シンガポール:2020年に向けて
個人情報保護法の執行と改正の動向(上)
長島・大野・常松法律事務所
弁護士 長谷川 良 和
1 はじめに
2019年は、シンガポール個人情報保護法(「個人情報保護法」)の執行やガイドラインの改訂等において注目すべき動きが見られた1年となった。執行に関しては、2016年以降、同法に基づく執行事例が目立っていたが、2019年は執行事例数が更に大きく増加した。また、2019年には各種ガイドラインの策定及び改訂が見られた。更に、現在、データポータビリティの権利及びデータイノベーション規定の導入について同法改正の検討が進められている。かかる活発な執行や法改正等の動きに照らし、2019年の振返りと2020年を見据える観点から、本稿は2回に分けて、個人情報保護法の執行と改正の動向について、簡潔に紹介することとしたい。
2 近時の執行状況
(1) 執行事例の増加
個人情報保護法の執行を担う個人情報保護委員会は、個人情報保護法の積極的な執行を行っている。2016年から2018年までの間は、年間20件弱から30件近くの執行事例に関して同委員会として判断を出し、事例を公表してきた。2019年には、年間50件超の執行事例について判断を出しており、過去数年と比べても従前にない多数の執行判断が出された点が注目に値する。他のASEAN諸国と比べても突出して個人情報保護法の執行に積極的と評価できそうなことから、シンガポールでは事業者が同法遵守のため必要な措置を講じる重要性が特に高いといえよう。
(2) 執行事例の内容
近年、個人情報保護委員会により執行判断が出された事例の中には、例えば、事業者によるデータ保護責任者(DPO)の選任懈怠や情報保護ポリシーの策定懈怠といった、いわばごく基礎的な義務の違反を認定された事例もあれば、個人情報を保存するサーバーへの第三者による不正侵入を契機として情報管理体制の不備を問われるといった事例等も見られる。中にはB2C事業に従事する事業者のみならず、B2B事業のみに従事する事業者に対する執行事例も散見され、また日系企業に対して同法違反が認定された事例も見られる。同法違反の行為をした事業者は、違反内容に応じ、一定の罰金を支払い、あるいはその他の適切な措置を命じられることがある。
(3) 積極執行ガイドライン(2019年5月22日公表)
個人情報保護委員会は、2019年5月に個人情報保護法の積極的執行に関するガイドラインを策定し、公共の利益保護の観点から同法違反に対して効率的かつ効果的に執行を行うアプローチを明確に示している。その中で、明確な違反事例については、所定の要件を満たすことを条件として新たに簡易迅速に執行を行う手続も導入しており、事案の性格や調査対象者の認否状況等によって個人情報保護委員会が異なる執行アプローチを採ることが予定されている。
(下)につづく