シンガポール:個人情報保護法の改正に向けた動き(2)
長島・大野・常松法律事務所
弁護士 松 本 岳 人
前稿に引き続き、本稿ではシンガポールの個人情報保護法の改正案についての主要な改正事項について紹介することとする。
⑶ 消費者の情報自治権の拡大
- ① データポータビリティーに関する規定の創設
- EUや米国カリフォルニア州、オーストラリアなど、諸外国でも認められ始めているデータポータビリティーに関する権利が新設され、消費者の個人情報への自治、コントール権が拡大される。データポータビリティーに関する権利とは、具体的には、個人がある事業者に提供している個人情報のコピーを他の事業者に移転させることを要求する権利である。
- 逆にいえば、個人情報を取り扱う事業者は、個人から要求があった場合には、事業者が保有する又は事業者のコントロール下にある個人情報を他の事業者に移転する義務を負うことになる。かかる事業者として義務を負うのは次の場合が想定されている。
-
- (a) データ移転の対象となる情報は、電子的なフォーマットで保有されている、ユーザが提供した情報(氏名、連絡先、クレジットカード番号、住所等(user provided data))及びユーザーの活動履歴情報(取引履歴、ウェアラブル端末やセンサー等により入手した情報(user activity data))であること(なお、個人情報保護法上は、ビジネスコンタクト情報は規制対象からは除外されているが、データポータビリティーとの関係では、ビジネスコンタクト情報も移転対象に含まれる)
- (b) データ移転を請求することができる個人は、事業者と既存のかつ直接的な関係を有する者であること
-
(c) データ移転の義務を負う事業者は、シンガポールで設立若しくは認識されている又はシンガポールに事業の拠点を有する事業者であること
なお、より詳細な要件については、改正法案とは別途規則において、データポータビリティーからの除外対象となる情報、技術的な点や手続の詳細、データの移転方法、個人の保護のために必要な措置等が定められる予定である。
- ② 未承諾広告のコントロール
- 現行の個人情報保護法においては、Do Not Call Registryという制度においてオプトアウトの手続をすることで一定の未承諾広告を防止する規制が設けられている。また別途Spam Control Act(スパムコントロール法)という法律も制定されており、同法においても重複的に未承諾の広告が規制されている。改正法案においては、事業者による広告の効率性等も考慮し、個人情報保護法及びSpam Control Actの関係も整理した上で、規制の合理化が図られている。
3 おわりに
改正法案には上記で紹介したものの他にも、例えば、これまで100万シンガポールドル(1シンガポールドル75円換算で7500万円)とされていたデータブリーチがあった場合の罰則の上限額が、シンガポールでの年間売上高の10%相当額(又は100万シンガポールドルのいずれか高い方)に引き上げられたり、監督当局である個人情報保護委員会の執行権限が強化されるなど、実務上の影響も大きい重要な改正事項が含まれている。そのため、改正法案は、まだパブリックコンサルテーションにおいて意見を募集した段階の案であり、今後一般からの意見も踏まえて内容は改定される可能性があり、また国会での審議等による変更等もありうるものの、改正情報には注視した上で、施行時に適切に対応できるよう備える必要がある。
以上