• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > シンガポール > シンガポール法律コラム:第16回 シンガポールの個人情報保護法(1)

シンガポール法律コラム:第16回 シンガポールの個人情報保護法(1)

2025年03月18日(火)

「シンガポール法律コラム:第16回 シンガポールの個人情報保護法(1)」と題したニュースレターを発行いたしました。シンガポール法律コラムは、今後も引き続き連載の予定となります。
こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

シンガポール法律コラム:第16回 シンガポールの個人情報保護法(1)

 

シンガポール法律コラム
第16回 シンガポールの個人情報保護法(1)

2025年3月
One Asia Lawyers Group代表
シンガポール法・日本法・アメリカNY州法弁護士
栗田 哲郎
日本法弁護士 王 宣麟

みなさん、こんにちは。One Asia Lawyers Group(Focus Law Asia LLC)です。今回は、シンガポールの個人情報保護法についてご説明いたします。ASEAN全域でも経済発展に伴って外資、内資問わず企業は膨大な個人情報を扱うようになり、その結果、個人情報悪用のリスクが高まったため、個人情報保護に関するルールが各国で整備され始めています。

シンガポールもその例外ではありません。直近では、個人情報保護に関するさまざまなガイドライン等も出されており、日系企業にいる皆様のご関心も高まっているかと思いますので、今回と次回のニュースレターにて、総論的にご説明いたします。

1.背景

シンガポールの個人情報保護法(Personal Data Protection Act 2012、以下「PDPA」といいます。)は、2013年1月2日に施行されました。PDPAは、個人情報の収集、使用、開示、移転および保護に関する法的枠組みを提供し、個人情報の保護を強化するために導入されたものです。その後2020年に情報漏洩の際の通知義務の新設、みなし同意の解釈を拡張する等の改正(以下「2020年改正」といいます。)が行われ、2021年2月1日付で施行され現在に至ります。

個人情報保護関連でいえば、他にPDPAの下位規則であるPersonal Data Regulationsや監督機関である個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」といいます。)によるAdvisory Guidelines等も併せて参照する必要がありますが、本記事では差し当たり主たる法律であるPDPAに焦点をあてて解説させていただきます。

2.監督機関

PDPCが事業者のPDPA遵守状況等を管理、監督しています(PDPA第5条)。情報保護に関する啓蒙活動やアドバイス、ガイドラインの制定や違反者に対する指導、命令、罰金等を主たる活動としています(PDPA第6条)。

3.PDPAの適用対象(主体)

規模や法人格の有無を問わず、事業者(Organization)、すなわち、シンガポールにおいて個人情報を収集、使用または開示する全ての企業、団体、個人が法の適用対象となります。そのため、シンガポールの日系企業でいえば、シンガポール法人(子会社)だけでなく、支店や駐在員事務所もその適用対象となるため、これらはいずれも個人情報を取扱う主体としてPDPAに掲げられる義務(大きく分けて後述する①~③)を遵守しなければなりません。

4.個人情報の定義

PDPA第2条において、個人情報は「真実であるか否かを問わず、当該データから、もしくは当該データ及び組織等がアクセスする可能性のあるその他の情報から特定できる個人に関するデータと合わせて、個人を識別できる情報」と定義されています。

具体的には、氏名、住所、電話番号、個人メールアドレス、身分証番号や、指紋、顔写真、給与等の情報が個人情報に該当します。

ただし、これらの情報に該当する場合であっても、名刺等に記載されるビジネス連絡先情報(Business Contact Information)にあたる場合、PDPAの適用対象外となる点に注意が必要です。ここでのビジネス連絡先情報は、氏名、役職名、職位、業務上の電話番号・住所・電子メールアドレスその他個人に関する同様の情報で、その個人の私的な目的のみで提供されていないものをいいます(PDPA第4条(5))。

この定義に照らした場合、名刺を渡す場合でも、ビジネスと関係がない私的な目的で名刺が渡された場合は、原則に戻りPDPAの適用対象内となります。このような例外については、他国にないシンガポール独自の特徴的な部分となりますので注意が必要です。

5.事業者の義務

PDPAは事業者に大きく分けて以下の3つの義務を課しています。

① 個人情報保護に関する責任者(Data Protection Officer)の選任
② PDPAに定める10原則に則したルールの整備・運用
③ 従業員に対する、②で定めたルールの周知・研修


②のPDPAの10原則については、以下のとおり整理されています(2020年改正により導入された情報ポータビリティー義務は未施行のため省略)。             

  原則(義務内容) PDPA条文
1 同意取得義務 13~17
2 使用目的制限義務 18
3 目的通知義務 20
4 開示および訂正義務 21、22
5 正確性確保義務

23
6 保護義務 24
7 保持制限義務 25
8 国外移転制限義務 26
9 説明責任義務 11、12
10 違反事例通知義務 26A~26E


②に記載した各義務の説明については、次回にて詳しくご紹介させていただきます。

 

※本稿は、シンガポールの週刊SingaLife(シンガライフ)において掲載中の「シンガポール法律コラム」のために著者が執筆した記事を、ニューズレターの形式にまとめたものとなります。


  |