◇SH1340◇フィリピン:個人情報の取扱いに関する国家プライバシー委員会への登録 坂下 大(2017/08/09)

未分類

フィリピン:個人情報の取扱いに関する国家プライバシー委員会への登録

長島・大野・常松法律事務所

弁護士 坂 下   大

 

 フィリピンでは2012年に個人情報の保護等に関する法律(Data Privacy Act of 2012:以下「個人情報保護法」という。)が施行され、2016年にはその施行規則(以下「本規則」という。)が施行されている。本規則において、個人情報を取り扱う一定の者(個人情報取扱者)は、一定の場合に国家プライバシー委員会(National Privacy Commission:NPC)への登録を行うことが義務付けられているところ、かかる登録は原則として本規則の施行から1年以内(2017年9月9日まで)に行うべきこととされているため、留意が必要である。

 NPCへの登録を行う義務があるのは、個人情報取扱者において、(i)従業員が250名以上である場合、又は(ii)従業員が250名未満であっても、情報の取扱いが(a)本人(当該情報の主体)の権利及び自由に対するリスクを生じさせる可能性がある場合、(b)一時的に発生するものではない場合、若しくは(c)1,000名分以上のセンシティブ情報を含むものである場合である。個人情報保護法における「個人情報」の意義に関する説明は本稿では割愛するが、上記センシティブ情報とは、個人情報のうち、人種、民族、婚姻状況、年齢、肌の色、宗教的・哲学的・政治的所属、健康状態、教育、遺伝的・性的生活、前科・前歴、及び社会保障番号、健康履歴、許認可手続に関する事項、税務申告等を含む、政府機関から個人に発せられた情報等を意味する。また、上記「個人情報取扱者」(personal information controller又はpersonal information processor)とは、極めて簡単にいえば、個人情報について取得、保有その他の取扱いを行う者(委託者及び受託者を含む。)をいうところ、フィリピンにおける多くの企業等はこの個人情報取扱者に該当するものと思われる(なお、一定の場合における個人情報保護法及び本規則の国外適用の規定も存在するため、この点にも留意が必要である。)。

 NPCへの登録の対象となる事項は以下のとおりである。本規則において別途定められている、情報保護・セキュリティ対策の策定や、個人情報保護に関する法令の遵守に責任を負うべき者の選任等に関する事項も、登録対象に含まれている。

  1. ⑴ 個人情報取扱者及びその代表者の名称(氏名)、所在地(住所)、その他連絡先情報等
  2. ⑵ 情報取扱いの目的、及び当該取扱いが外部委託等によって行われるか否か
  3. ⑶ 個人情報に係る本人(主体)のカテゴリー等
  4. ⑷ 情報を開示(受領)する可能性のある者又はそのカテゴリー
  5. ⑸ 個人情報の国外移転の計画
  6. ⑹ 情報保護のためのプライバシー及びセキュリティに関する対策の一般的説明
  7. ⑺ 個人情報の取扱いの仕組みや手続等に関する簡単な説明
  8. ⑻ 情報ガバナンス、プライバシー、情報セキュリティ等に関するポリシーの写し
  9. ⑼ 情報・コミュニケーション処理に関する認定に係る証明書
  10. ⑽ コンプライアンス責任者又は情報管理責任者の氏名及び連絡先

 

タイトルとURLをコピーしました