フィリピン:個人情報保護法の本格施行
長島・大野・常松法律事務所
弁護士 前 川 陽 一
フィリピンでは共和国法第10173号(Data Privacy Act of 2012。以下「個人情報保護法」という。)が2012年6月6日に上下院を通過し、所定の手続を経て同年9月に発効していたところであるが、監督官庁である国家プライバシー委員会(National Privacy Commission)の設置や本法発効後90日以内に制定されるはずの施行規則が適時に制定されず、かつ個人情報保護法の運用開始には施行規則の施行後1年の猶予期間が設けられているため、本法発効後も事実上運用が行われていない状態にあった。2016年3月に国家プライバシー委員会が組織され、さらに同年8月24日付で同委員会により個人情報保護法施行規則が公布されたことから、いよいよ本格的な運用が開始されることとなった。
個人情報保護法において「個人情報」とは、媒体に記録されているか否かにかかわらず、①個人の身元が明らかである情報、②個人の身元を合理的かつ直接的に確定しうる情報、又は③他の情報と組み合わせることにより直接的かつ確実に個人を特定しうる情報をいう。「個人情報管理者」として本法の適用対象となる者は、個人情報を処理し、又は第三者に個人情報の処理を委託する自然人、法人その他の組織と広範に定義されている。個人情報の「処理」は、収集、記録、保管、更新、修正、修復、使用、結合、消去、破棄等を含み、その方法は自動・手動を問わない。
個人情報管理者は、個人情報保護のため、適切な①組織的、②物理的及び③技術的なセキュリティー対策を講じなければならない。すなわち、①組織的セキュリティー対策として、コンプライアンス責任者の選任、個人情報保護ポリシーの作成、個人情報処理の記録等、②物理的セキュリティー対策として、個人情報処理設備ないし施設へのアクセスや入室制限に関するガイドラインの作成等、③技術的セキュリティー対策として、コンピューターネットワークへのセーフガード、情報処理システムの機密性の確保、個人情報の暗号化等の措置をとることが求められる。
個人情報管理者は、個人情報の処理を外部業者に委託することができる。この場合、個人情報管理者は、契約その他の方法により、個人情報の機密性の確保、不正使用の防止、個人情報保護法及び同法施行規則その他の適用法令の遵守を確保しなければならない。個人情報保護法施行規則は、この点についてより具体的に、外部業者との委託契約の条項として、対象となる情報、情報処理の期間、性質及び目的、個人情報の種類、個人のカテゴリー、個人情報管理者の権利義務、情報処理の場所、個人情報管理者の指示に従った情報処理、秘密保持義務、適切なセキュリティー対策等の内容を規定すべきことを詳述している。
①人種、民族、婚姻歴、年齢、肌の色、宗教、思想、政治的信条、②健康、学歴、遺伝情報、性生活、前科前歴、③政府機関の発行にかかる社会保障番号、健康状態の履歴、免許の履歴、納税申告、④その他法令で特別に定める事項は「センシティブ情報」と定義されており、その取扱いには別段の注意を要する。すなわち、(a)当該個人があらかじめ同意している場合、(b)当該個人その他の者の生命及び健康を保護するため必要であって、あらかじめ同意を取得することができない場合、(c)公的機関により正当かつ非商業的な目的のために必要な範囲で行われる場合等一定の場合を除き、センシティブ情報の処理は認められていない。
個人情報の不適法な処理に対しては、最高で7年の懲役、400万ペソ(約880万円)の罰金が科されうる。
個人情報保護法には域外適用規定が設けられており、①フィリピン国民又は居住者に関する個人情報を取り扱う場合、②フィリピン国内に法人を設立していないが同国内において中心的な業務及び管理を行っている場合等にはフィリピン国外の行為であっても本法の適用が及ぶこととされている。但し、他方で、フィリピン国外において当該法域の法令に基づき収集した個人情報については本法の適用はないことが明記されている。
フィリピンにおいて現地法人を有する日系企業はもとより、駐在員事務所や支店その他の形態により同国内において事業を営む日系企業においては、顧客や従業員等の個人情報の取得は不可避的に発生するものと思われることから、本法への対応に留意する必要がある。