シンガポール個人情報保護法Q&A(第2回)
シンガポール個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2020 年11月9日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第2回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q.みなし同意は、どのような場合に認められますか。
PDPA第15条は、一定の状況における「みなし同意」、すなわち、個人が実際には同意を与えていないにも関わらず、事業者が同意を取得したとみなすことができる場合を認めています。
この「みなし同意」の成立には、①個人が自主的にその個人情報を提供したこと、及び②その個人情報の提供が合理的であると考えられること、という2つの要件が必要となっています(同条第1項)。
ガイドラインによると、例えば、マッサージやスパのサービスを利用した顧客が、その代金支払いのためにマッサージ店にクレジットカードを提示したようなケースで「みなし同意」が成立しうると説明されています。
一方で、例えば、電話でタクシーを予約する際にタクシー会社に伝えた氏名や電話番号を、その会社のリムジンサービスのためのマーケティングに使用することは、自主的な個人情報の提供が合理的にあったとは言えず、「みなし同意」が成立しないと説明されています。
更に、第15条第2項に基づき、個人がある目的のために事業者Aから事業者Bへの個人情報の開示に同意し、又は同意したとみなされる場合、その個人は、同じ目的のために事業者Bに対する個人情報の収集にも同意したものとみなされます。
上記のマッサージ店の例で言うと、この場合、「みなし同意」は、そのマッサージ店のみならず、その代金決済のために関与するその他の事業者(クレジットカードを提供している銀行、決済業者、決済システムのプロバイダ等)に対しても適用されることになります。
すなわち、上記の通り、顧客がマッサージサービスの利用代金支払のためにクレジットカードを提示した場合には、その顧客は、クレジットカードの支払い処理のために、自己のクレジットカード情報をマッサージ店が収集、使用、又は開示することに同意したとみなされますが、更に支払い処理の過程では、そのクレジットカード情報が支払いを取り扱う銀行に当然に送信されることになります。そして、顧客は、このこと(取扱銀行への情報送信)を認識していると考えられるため、顧客は、マッサージ店が顧客のクレジットカード情報を銀行に開示することに同意したものとみなされ、更にマッサージ店への支払い処理の目的で銀行が自己のクレジットカード情報を収集することにも同意したものとみなされることになります。
なお、以上は比較的わかりやすい例ですが、必ずしもこのように明確に「みなし同意」が成立するケースばかりではないと思われます。そのような場合には、無用なトラブルを避けるため、当然ながら出来る限り直接明確な(「みなし同意」ではない)同意を取得されることが推奨されます(ガイドラインにおいても、同様の指摘がなされています。)。
Q. 個人情報の主体(本人)以外の第三者による同意が認められる場合には、どのようなものがありますか。
個人情報について、本人以外の第三者による同意が認められる場合には、第14条第4項に基づく代理人による同意が認められる場合、及び、上記の第15条第2項に基づく「みなし同意」が成立する場合が考えられます。
このように第三者から個人情報を取得する事業者は、同意主体となる第三者が、本当に本人に代わって個人情報の収集、使用、及び開示について有効な同意を与えることができる状況であるのか否か(第14条第4項の場合)、第三者が個人情報の開示について同意を得ているか否か(第15条第2項の場合)を、適切に確認しなければなりません。このようなプロセスが十分でなく、実際に本人から有効な同意を得られていなかったような場合には、事業者による何らかのPDPA違反行為があった場合に、PDPCにより処分(加重)要因の一つとして考慮される可能性があると考えられます。
そして、上記のような確認のプロセスを経たと言えるためには、本人以外の第三者による同意に基づき個人情報を取得する事業者は、その状況に応じて、情報源となる第三者との間で次のような対応をとることが推奨されています。
(a) 事業者と第三者との間の契約において、第三者が特定の目的のために本人の個人情報を事業者に開示することが、本人から第三者に付与された同意の範囲内であることについての承諾を受けること。
(b) 第三者からの書面による確認を得ること。
(c) 第三者から口頭での確認を取得し、適切な形式で文書化すること。
(d) 個人情報を開示するために本人が第三者に同意したことを示す書類の写しを入手すること。
Q. 個人による同意の撤回に関するルールは、どのようになっていますか。
PDPA第16条においては、個人がいったん、事業者に与えた同意について、撤回が可能である旨が規定されています。
この同意の撤回に関して、第16条においては、個人又は事業者が遵守すべきものとして、次のようなルールを設けています。
(a) 個人は、事業者に対して合理的な通知をしなければならない(第16条第1項)。
(b) 事業者がその通知を受けた場合には、その個人に同意の撤回の結果を通知しなければならない(第16条第2項)。一般には、この結果の通知は、個人による撤回の通知を受領してから10営業日以内であることが望ましい。
(c) 事業者は、本人が同意を撤回することを禁止してはならない。ただし、同意の撤回により生じうる一定の法的効果の発生は否定されない (第16条第3項) [1]。
(d) 同意が撤回された場合、事業者は、原則として、個人情報の収集、使用、又は開示を停止し、かつ、そのデータ仲介業者及び代理人にそれらを停止させなければならない(第16条第4項)。
この点について、PDPCからは、上記のようなルールに則った同意の撤回のため、サンプルフォーマットが公表されていますので、併せてご参照下さい[2]。
なお、同意が撤回された場合でも、事業者は、直ちにその撤回された個人情報を削除する義務までは負わず、必要な限度で保持しておくことが可能とされています。この点についての詳細は、保有制限義務の項をご参照ください。
以 上
[1] 例えば、サービス提供目的での氏名、住所等の開示についての同意が撤回された場合、当然ながら、事業者にとってはサービスが提供できなくなるため、そのサービス提供契約は解除されうることになります。
[2] Sample Clauses for Obtaining and Withdrawing Consent(https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/sampleclausesforobtainingandwithdrawingconsent8may2015.pdf)
本記事やご相談に関するご照会は以下までお願い致します。