シンガポール個人情報保護法Q&A(第1回)

2020年10月27日(火)

シンガポール個人情報保護法Q&A(第1回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第1回)

 

2020 年10月26日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第1回)

 

背景について

シンガポールにおいては、新型コロナウイルスの感染状況は相当程度、落ち着きを見せており、近時は新規の市中感染者数がゼロの日も散見されています。そして、このような状況の中、新型コロナウイルス拡大防止のための行動制限措置(サーキットブレイカー)も、フェーズ3を迎えようとしており、経済活動正常化への道筋も出来つつあります。

しかしながら、個々のビジネス活動においてはなお、少なくとも半数の従業員は在宅勤務を維持することが要請されており、オンラインによるコミュニケーションが日常化する等、経済活動におけるデジタル化は益々加速している状況です。そして、このような状況のもと、シンガポール個人情報保護委員会(以下「PDPC」)のマネジメントからは「現在のオンラインを基本とするデジタル経済が大量のデータを生成している中、事業者による情報管理に対する市民の信頼は特に重要になってきている」と述べられる等、各種情報管理の重要性及び配慮の必要性は今までになく高まっていると言えます。

そこで、弊所においては、PDPCの許諾を得て[1]、PDPCが発表している、シンガポール個人情報保護法(以下「PDPA」)に関する各種ガイドラインをベースとして、PDPAの主要な論点について、Q&A形式で、日本語にてご案内させていただくことと致しました。シンガポールに関わるビジネスを行う各位のご参考に、少しでも資するところがありましたら幸甚です。

 

Q. PDPAに基づき、事業者が遵守すべき義務にはどのようなものがありますか。

 

PDPA上、事業者は、自らが保有し、又は自己の管理下にある個人情報について、第III部から第VI部(第11条から第26条。以下、法令名を示さない引用条文は全てPDPAの条文を指します。)に規定される9つのデータ保護規定を遵守することが求められています。この9つの義務及びその概要は次の通りです。

1、同意取得義務(Consent Obligation)

2、利用目的制限義務(Purpose Limitation Obligation)

3、目的通知義務(Notification Obligation)

4、アクセス権限及び訂正義務(Access and Correction Obligations)

5、正確性義務(Accuracy Obligation)

6、保護義務(Protection Obligation)

7、保有制限義務(Retention Limitation Obligation)

8、移転制限義務(Transfer Limitation Obligation)

9、説明義務(Accountability Obligation)

※図は、PDF版をご覧ください。

すなわち、各事業者は、個人情報の収集、使用及び開示に関する活動を行う場合に、これらの9つの義務を順守しなければなりません。

なお、事業者が、その保有する個人情報の処理(processing[2])を第三者に委託して行う場合には、その第三者は「データ仲介業者」(data intermediary[3])と位置付けられますが、この場合でも、その処理を委託した側の事業者が、自ら処理した場合と同様に、PDPA上の義務を負うことになります(第4条第3項参照)。

以下において、PDPCのガイドライン[4](以下「ガイドライン」)をベースとして、これら9つの義務の概要を説明させていただきます。

 

Q. 同意取得義務(Consent Obligation)とは、どのような義務ですか。

 

同意取得義務(第13条~第17条)は、事業者が、ある目的のために個人情報を収集し、利用し、又は開示する前に、本人の同意を得るべき義務を言います。

第13条においては、本人が個人情報の収集、使用、又は開示についての同意を与え、又は同意を与えたとみなされる場合を除き、事業者が個人情報を収集、使用、開示することを禁止しています。ただし、これはPDPA又はその他の成文法に基づいて同意なく個人情報が収集、使用又は開示が可能な場合には適用されません。

第 14 条第1項では、個人が PDPA の下でどのように同意を与えたといえるかが規定されています。この点、個人情報の収集、利用、開示の目的を対象となる個人に通知したうえで、その個人がその目的に同意している場合でなければ、その個人は同意を与えていないことになります。すなわち、事業者がその個人情報の収集、利用、開示の目的を対象となる個人に通知しなかった場合には、如何に本人が同意したとしても、その同意は第14条第1項の同意とはならないことになるため、注意が必要です。この点については、第20条の「利用目的通知義務」と密接にかかわることになります。

PDPA上、(それが合理的と言えるものである限り)同意取得の方法に特段の制限はありませんが、同意を得たことを事後的に証明できるよう、同意がなされた目的・日時等とともに、書面その他記録できる方法での取得が望まれます。この点、電話による場合等、どうしてもその場で書面同意を取得することが困難な場合には、口頭による同意を取得し、それが行われた事実・日時等を書き留め、事後的にEメール等でもその旨を本人に伝えておくことが実務上、推奨されています。

 

Q. 個人から同意を取得するにあたり、どのような点に気を付ける必要がありますか。

 

 事業者が個人情報を収集するためにその個人から同意を取得するにあたっては、次のような点に留意する必要があると考えられます。

1、オプト・アウト方式による同意取得の可否

2、同意の有効性

3、その他の論点

 

1、オプト・アウト方式による同意取得の可否

 まず、同意取得にあたっては、事業者が、個人に対して一方的に通知を行い、一定期間内に反対の意思を表示しない限り同意したものとみなす、といったオプト・アウト方式により同意を取得したとする方法が考えられます。しかしながら、ガイドラインによれば、個人が当該期間内に反対の意思を表示しなかったことは、必ずしも同意の意思を表明したものと同視できるとは限らないため(例えば、そのような通知が何らかの理由でその個人に届いていないために反対の意思を表示する機会がなかったに過ぎないということも考えられます。)、このようなオプト・アウト方式ではPDPA上、有効な同意取得があったとはみなされないことが明確にされています。

 同意取得にあたっては、示された目的に対する個人による能動的なアクション(positive action)が必要であり、上記のようなオプト・アウト方式のみによる場合には、同意取得義務及び目的通知義務違反となるリスクがある点につき注意が必要です。

2、同意の「有効」性

 また、当然ながら、個人から取得する同意は、「有効」(valid)なものである必要があります。事業者は、虚偽の情報等に基づく同意を取得してはならないことは勿論のこと、サービスや商品の提供と引き換えに同意を取得するような方法もvalidではないとされています(第14条2項、3項)。

 例えば、マッサージやスパのサービスの入会にあたり、顧客から取得した個人情報を、マーケティング会社等の第三者への提供目的にも同意しなければ入会できない、との条件の下で同意を取得することはvalidとは言えず、個人は、そのような第三者への提供目的に対する同意なく入会できるようにしなければならないとされています。

 しかしながら、一方で事業者がマーケティング目的での同意を取得することが完全に認められない訳でもなく、ガイドラインによれば、ある目的のために個人情報を収集、使用、又は開示することを求める際に、併せてプロモーション商品の宣伝、ディスカウント、ラッキードロー等の通知を行うことについての同意を取得することも可能であるとされています。このあたりは、個々のケースにおける特定の事情をケースバイケースで検討し、合理的な範囲であるか否かを判断していく必要がある、ということになりそうです[5]

3、その他の論点

 同意取得義務に関するその他の論点としては、次のようなものが挙げられます。

 (1) みなし同意の可否

 (2) 第三者による同意が認められる場合

 (3) 同意の撤回

 (4) 同意取得が不要となる場合(同意取得義務の例外)

 これらについては、次回以降で言及させていただきます。

[1] PDPCウェブサイトのTerms and Conditions(https://www.pdpc.gov.sg/Terms-and-Conditions)に準拠しております。

[2] データの「処理」(processing)とは、PDPA上、対象となる個人情報に関する何らかの操作又は一連の操作を行うことをいい、次を含みます(第2条)。

(a) 記録(recording)

(b) 保持(holding)

(c) 編成、適用又は変更(organisation, adaptation or alteration)

(d) 抽出(retrieval)

(e) 組合せ(combination)

(f) 転送(transmission)

(g) 抹消(erasure or destruction)

[3] データ仲介業者(data intermediary)とは、「他の事業者に代わって個人情報を処理する事業者をいい、当該他の事業者の従業員を含まない。」と定義されており(第2条)、PDPCからは、これに関するガイドラインも近時、出されています。

[4] Advisory Guidelines on Key Concepts in the Personal Data Protection Act (Revised 2 June 2020)https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Key-Concepts/Advisory-Guidelines-on-Key-Concepts-in-the-PDPA-(2-June-2020).pdf?la=en

[5] 詳細は、当該論点に関するガイドライン(Advisory Guidelines on Requiring Consent for Marketing Purposes: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/advisoryguidelinesonrequiringconsentformarketing8may2015.pdf?la=en)をご参照下さい。

以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal