【コラム】各国データ保護規制の厳格化(シンガポール個人情報保護法の改正案)
この度、シンガポールの情報通信省(MCI)と個人情報保護委員会(PDPC)が個人情報保護法の改正案(「改正案」)について意見を公募し、2020年5月28日に終了しました。シンガポールの個人情報保護法(PDPA)は域外適用され、日本企業が現地シンガポール居住者の個人情報を取得する場合に問題になり得ることから、改正案が法案として成立した場合には日本企業もプライバシーポリシー、内規の変更や、個人情報取得にかかるシステム上の対応などの検討が必要となります。既に適用が開始されている欧州の一般データ保護規則(General Data Protection Regulation (GDPR))や、本年7月1日から執行が開始されるカリフォルニア州消費者プライバシー法(California Consumer Privacy Act (CCPA))を含めて、各国の個人情報保護法制の厳格化が進行しており、日本企業においてもグローバルな情報コンプライアンス体制の整備が求められます。
下記の情報は、ASEAN各国に拠点を有する Zico Law より提供いただいています。
各国データ保護規制の厳格化
(シンガポール個人情報保護法の改正案)
1. 情報漏洩の通知義務の新設
個人情報保護法における説明責任原則の強化に伴い、情報漏洩の通知を義務化しています。この制度の下では、事業者は以下のような情報漏洩が発生した場合、PDPCに通知する必要があります。
- 影響を受ける個人に重大な被害をもたらす、又はもたらす可能性がある場合
- 規模が大きい場合(例:500人以上に影響を及ぼす情報漏洩など)
事業者は、情報漏洩が発生したと考えられる場合、PDPC及び/又は影響を受ける個人に通知する必要があるかどうかを迅速に検討し、そのような通知が必要であると判断した場合、3日以内にPDPCに通知しなければなりません。また、事業者は、一定の例外が適用される場合を除き、情報漏洩が個人に重大な被害をもたらす可能性がある場合には、その個人に通知する必要があります。なお、重大な被害をもたらす可能性のあるデータの例としては、病歴、クレジットカードの詳細情報、個人識別番号などが挙げられます。
2. データ・ポータビリティに関する義務の新設
GDPRやCCPAと同様に、事業者は、本人の要求に応じて、個人情報を移転する義務が新設される可能性があります。当該義務の趣旨は、個人がより簡単に新しいサービスプロバイダーに切り替えることができるようにすることにあります。
義務の内容は以下のとおりです。
- 対象範囲は、電子的な形式で保有されるユーザーからの提供データ(クレジットカードの詳細情報など)及びユーザーの活動データ(取引データなど)に限定。
- 要求する個人は、事業者と現実かつ直接の関係を有すること。
- 受領する事業者はシンガポールに所在すること。なお、PDPCは、同程度の保護と相互協定を締結している類似の法域にデータ・ポータビリティを拡大可能。
3. みなし同意と同意の例外
改正案は、以下のように、個人情報の収集・利用・開示に関するみなし同意の範囲を拡大することとしています。
- 契約上の必要性によるみなし同意
契約の履行のために合理的に必要な場合。 - 通知によるみなし同意
個人がデータ処理の目的を通知され、事業者の定める合理的な期間内に拒否しない場合。
なお、事業者は、個人に直接のマーケティング目的のメッセージを送信するための同意を得るために、この方法を利用することは禁止されていることに注意する必要があります。
加えて、改正案では、個人情報の利用や処理に公益性があり、個人の同意を得ることが適切でない場合に対応するため、同意の要件に次のような新たな例外規定を設けることも提案しています。
- 正当な利益の例外
事業者の正当な利益と公共の利益が個人への悪影響を上回る場合。例えば、身体の安全に対する脅威を検知した場合や、マネーロンダリングなどの違法行為を防止する目的が挙げられます。 - 業務改善の例外
事業者は、製品又はサービスの開発、業務の効率化、サービスの改善など、特定の業務改善目的のために、同意なしに個人情報を使用することができます。
4. 執行力及び罰則の規定の改正
PDPCは以下の方法で執行力を強化することを提案しています。
- PDPA違反の情報漏洩に対しては、シンガポールにおける事業者の年間総売上高の10%又は100万シンガポールドルのいずれか高い方の罰金を科すこと。
- PDPCの調査要求に事業者が応じず、PDPCに出頭しない場合、情報を提出しない場合、又は陳述書を提出しない場合は違反行為となること。
- 情報漏洩事件が発生した場合、事業者は、PDPCに対し、違反状態を治癒するための誓約書を提供することができること。なお、この誓約書に違反した場合、PDPCは執行することができること。
- 一定の例外(雇用主の指示に基づいて行動している従業員など)を除いて、個人情報を扱い、又はアクセスした個人は、そのような情報の重大な誤用に対して責任を問われること。
上記のとおり、改正案の成立は事業者の義務に大きな影響を与えることから、社内の情報管理規程の整備・改定や、個人情報を取り扱う担当者の研修とマニュアルへの反映などをご検討いただくことが必要になる可能性があり、今後の成立に向けた動きに注意が必要です。
(執筆担当者:岡田)
※本記事の内容は、一般的な情報提供であり、具体的な法的アドバイスではありません。
ご質問などございましたら、ご遠慮なくご連絡ください。