シンガポール:2020年に向けて
個人情報保護法の執行と改正の動向(下)
長島・大野・常松法律事務所
弁護士 長谷川 良 和
前回、「シンガポール:2020年に向けて――個人情報保護法の執行と改正の動向(上)」にて、シンガポール個人情報保護法の執行動向について紹介したのに続き、本稿では同法及びガイドライン改正の動向について、簡潔に紹介することとしたい。
3 近時の法令・ガイドライン改正動向
(1)主要ガイドラインの改訂(2019年10月9日付)
2019年10月9日付けで、個人情報保護法の一定のトピックに係るガイドライン及び個人情報保護法の主要な義務及び用語について規定する主要概念ガイドラインがそれぞれ改訂された。とりわけ、以下の点に留意する必要がある。
- ① 情報受託者の起用と国外移転規制
-
事業者が個人情報処理目的で情報受託者を起用する場合には、当該事業者が個人情報の国外移転規制に係る責任を負う旨の考えが明確化された。この考えは、事業者が起用する国外の情報受託者に個人情報を直接移転させる場合か、事業者が起用する国内所在の情報受託者が個人情報処理目的で個人情報を国外移転させる場合かを問わず、適用される。そこで、事業者としては、個人情報の国外移転前に、情報受託者との間で一定の内容の契約を締結する等の適切な措置を講じる必要がある。
- ② アクセス要求がなされた場合の対応
-
個人情報保護法上、事業者は、情報主体から要求があった場合、原則として、速やかにその保有又は管理する個人情報と過去1年間の使用又は開示状況に係る情報を提供する義務を負う。今般のガイドライン改訂では、事業者がアクセス要求に応じる必要がない場合、アクセス要求対応時の費用請求、及びアクセス要求拒絶後の個人情報の保存に係る好ましい実務のあり方等に関する考え方が明確化された。
- ③ クラウドサービス提供者と利用者の責任
- クラウドで個人情報を処理するためにクラウドサービスを利用する事業者の責任及び当該事業者に代わって又はそのために個人情報を処理する場合のクラウドサービス提供者の責任を明確化する観点から、クラウドサービスに関する章が新たに追加されている。
(2)個人識別番号に係るガイドライン(2019年9月1日施行)
シンガポール国民識別登録カード(NRIC)番号、又は外国人識別番号(FIN)等の個人識別番号の事業者による収集、使用及び開示、並びにその保持について、個人情報保護法の適用範囲を明確化するガイドライン(2018年8月31日付NRIC及び他の個人識別番号に係るガイドライン)が2019年9月1日から施行された。同ガイドライン上、事業者は、原則として個人識別番号を収集、使用及び開示してはならず、個人情報の収集等が法令上必要とされる場合等、特定の状況下においてのみかかる行為が許容される旨が規定されている。
(3)法改正動向
現在、消費者の利便性向上及びデジタル経済の成長促進という観点から、新規性及び革新性がある商品やサービスの開発を図るため、以下の各事項の導入について同法改正の検討が進められている。
- ① データポータビリティに関する規定
-
事業者は、情報主体から要求があった場合に、当該事業者が保有又は支配する当該情報主体の個人情報を一般に使用される機械的読取可能なフォーマットで他の事業者に移転する義務を負う旨の規定
- ② データイノベーションに関する規定
- 事業上の知見獲得、あるいは商品・サービスの開発や提供に関する革新的効果の獲得を企図した、事業者による秘密裏の情報利用を可能とするため、事業者が適法に収集した個人情報を、情報主体からの同意を取得せずに、①運営効率・サービス向上、②商品・サービス開発、又は、③顧客理解の向上を目的として使用可能であることを明確化する規定
4 終わりに
個人情報保護法の積極執行の動きに照らすと、2020年も引き続きシンガポールにおけるデータコンプライアンスは、特に重要性が高いテーマの一つと言えるであろう。また、新たに制定又は改訂されたガイドラインに留意するとともに、現在、法改正の検討が進められている事項について実際にルールとしてどう導入されるかについても引き続き注視していく必要があろう。