シンガポール:個人情報保護法の執行状況と改正動向(上)
長島・大野・常松法律事務所
弁護士 長谷川 良 和
1 近時の動向
シンガポールで個人情報保護法(Personal Data Protection Act 。「個人情報保護法」)が成立してから5年超が経過する中で、とりわけ2016年以降、同法に基づく執行事例数の多さが目立つ。中には、日系企業を対象とする執行事例も散見される。近時、各種ガイドラインの改訂が見られ、更にデータポータビリティの権利及びデータイノベーション規定の導入について同法改正の検討も進められており、本年7月17日にはパブリックコメント募集締切りの段階まで検討が進んでいる。かかる活発な執行や法改正等の動きに照らし、以下では、シンガポール個人情報保護法の近時の執行状況と改正動向について簡潔に紹介することとしたい。
2 近時の執行状況
(1) 執行事例の件数
個人情報保護委員会は、個人情報保護法の積極的な執行を行ってきており、とりわけ2016年以降は、年間20件弱から30件近くの執行事例に関して同委員会として判断を出し、事例を公表している。2019年は、7月22日時点で既に23件の執行事例について判断を出しており、過去数年と比べても従前にないハイペースで事例判断が出されている。他の東南アジア諸国と比べても突出して個人情報保護法の執行に積極的と評価できそうなことから、事業者は同法遵守のため必要な措置を講じる重要性が特に高いといえよう。
(2) 執行事例の内容
近年、個人情報保護委員会により執行判断が出された事例の中には、例えば、事業者によるデータ保護責任者(DPO)の選任懈怠や情報保護ポリシーの策定懈怠といったいわばごく基礎的な義務の違反を認定された事例もあれば、個人情報を保存するサーバーへの第三者による不正侵入を契機として情報管理体制の不備を問われるといった事例等も見られる。また、日系企業に対して同法違反が認定された事例も散見される。同法違反の行為をした事業者は、違反内容に応じ、一定の罰金を支払い、あるいはその他の適切な措置を命じられることがある。
(3) 積極執行ガイドライン(本年5月22日公表)
個人情報保護委員会は、本年5月に個人情報保護法の積極的執行に関するガイドラインを策定し、公共の利益保護の観点から同法違反に対して効率的かつ効果的に執行を行うアプローチを明確に示している。その中で、明確な違反事例については、所定の要件を満たすことを条件として新たに簡易迅速に執行を行う手続も導入しており、今後は事案の性格や調査対象者の認否状況等によって個人情報保護委員会が異なる執行アプローチを採ることが見込まれている。
(下)につづく