シンガポール個人情報保護法のいまと改正に向けた動き(上)
長島・大野・常松法律事務所
弁護士 長谷川 良 和
1. はじめに
シンガポールで個人情報保護法(Personal Data Protection Act 。「PDPA」)が成立してから5年が経過する中で、近時、とりわけ2016年以降、個人情報保護法関係の執行事例数の増加が目立つ。中には、個人情報を保存するサーバーへの第三者による不正侵入を契機として個人情報管理体制の不備を問われる例も見られる。また、平時においても、新規に事業や法人設立を行う場合のほか、社内調査を目的とした個人情報の使用や、個人情報の国外移転等の個別事案の検討時に、個人情報の扱いに関して留意が必要になることがある。そこで、今回及び次回の2回にわたって、シンガポール個人情報保護法に係る注意喚起という観点から、その基礎的な事項を簡潔に紹介し、最後に改正に向けた動きについて紹介することとしたい。
2. シンガポール個人情報保護法(PDPA)の基礎
(1) 規制対象となる者
PDPAの規制対象となる事業者(「事業者」)には、全ての法人、個人、団体等が含まれ、例えば、規模の大小や、設立準拠地、シンガポール国内に事業所があるか否かを問わない。もっとも、例外もあり、例えば、私的活動を行う個人としての立場においてはPDPAの規制は適用されず、また、他人の個人情報を処理する事業者については一部の規制が適用除外となっている。いずれにしても、日本の個人情報保護法における個人情報取扱事業者とは、規制対象となる者の範囲の定め方が異なる点は留意が必要である。
(2) 保護される「個人情報」
PDPAで保護される個人情報とは、それ自体で、又はその事業者が合理的に利用できる他の情報と相俟って、特定することができる個人に関する情報をいい、その内容が真実であるか否かを問わない。例えば、パスポート番号や、全体として個人を特定できる情報(氏名、年齢、住所、電話番号及び職業等)がこれに含まれる。
もっとも、例外もあり、専ら私的目的で個人から提供されたものはない、個人の氏名、肩書、勤務先の電話番号・所在地・メールアドレスその他類似の個人に関する情報は、ビジネスコンタクト情報として、原則としてPDPAの保護対象とはならない。
(3) 事業者の義務
PDPAの下で、事業者は、例えば、以下の①から④のような義務を負うことになる。
- ① 情報保護責任者(Data Protection Officer。通称DPO)の選任義務
- 事業者は、PDPAの規定が遵守されることを確保するため、最低1名の情報保護責任者を選任しなければならない。
-
② 個人情報の取得・使用・開示に関する義務
-
□ 同意とみなし同意:
個人情報保護に関する規定の施行後に取得した個人情報については、所定の場合を除き、(ⅰ)事業者が個人情報の取得、使用及び開示について当該個人の同意を得るか、(ⅱ)同意がみなされる要件を満たさなければならない。前者の場合には、個人情報の取得、使用及び開示の目的は合理的に適切でなければならず、かつ事前に当該個人にその目的等を通知しなければならない。他方、個人が一定の目的で自発的に事業者に個人情報を提供し、かつかかる自発的な情報提供が合理的である場合には、明確な同意がなくても、その目的で同意したものとみなされる。 -
□ 不合理な同意要求:
事業者は、個人への商品又は役務提供を条件として、合理的範囲を超えて当該個人の個人情報の取得、使用及び開示に同意するよう求めてはならない。 -
□ 同意の撤回:
上記同意がなされ、又は同意がみなされた場合でも、個人は、事業者への合理的通知により、同意を撤回できる。同意の撤回要求を受けた場合、事業者は、撤回により生じるであろう結果をその個人に通知しなければならず、その結果を理解の上で撤回を求められた場合には、別途許容される場合を除き、所定の目的での個人情報の取得、使用及び開示を止めなければならない。
-
□ 同意とみなし同意:
(下)につづく