シンガポール個人情報保護法のいまと改正に向けた動き(下)
長島・大野・常松法律事務所
弁護士 長谷川 良 和
前回、「シンガポール:個人情報保護法のいまと改正に向けた動き(上)」の中で、個人情報保護法の基礎的事項のうち、規制対象者や個人情報の意義、及び事業者の義務の一端について説明した。今回は、その続編として、事業者の義務に関する他のルール等に関する基礎的事項と改正に向けた動きを紹介する。
2. シンガポール個人情報保護法(PDPA)の基礎
(3) 事業者の義務
-
③ 個人情報へのアクセスと訂正に関する義務
-
□ 情報アクセス:
事業者は、個人から要求があった場合、速やかにその保有又は管理する個人情報と、その個人情報が過去1年間にどのように使用又は開示されたかを当該個人に情報提供しなければならない。もっとも、例えば、事業者の情報提供の負担が不合理に重くなる場合等、一定の場合には、事業者はかかる情報提供義務を免除される。 -
□ 訂正義務:
個人から要求があった場合、事業者は、原則として速やかにその保有又は管理する個人情報の内容を訂正する等、一定の対応を行わなければならない。
-
□ 情報アクセス:
-
④ 個人情報の管理に関する義務
-
□ 安全管理措置:
事業者は、取得した個人情報がその個人に影響を及ぼす決定に使用され、又は他人に開示される可能性が相当程度ある場合、当該個人情報の正確性と完全性を確保するための合理的な努力義務を負う。 -
□ 不正使用等の防止:
事業者は、その保有又は管理する個人情報について、不正なアクセス、取得、使用又は開示等を防止するための合理的安全措置を講じることによって個人情報を保護しなければならない。 -
□ 保有目的等の消失:
事業者は、個人情報の保有目的や、法律上又は事業上の保有の必要性が消失した場合、個人情報の保有を止める等の対応を行わなければならない。 -
□ 国外への情報移動:
事業者は、移動対象となる個人情報についてPDPAの保護と同等な保護水準が提供されること確保するため、PDPAに基づいて規定された条件に従う場合を除き、シンガポール国外へ個人情報を移動させてはならない。具体的には、事業者は、個人情報の国外移転前に、移転対象個人情報に関して少なくともPDPAと同等水準の保護が付与されるために法的に履行強制可能な義務によって情報受領者が拘束されるよう適切な措置を講じる必要がある。
-
□ 安全管理措置:
- ⑤ M&A等の取引に際しての情報開示
- シンガポールでは、事業・資産の買収等の取引の当事者となる事業者は、取引の相手方からいわば取引の一部として、一定の情報を情報主体である個人の同意を得ずに取得することができる。また、個人情報がかかる取引実行の決定に必要で、かつ当事者間でかかる情報の使用等は取引実行目的に限定される旨を合意した場合には、取引実行に先立つデューデリジェンスの過程で一定の個人情報を取引候補者に開示できる。
(4) Do Not Call Registry (勧誘禁止電話番号等登録制度)
PDPAの下では、シンガポール局番の電話番号の契約者がその番号を所定の登録簿(Do Not Call Registry)に登録すると、事業者等は、情報送信に先立つ一定期間内(情報送信前30日以内)にその番号が登録されていないことを確認しない限り、商品や役務の提供、宣伝又は販売促進の申入れといったマーケティング等を目的としたメッセージを、電話やSMSのようなテキストメッセージ、あるいはFax等の方法で送信してはならない。Eメールや郵便による情報送信には、かかる規制は及ばない(もっとも、例えば、Eメール送信であれば、別途Spam Control Actの規制が及ぶことはありうる)。本制度は日本の個人情報保護法にはない制度なので、事業者等がマーケティング等を目的としたメッセージを電話で伝えるような場合には、留意が必要である。
(5) PDPA違反の効果
PDPAの規定に違反する行為をした事業者は、違反内容に応じ、一定の罰金を支払い、あるいはその他の適切な措置を命じられる可能性がある。また、PDPA違反を理由として、民事上の損害賠償を請求され、又は差止めを求められる可能性もある。
3. 他の留意事項
上記の他、一定の事業分野に関しては、当該事業分野に特有の個人情報保護ルールが存在する。また、情報が秘密性を有し、かつ情報受領者が当該秘密性を知り又は知り得べき状況で情報開示された場合には、仮に制定法上又は契約上の明示的な守秘義務がなくても、情報受領者が守秘義務を課される場合も存在する。そのため、具体的な状況に応じて上記のような観点からも留意が必要になることがある。
4. 改正に向けた動き
現在、シンガポールでは個人情報保護ルールの一部見直しに向けた動きが見られる。具体的には、例えば、事業者が情報主体から個人情報の取得、利用又は開示に係る同意を得ることが実務上困難でかつ情報主体への不利益が予期されない場合には、情報主体に対して個人情報の取得等に係る目的を通知することをもって個人情報の取得等を可能とすることについて議論がなされている。また、個人情報の不正な取得、利用又は開示に係る所定の違反によって情報主体が悪影響を受けた場合に、当該情報主体及び個人情報保護委員会に対して当該違反を通知する義務を事業者に対して課すことについても議論されている。上記各事項については、既にパブリックコメント意見も公表されており、今後、当該各事項が実際にルールとしてどう導入されることになるか、注視していく必要がある。