの適用を受ける場合、事業者において①個人情報保護責任者の選任、②プライバシーポリシーの策定・実践、③個人からのアクセス権の行使や訂正要求に対する社内対応手続の策定、④上記プライバシーポリシーおよび社内対応手続の公表、⑤これらの対応について従業員への周知徹底が必要となっています。
個人情報保護責任者
PDPAは、事業者に対して、PDPAを遵守し、同法上の義務を実施するための責任者として、1名以上の個人情報保護責任者を選任し、当該責任者のビジネス上の連絡先を公表することを求めています。
この点、個人情報保護責任者の個人的な名前自体を公表する必要はなく部署名でも構いませんし、また、当該責任者が常時シンガポールにいる必要もありません。ただし、連絡先自体はシンガポール国内の連絡先である必要があります。
具体的な個人情報保護責任者については、コンプライアンスや法務に詳しい人間、または昨今の企業では電子媒体での情報取り扱いが主ですのでITに詳しい人間を選任することが考えられます。
個人情報の保護義務
PDPAは、上記のとおり事業者に社内外の体制を整えることを求めるとともに、個人情報の保護義務を課しています。個人情報の保護義務とは、事業者が保持・管理している個人情報を、無権限のアクセス、取得および利用等のリスクから守るために「合理的な安全保護措置」を講じることを求めています。
「合理的な安全保護措置」は、当該事業者が取得している個人情報の性質、取得・保管形態などによって決まると言われており、以下の3つの側面から判断されることになります。
| 管理面 | 従業員等への社内教育は十分実施されているかなど |
|---|---|
| 物理面 | どこに個人情報を保管しているのかなど |
| 技術面 | データ等の場合にセキュリティを十分かけた場所に保管しているのかなど |
その他のPDPA上の留意点
個人情報処理の外部委託
事業者が個人情報を第三者に共有し、当該第三者に対して個人情報の記録、保持、変更、廃棄等の何らかの情報処理を委託する場合、PDPA上、当該第三者は「情報仲介者」と呼ばれます。情報仲介者は上記の合理的な安全保護措置をとって情報を保護する義務を負いますが、これによって、委託者である事業者の義務が軽くなったり、免れたりすることがない点は注意が必要です。
さらに、PDPAのガイドライン上、情報仲介者に委託した事業者は、当該情報仲介者が個人情報の適切な保管・維持ができることを書面によって確認することが求められています。例えば、シンガポールで収集した個人情報を外部の情報処理業者に委託して何らかのデータ加工や分析などを依頼する場合がこれにあたるかと思います。
外部委託のイメージ
個人情報のシンガポール国外への移動
PDPAは、シンガポールで取得された個人情報をシンガポール国外へ移動させる場合、移動先の事業者がPDPAにおける個人情報保護と少なくとも同等の基準で個人情報を保護するよう「法的に執行可能な義務」を負っていることを確認する必要があります。
例えば、シンガポールの子会社が現地で収集した個人情報を日本の本社またはシンガポール国外の他のグループ会社へデータ移管または情報共有する場合が典型的な例であり、この場合には、シンガポールの子会社において上記の確認義務が発生することになります。
シンガポール国外へ移動するには確認義務が発生する
※移動先の事業者がPDPAにおける個人情報保護と少なくとも同等の基準で個人情報を保護するよう「法的に執行可能な義務」を負っていることを確認する必要あり
この点、「法的に執行可能な義務」を負っているといえるかどうかの根拠として、法令、契約、執行力ある社内規則等が挙げられています。実際に適用法令(例えば、日本の個人情報保護法)がPDPAにおける保護と少なくとも同等の保護基準を満たしているかどうかの判断は困難なケースが想定されるため、事業者としては、収集した個人情報の移動先の事業者に対して、第三者の場合は契約で個人情報の保護義務を課し、また、親子会社間やグループ会社間であれば社内規定の整備を行い、そこで保護義務を課すことなどが考えられます。
おわりに
本稿で記載したように、PDPAは、シンガポールでの事業を営む企業のみならず、シンガポールに所在する企業と取引を行っている日本企業にも無縁ではありません。現在までにシンガポールの子会社等においてPDPAに対応していない場合、まずは現在保有している個人情報の洗い出しと整理を行うとともに、シンガポール国内外への個人情報の共有の有無(外部への委託や日本の本社への共有を含みます)等も確認の上、社内のプライバシーポリシーの策定並びに個人情報保護責任者を選任する必要があります。
上記対応については、社内の法務・コンプライアンス等を担当する部署が主導的に対応することが望ましく、また、外部専門家と協働することが必要といえるかと思います。
弁護士法人大江橋法律事務所
- コーポレート・M&A
- ファイナンス
- 国際取引・海外進出