◇SH3503◇シンガポール:個人情報保護法の改正(1) 松本岳人(2021/02/25)

未分類
アジア法務情報(長島・大野・常松法律事務所)シンガポール

シンガポール:個人情報保護法の改正(1)

長島・大野・常松法律事務所

弁護士 松 本 岳 人

 

1. はじめに

 2020年11月2日、シンガポールのPersonal Data Protection Act 2012(以下「個人情報保護法」という。)[1]を改正する法律案(Personal Data Protection (Amendment) Bill 2020)がシンガポールの国会で可決された。本改正には、個人情報保護法が制定された2012年以降のデジタル経済の進展、テクノロジーの進化、グローバルでの規制動向なども考慮した多岐にわたる改正事項が盛り込まれていることから、本稿では、その主要な改正内容について2回に分けて紹介する。なお、本稿は、SH3200 シンガポール:個人情報保護法の改正に向けた動き(1) 松本岳人(2020/06/16)及びSH3202 シンガポール:個人情報保護法の改正に向けた動き(2) 松本岳人(2020/06/17)として、改正案の段階で紹介した内容を、改正法の成立を踏まえて加筆修正したものである。

 

2. 改正法の概要

 改正項目は大きく次の4つの視点において分類されている。

 

① 説明責任の強化

② 個人情報の取得、利用及び開示の法的枠組みの見直し

③ 個人の情報自治権の拡大

④ Personal Data Protection Commission(個人情報保護委員会)の監督権限の強化

 

⑴ 説明責任の強化

 現行の個人情報保護法においては、個人情報について不正なアクセス、取得、利用、開示、複写、変更、廃棄等の事象が生じた場合(以下「データブリーチ」という。)、個人情報を取り扱う事業者に監督当局等へ当該データブリーチの内容を通知する義務が課せられているわけではない。[2]この点、改正法においては、個人情報の取扱いについての説明責任の重要性が明確化されることとなり、その一つの表れとしてデータブリーチにより個人への重大な危害等が生じるおそれがある場合には、個人情報保護委員会及び対象となる個人情報の本人への通知義務が課せられることとなった。

 

⑵ 個人情報の取得、利用及び開示の法的枠組みの見直し

 現行の個人情報保護法においては、事業者が個人情報を取得、利用、開示をするためには原則として個人からの同意を必要としている。もっとも、一定の場合に同意が不要となる例外や個人から同意を取得したものとみなされる場合も規定されている。改正法においては、個人の利益を保護するために個人からの同意取得の位置づけをより実質的なものとして捉え直し、同意が必要となる場面を再整理している。とりわけ、次の場面が明確化される点は重要な改正事項となる。

 

  1. ① 契約上の必要性のためのみなし同意制度の導入
  2.   個人との契約や取引の履行等のために第三者への開示や、第三者による利用が合理的に必要となる一定の場合に、個人が同意したものとみなされる制度が導入される。
  3.  
  4. ② 通知によるみなし同意制度の導入
  5.   個人への悪影響が生じないことが見込まれる場合に、合理的なオプトアウト期間を設けた上で、個人情報の利用目的等を通知し、当該個人からオプトアウトの連絡がなかった場合には、個人の同意があったものとみなされる制度が導入される。
  6.  
  7. ③ 正当な利益(legitimate interest)のための個人情報の取得、利用及び開示に係る同意取得の例外
  8.   違法行為の防止や生命、身体の安全の確保など、個人情報の取扱事業者の正当な利益及び公共の利益のための個人情報の取得、利用及び開示であって、それによって生じる利益が、個人が被る不利益を上回る場合に、例外的に同意が不要となることが明確化される。
  9.  
  10. ④ ビジネス改善目的(business improvement purpose)のための個人情報の利用等に係る同意取得の例外
  11.   適式に同意を得て取得した個人情報を、業務効率化やサービス向上、商品又はサービスの開発や改善、顧客分析といったビジネスの改善に役立てる目的で利用する場合等について、改めて個人の同意を取得せずに利用することができる範囲が拡張される。

 

(2)に続く

[1] シンガポール個人情報保護法の概要については、SH0261 シンガポール:ASEANにおける個人情報管理とシンガポールの実情 長谷川良和(2015/03/20)も参照されたい。

[2] 但し、個人情報保護委員会のガイドライン(Guide to Manage Data Breaches 2.0)においても、一定のデータブリーチ発生時に個人情報保護委員会及び対象となる個人への通知が求められていた。

 

この他のアジア法務情報はこちらから

 

(まつもと・たけひと)

2005年慶應義塾大学法学部法律学科卒業。2007年慶應義塾大学大学院法務研究科修了。2008年に長島・大野・常松法律事務所に入所後、官庁及び民間企業への出向並びに米国留学を経て、現在はシンガポールを拠点とし、主に東南アジア地域におけるJV案件、M&A案件、不動産開発案件その他種々の企業法務に関するアドバイスを行っている。

長島・大野・常松法律事務所 http://www.noandt.com/

長島・大野・常松法律事務所は、約500名の弁護士が所属する日本有数の総合法律事務所です。企業法務におけるあらゆる分野のリーガルサービスをワンストップで提供し、国内案件及び国際案件の双方に豊富な経験と実績を有しています。

当事務所は、東京、ニューヨーク、シンガポール、バンコク、ホーチミン、ハノイ及び上海にオフィスを構えるほか、ジャカルタに現地デスクを設け、北京にも弁護士を派遣しています。また、東京オフィス内には、日本企業によるアジア地域への進出や業務展開を支援する「アジアプラクティスグループ(APG)」及び「中国プラクティスグループ(CPG)」が組織されています。当事務所は、国内外の拠点で執務する弁護士が緊密な連携を図り、更に現地の有力な法律事務所との提携及び協力関係も活かして、特定の国・地域に限定されない総合的なリーガルサービスを提供しています。

詳しくは、こちらをご覧ください。

タイトルとURLをコピーしました