シンガポール個人情報保護法に関する新方針について

シンガポール個人情報保護法に関する新方針について解説いたします。
 →シンガポール個人情報保護法に関する新方針について

シンガポール個人情報保護法に関する新方針について

2017 年 9 月 4 日
One Asia Lawyers シンガポール；JLC Advisors LLP

１、イントロダクション

　シンガポール個人情報保護法（Personal Data Protection Act 2012、以下「PDPA」）は、1 件でも個人情報を保有している事業者が対象となっており、したがって大規模な企業のみならず、小規模な企業および支店、駐在員事務所に対しても適用されます。同法に違反すると、企業には最大 100 万 SG ドルの罰金、企業の責任者に対しては 3 年以内の禁固刑という厳しい罰則が課せられる可能性があることになります。また、監督機関である、個人情報保護委員会（PersonalData Protection Commission、以下「PDPC」）による令状なしの立ち入り調査も認められており、世界的にみて厳しいものとなっています。
　この PDPA に関し、PDPC から、2017 年 7 月、新たな方針が発表されました。

２、新方針の概要

　PDPC から発表された新たな方針は、主に次の通りです。

　① 個人情報を保有する事業者において、500 人以上の個人情報の漏洩があった等、大規模な違反があった場合、事業者は 72 時間以内に PDPC および本人に通知しなければならない。 

　② 個人情報の収集・使用・開示には本人の同意を得ることが原則であるが、近時はシェアリングエコノミーの普及等に伴い、同意の取得が困難な状況において、下記に該当する場合には、PDPC に通知することにより、本人の同意なくして個人情報の収集・使用・開示を行うことができる。
　・開示を行っても本人に不利益が生じない場合
　・本人に不利益が生ずる場合であっても、ブラックリスト顧客の情報の共有等、公益性の高い目的がある場合

　③ 2018年中に、Data Protection（DP） Trustmarkというデータ認証システムの運用を開始する。
　また、APEC 内における国境を越えたプライバシー規則制度（CBPR）への参加も予定されている。 

　④下記のような PDPA 遵守の効率を高めるための無料の新サービスを随時開始している。

　i) PDPA オンラインアセスメント
　PDPC は E ラーニングアセスメントプログラムという、事業体の構成員が PDPA における個人情報の取り扱い方法について学ぶためのプラットフォームを提供しています。 

　ii) PDP ダイジェスト（2017 年 7 月開始）
　これまでの個人情報保護法に関連する事例を集め、サマライズした資料です。

　iii) その他

　例として GUIDE TO DATA SHARINGが挙げられます。GUIDE TO DATA SHARING は複数の事業体が個人情報を共有する際に情報共有の可否を判断するための基準を示したものです。

３、まとめ

　上記の通り、大規模な個人情報の漏えいがあった場合に速やかにPDPCおよび当該個人へ通知することを義務付ける一方、本人に不利益のない場合や公益目的がある場合は、本人の同意なくして情報の収集・使用・開示が可能となりました。

　これまでは事業体の情報保全義務として厳格な規制が行われていたのに対し、今後は、個人情報保護規制について、事業や個人情報の態様に応じたより柔軟な対応がとられていくとともに、事業体に対する説明責任を重視する規制にシフトしていくことが予想されます。

以　上