シンガポールの個人情報保護法(2)
1 はじめに
シンガポールの個人情報保護法(PDPA:Personal Data Protection Act 2012)の改正法の一部が2021年2月1日より施行されました。このことは,個人情報保護委員会(Personal Data Protection Commission)のHP(Amendments to the Personal Data Protection Act (PDPA) Take Effect From 1 February 2021)やSingapore Statutes OnlineにおけるPERSONAL DATA PROTECTION (AMENDMENT) ACT 2020 (COMMENCEMENT) NOTIFICATION 2021で確認できます。また,改正法施行に伴い,いくつかのガイドラインも改正されています。
PDPAでは,組織(organization)が規制を受けますが,組織は,シンガポールの法律に基づき設立されたか承認されたかにかかわらず,事務所がシンガポールにあるかどうかにかかわらず,個人等も含むものとして幅広く定義されています(PDPA2条1項)。そのため,シンガポールに拠点を持たない日本企業・個人事業主にも適用される可能性がありますので,注意する必要があります。
このブログは,PDPAやガイドラインから抜粋・要約して簡単に説明するものなので,実際に判断される際には,Singapore Statutes Onlineに載っているPDPAの条文や,個人情報保護委員会のHP(Guidelines and Consultation)に載っているガイドラインをご精読ください。
では,2021年2月1日より施行された改正部分の一部を見ていきましょう。
2 通知義務の新設
PDPAにパート6A(26条A~26条E)が新設されました。個人情報に不正なアクセス,収集,使用,開示,コピー,改訂または処分があった場合,個人への影響が重大だったり,スケールが大きかったりす(る可能性が高け)れば,個人情報保護委員会に通知しなければならなくなりました。具体的にどのような場合かというと,Personal Data Protection (Notification of Data Breaches) Regulations 2021の3条では,影響が重大な場合として,個人のフルネーム,アカウント名,クレジットカードやデビットカードの番号,銀行口座番号,賃金情報などが挙げられ,4条では,スケールの大きさとして,影響を受ける人数が500人以上とされています。
不正なアクセス等が発生したと思えば,通知すべきかどうか迅速に検討し,通知すべきと評価した日から3日以内に個人情報保護委員会に通知しなければなりません。また,それと同時かその後に,重大な影響を受ける人ひとりひとりに通知しなければなりません(PDPA26条C,D)。
さらに,個人情報保護委員会や重大な影響を受ける人に通知する内容は,Personal Data Protection (Notification of Data Breaches) Regulations 2021の5条・6条に定められています。通知内容には,通知すべきかどうかの検討過程を時系列に並べた報告書も含まれているので,検討過程は記録しておくべきでしょう。
3 同意をしたものとみなされる場合の新設
⑴ はじめに
個人情報の取得,使用,開示には,個人がそのことについて同意をするか,同意をしたものとみなされることが必要です(PDPA13条(a))。従来,同意をしたものとみなされる場合は,①自発的に個人情報を提供し,かつその情報提供に合理性が認められる場合(PDPA15条1項),②契約上の必要性がある場合(PDPA15条3項,4項,6項,7項)でしたが,今般の改正により,③一定の事項を通知した後,合理的な期間を経過しても不同意の連絡がない場合というオプトアウト方式(PDPA15A条)が新設されました。
⑵ ①②について
①の例は,Keyガイドライン12.21に挙げられており,例えば,店舗Xでの料金の支払にAさんがクレジットカードを自発的に使用した場合には,Xによるクレジットカード番号等の取得,使用,開示に同意したものとみなされます。②の例は,Keyガイドライン12.22に挙げられており,例えば,Aさんのクレジットカード番号等がクレジットカード決済に必要な範囲で決済に関わる他の業者に開示されることに同意したものとみなされます。
⑶ ③について
③は,すでに収集した個人情報を2次的な目的のために使用・開示したいが,その2次的な目的が同意が不要とされている場合に当たらない場合に有用とされています(Keyガイドライン12.23)。また,広告などの目的で個人にメッセージを送る場合には,オプトアウト方式は使えません(PDPA15A条3項,Personal Data Protection Regulations 2021 13条, PDPA第10スケジュール)。
③の要件を満たすためには,意図した個人情報の使用等が個人に及ぼす可能性のある有害な影響を特定し,その影響を排除し,その影響が起こる可能性を減らし,またはその影響を軽減する合理的な手段を取る必要があります(PDPA15A条5項,Keyガイドライン12.23a))。有害な影響や合理的な手段とはどのようなものをいうのかは,Keyガイドライン12.64~12.69に記載されており,その検討はAnnex B:Assessment Checklist for Deemed Consent by Notificationを使用すれば多少はやりやすいと思います。
また,③の要件を満たすためには,個人情報の取得等をしようとしていること,その目的,通知を受けた個人が撤回するのに合理的な期間と方法を通知しなければなりません(PDPA15A条4項(b))。通知の方法は,個人が通知に気づくのに十分かつ効果的な方法でなければならず,複数の方法で通知することも考えられます(Keyガイドライン12.23b))。
もっとも,合理的な期間が経過した後でも,同意を撤回することはできます(PDPA16条,Keyガイドライン12.24)。