シンガポールの個人情報保護法(1)

1 はじめに

 シンガポールの個人情報保護法(PDPA:Personal Data Protection Act 2012)の改正法の一部が2021年2月1日より施行されました。このことは,個人情報保護委員会(Personal Data Protection Commission)のホームページ(Amendments to the Personal Data Protection Act (PDPA) Take Effect From 1 February 2021)やSingapore Statutes OnlineにおけるPERSONAL DATA PROTECTION (AMENDMENT) ACT 2020 (COMMENCEMENT) NOTIFICATION 2021で確認できます。また,改正法施行に伴い,いくつかのガイドラインも改正されています。

 PDPAでは,組織(organization)が規制を受けますが,組織は,シンガポールの法律に基づき設立されたか承認されたかにかかわらず,事務所がシンガポールにあるかどうかにかかわらず,個人等も含むものとして幅広く定義されています(PDPA2条1項)。そのため,シンガポールに拠点を持たない日本企業・個人事業主にも適用される可能性がありますので,注意する必要があります。

 このブログは,PDPAやガイドラインから抜粋・要約して簡単に説明するものなので,実際に判断される際には,Singapore Statutes Onlineに載っているPDPAの条文や,個人情報保護委員会のHP(Guidelines and Consultation)に載っているガイドラインをご精読ください。

 まずは,PDPAの基本的な内容について,必要に応じて日本の個人情報保護法と比較しながら見ていきましょう。

2 個人情報の定義

 個人情報は,当該情報から,特定の個人を識別できる情報です。また,当該情報と,組織がアクセスすることができる他の情報を合わせて特定の個人を識別することができる場合,その情報も個人情報に当たります(PDPA2条)。ここまでは日本の個人情報保護法と同じです。

 また,死後10年以内の故人の個人情報には,PDPAの一部の規定(開示に関するルールを守ること,適切なセキュリティを構築して保護することに限られます)が適用されます(PDPA4条4項(b),24条)。日本の個人情報保護法は,生きている個人に限っていますので,PDPAと日本の個人情報保護法の大きな違いになります。なお,死後10年以内の故人の個人情報に適用されるPDPAの規定は,Advisory Guidelines on Key Concepts in the PDPA(以下,「Keyガイドライン」といいます。)の5.23を見てください。

3 取得する個人情報は最小限に

 商品やサービスの提供の条件として,商品やサービスの提供を行うために合理的な範囲を超えて,個人情報の取得,使用または開示に対する同意を求めることは禁止されています(PDPA14条2項(a))。

 Keyガイドライン12.12の例では,サービス提供の条件として,個人情報をマーケティング会社等の第三者に提供するとされており,この条件に同意してサービスを受けるか,サービスを受けないかの2択しかない場合,この条件に対する同意は無効とされています。個人情報を第三者に提供した場合,同意取得義務違反として,個人情報保護委員会から個人情報の収集や使用等をやめるよう命令されたり(PDPA48条I),100万シンガポールドル以下の罰金が科されたりします(PDPA48条J第3項)。

 逆に言えば,サービス提供の条件としなければよいので,サービスを提供したうえで第三者提供については個別に同意を得ればよいことになります。その際,同意した人には割引や景品くじを行うと勧誘することもできます(Keyガイドライン12.13)。

4 必要なくなれば,個人情報の保持をやめること

 日本の個人情報保護法では,利用する必要がなくなった個人データは,遅滞なく消去するよう努力することが求められていますが,法的な義務ではありません。

 しかし,PDPAでは,個人情報が取得された目的がもはや個人情報の保持を根拠づけるものではなくなり,保持がもはや法律上またはビジネス上必要ではなくなった場合には,個人情報を含む書類の保持をやめるか,個人情報が特定の個人と結びつく方法を除去しなければなりません(PDPA25条)。

 では,必要なくなるのはどれくらいの期間か,個人情報の保持をやめる方法はどのような方法かというと,特定の期間や方法が決まっているわけではありません。期間についてはKeyガイドライン18.4に挙げられている要素が考慮され,方法についてはKeyガイドライン18.13に挙げられている要素が考慮されます。なお,Limitation Act6条では,action(訴訟その他の裁判手続)の時効はその原因が起こった日から6年なので,契約終了日から7年間契約に関係する記録を保持し,調査または法的手続がその期間内に開始すればより長い期間保持することを希望する例がKeyガイドライン18.4に挙げられています。

5 個人情報の開示

 組織は,個人からの請求があれば,30日以内に(Keyガイドライン15.18)①組織が保有または支配する当該個人に関する個人情報,②請求の日から1年以内に個人情報を使用・開示した(可能性がある)方法(請求に応じて開示先や開示目的など)を開示しなければなりません(PDPA21条1項)。ただし,同条2項から4項までと第5スケジュールに例外が規定されています。

 ①では,データベースで保管していないようなメール上の個人情報も開示対象になりますので,すべての個人情報を追跡できるようにしておかなければなりません(Keyガイドライン15.9)。請求に対し,開示の要否・対象・方法を決めるため,どのような個人情報を求めているか,どの時点で収集されたものか,請求の目的などを尋ねることができます(Keyガイドライン15.11)。また,開示する前に本人確認をする必要がありますが,本人確認を行った証拠となる記録を残しておくべきでしょう(Keyガイドライン15.12)。②の開示義務があることが日本の個人情報保護法と違う点ですが,②は開示の可能性のある開示先のリストを提供することで代替することができます。その際,単に「製薬会社」ではなく,「製薬会社ABC」と会社名まで記載する必要があります(Keyガイドライン15.15)。

 なお,個人情報の開示のために生じる合理的なコストを請求したいのであれば,事前に見積額を書面で示しておく必要があります(Personal Data Protection Regulation 2021 第7条)。提示を受けた請求者は,個人情報保護委員会に適正な金額について審査してもらうことができます(PDPA48H条)。

6 Do Not Call Registry制度

 シンガポールの電話番号に広告などを目的とするメッセージ(SMSなど)を送ろうとする者は(PDPA37条1項,6項,第10スケジュール),送付の21日前までに(PDPA43条2項,Advisory Guidelines on the DNC Provisions 1 Feb 2021(以下,「DNCガイドライン」といいます。)6.2), Do not Call Registryをチェックし,その番号がDNC Registerに登録されていないことを確認しなければなりません(PDPA43条1項)。これは日本にはないシンガポール特有の制度です。

 しかし,シンガポールの電話番号に広告などを目的とするメッセージを送ることについて,書面その他の形式で証明できる明確な同意を得れば,DNC Registerを確認する必要はなくなります(PDPA43条4項)。明確な同意とは,電話番号の利用者に対してその電話番号に広告などを目的とするメッセージを送ると明確に通知し,その利用者がオプトインにより同意することをいいます(DNCガイドライン7.3)。

 もっとも,この同意を撤回することはできます(PDPA47条1項)。同意撤回後21日が経過すれば,シンガポールの電話番号に広告などを目的とするメッセージを送ることはできなくなります(PDPA47条3項,DNCガイドライン6.3)。