- 2021 . 02 . 17
- シンガポール
- コラム 現地最新情報
2021年2月1日施行シンガポール改正
個人情報保護法について
1.はじめに
2021年2月1日、シンガポールにおいて改正個人情報保護法 (Personal Data Protection Act 2012) が施行されました。シンガポールでは、2012年に初めて個人情報保護法が制定され、個人情報の保護を図りながら、事業者が個人情報を合理的に収集、利用、開示できるようなルールが定められてきました。本稿では、個人情報保護法の基本的な内容に加えて、重要な改正内容について解説します。
個人情報保護法における「個人情報」とは、直接的又は間接的に個人を識別し得る情報をいい、同法は、事業者に対して、以下の9つの義務を課しています。
(1) 同意取得義務(Consent Obligation)
(2) 目的制限義務(Purpose Limitation Obligation)
(3) 目的通知義務(Notification Obligation)
(4) アクセス権限付与及び訂正義務(Access and Correction Obligation)
(5) 正確性保証義務(Accuracy Obligation)
(6) 保護義務(Protection Obligation)
(7) 情報保有期間に関する義務(Retention Limitation Obligation)
(8) 域外移転に関する義務(Transfer Limitation Obligation)
(9) 情報開示義務(Openness Obligation)
2.事業者が遵守すべき義務の概要(個人情報保護法の基本的な内容)
事業者は、個人情報を収集、利用、開示する前に、本人の同意を取得する義務を負います(同意取得義務)。事業者は、個人情報を収集、利用、開示する目的を個人に通知しなければならず(目的通知義務)、収集した個人情報は、同意が得られた目的にのみ利用しなければなりません(目的制限義務)。例えば、新型コロナウィルス感染対策の目的で提供された行動記録などの個人情報は、新型コロナウィルス感染対策の目的のみで利用が可能であり、当該情報をマーケティングなどの目的で利用することは禁止されています。
加えて、事業者は個人情報を収集した後、個人が自己の情報にアクセスし、情報が不正確な場合には、これを訂正できるようにしなければならず(アクセス権限付与及び訂正義務)、収集した個人情報が全て正確な情報であることを保証する必要があります(正確性保証義務)。また、責任を持って個人情報のセキュリティ対策を行わなければなりません(保護義務)。
事業者は、特定の目的を果たす上で必要な期間が過ぎれば、個人情報を削除しなければなりません(情報保有期間に関する義務)。個人情報保護法は必要な期間について明示的に規定していないため、事業者は、収集したそれぞれの個人情報に関して基準を設定する必要があります。
個人情報を海外へ移転する場合、海外の受信者にもシンガポールの個人情報保護法の効力が及びます(域外移転に関する義務)。個人情報を海外へ移転する場合の典型例は、外部サービスプロバイダーを利用する場合や、グループ企業内で情報を共有する場合です。このような場合には、海外の受信者がシンガポールの個人情報保護法の要件を満たしているか確認をする必要があります。
3.改正個人情報保護法の重要な変更点について
(1) データ侵害に対する報告の義務化
「データ侵害」が発生した際、事業者は「個人に重大な危害が生じるおそれ」がある場合、事業者は個人情報保護委員会及び被害を受ける個人に対して、データ侵害の事実を報告する義務を負います。
まず、「データ侵害」は、以下の場合をいいます。
・個人情報に対する不正なアクセス、収集、利用、開示、複製、修正もしくは処分行為、又は
・これらの侵害行為が生じうる状況において、個人情報が保管されている記録媒体・装置を紛失すること
次に、「個人に重大な危害が生じるおそれ」は、以下の2パターンをいいます。
・パターン1
② 個人の財務情報 、生命・健康保険、健康状態、監護や保護が必要とされる者の特定に繋がる情報、又は電子記録や電子取引の承認権限や署名権限に関する情報が侵害される場合
・パターン2
② 口座へのアクセス又は口座の使用を許可するために使用される生体認証データ、セキュリティコード、アクセスコード、パスワード又はセキュリティに関する質問に対する回答であって、不正な取引又は口座情報へのアクセスのために悪用される可能性があるものが侵害される場合
したがって、これらの「データ侵害」により、上述の2パターンのいずれかの「個人に重大な危害が生じるおそれ」がある場合には、事業者は個人情報保護委員会及び被害を受ける個人に対して、報告義務を負います。
事業者は、さらに、500名以上の個人情報が侵害された場合には、個人に対して報告義務を負わないものの、個人情報保護委員会に対して報告義務を負います。
事業者がデータ侵害の可能性を認識した場合、迅速に内部評価を実施して、データ侵害が報告義務の対象になるかを判断しなければなりません。データ侵害が報告義務の対象であると判断した場合、事業者は、当該判断の日から3日以内に少なくとも個人情報保護委員会へ報告する義務があります。報告に関し遅延が起こらないように、データ侵害が生じた際の対応手順を予め決めておくことが推奨されます。
(2) ビジネス改善に関する例外と正当な利益に関する例外
事業者は、以下3つのビジネス改善の目的の場合、個人の同意なしに個人情報を利用できる可能性があります。
(i) 運用効率化とサービスの改善
(ii) 製品及びサービスの向上又は強化
(iii) 本人確認
これらの適用を受けるには、事業者は次のそれぞれの条件を満たす必要があります。
(i) 個人を特定する個人情報を利用しないと目的達成ができない場合
(ii) 適切な目的で、個人情報を利用する場合
(iii) 個人情報の利用目的が、マーケティングに関するメール送信ではない場合
当該例外はグループ会社にも適用されます。但し、グループ会社が例外の適用を受けるためには、以下の要件も満たさなければなりません。
(iv) 個人情報が、事業者の既存又は将来の顧客に関連していること
(v) グループ会社が、個人情報を適切に保護する内容の契約書を締結していること又は社内規約を有していること
(3) データポータビリティに関する義務
事業者は、新たにデータポータビリティに関する義務を負います。すなわち、事業者は、個人の要求に応じて、所有又は管理している個人情報を判読可能な形式で別の事業者に開示しなければなりません。ただし、当該義務は、事業者が別の事業者から取得した個人情報には適用されません。そのため、事業者は、この義務に基づき、別の事業者に開示する必要がある個人情報やそうではない個人情報を特定するための内部規約が必要となります。
(4) 違反に対する罰則の強化
現在、事業者はデータ侵害に対し、100万シンガポールドル又はシンガポールでの年間売上高の10%のいずれか高い金額の罰金が科される可能性があります。
罰金額を決定する際、個人情報保護法では複数の事情が考慮されます。例えば、個人情報の種類、事業者が経済的に利益を得たか否かの他に、事業者がすぐに効果的な措置を講じたかどうかも一つの事情とされています。違反に対する高額な罰金が科せられることを考えると、事業者はデータ収集及び管理方法の見直しをされることをお勧めします。
ケルビンチア・パートナーシップ法律事務所
https://www.kcpartnership.com/
日本国弁護士・シンガポール外国法弁護士
山本 裕子(Yamamoto Hiroko)
シンガポールを拠点として、主に東南アジア地域におけるM&A案件、JV案件、知的財産法関連の案件、その他、一般企業法務(労働法、個人情報保護法、コンプライアンス)に関するアドバイスを行っている。