シンガポール個人情報保護法Q&A(第3回)
シンガポール個人情報保護法Q&A(第3回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2020 年12月6日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第3回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 個人の同意なく個人情報を収集・使用・開示することが可能な場合(同意取得義務の例外)には、どのようなものがありますか。
先般述べたような同意取得義務の存在に関わらず、PDPAでは、一定の場合に、個人による同意なく個人情報を収集、使用又は開示することが認められています(附則2(Second Schedule)~附則4(Fourth Schedule))。これらの各附則において共通する項目としては、例えば次のようなものがあります(当然ながら、各附則ごとに異なる項目もありますので、詳細は、実際の各附則をご確認ください。)[1]。
(a) その個人情報の収集、使用又は開示が、本人又はその他の個人の生命、健康又は安全に対する差し迫った危険に対応するために必要な場合
(b) その個人情報の収集、使用又は開示が、一般的に利用可能(publicly available)な場合
(c) その個人情報の収集、使用又は開示が、国家の利益のために必要な場合
これらのうち、「一般的に利用可能(publicly available)」とは、第2条第1項で定義されており、公衆において一般的に入手可能な個人情報(個人に関するもの)を指し、その個人が登場する、一般に公開されている場所やイベント[2]において合理的に予想される手段によって取得されうる個人情報を含みます。つまり、個人情報が、一般市民の誰もが、ほとんど又は全く制限を受けずにそのデータを取得又はアクセスできる場合には、一般に利用可能であると言えます。多少の制限があっても、その個人情報が「一般的に利用可能」であることを妨げない場合もありえます。
例えば、個人情報がある特定のオンライングループに開示されているが、そのグループが比較的オープンであり、公衆が最小限の労力で参加できる場合、その開示されている個人情報は「一般的に利用可能」であると言える可能性が高いと考えられます。
逆に、個人情報がその個人の家族や親しい友人のみのグループに開示されている場合や、意図せずにそのグループ外の一人に開示されたような場合には、その開示された個人情報は「一般的に利用可能」とは言えない可能性が高いと言えます。
よって、例えばフェイスブック等のSNS上のプロフィールであっても、アクセス制限がかかっていない(インターネット上で検索可能)な場合には「一般的に利用可能」であり、開示先が友人のみ等に限定されているような場合にはそうではない、ということになると思われます。
なお、この点で注意が必要なのは、SNS上のプロフィール等については、ユーザーの設定により公開範囲を容易に変更し得ることから、ある時点において「一般的に利用可能」であっても、その後、随時に「一般的に利用可能」ではなくなる可能性があるという点です。この点について、PDPCにおいては、そのような「一般的に利用可能」な個人情報を取得した事業者に対し、その都度、その個人情報の公開範囲を確認したりする義務を課すことは過大な負担となりうるため、取得時において「一般的に利用可能」であった個人情報は、事後的にSNS上では非公開となったとしても、事業者が対応する例外規定の下でその個人の同意なしに個人情報を使用又は開示することができるという立場をとることを明言しています。
以上のほか、ショッピングモールにセキュリティ目的で設置されたCCTVに撮影された買い物客の画像等も、通常、「一般的に利用可能」な個人情報に該当すると考えられます。
なお、これらの同意取得義務に対する例外は、他の法律の下で生じる権利義務等に影響を与えるものではないため、PDPAに基づき例外が適用された場合でも、事業者は、機密情報の保護やその他の契約上の義務等、その他の法的義務を遵守することが求められる点には注意が必要です。
Q. 目的制限義務(Purpose Limitation Obligation)とは、どのような義務ですか。
目的制限義務(PDPA第18条)とは、事業者が、合理的な人物がその状況下で適切であると考え、かつ、状況により関係する個人に対して通知がなされている目的(合理的な目的)のためにのみ、本人に関する個人情報を収集、使用、開示すべきであるとする義務を言います。すなわち、事業者が個人情報を収集、利用及び開示できる目的及び範囲が、本条により制限されることになります。
通知された目的が合理的であるかどうかは、合理的な人物がその状況において適切であると考えるかどうかによることになり、その判断にあたっては、関係する諸般の状況を考慮する必要があります。そこで、例えば、違法な目的や、関係者個人にとって有害な目的は、通常、合理的な人が適切であると考える可能性が低いため、目的制限義務に沿わない(よって、その目的で個人情報は使用できない)ことになると考えられます。
この点に関し、PDPCによれば、例えば、ある洋品店がメンバーシップ制度を導入し、その会員登録フォームに記入された個人情報の利用目的として、「新製品やプロモーションの最新情報の提供、その他同社が適切と考えるその他の目的」と記載した場合、「新製品やプロモーションの最新情報の提供」については合理的でありうるものの、「その洋品店が「適切と考えるその他の目的」については、その範囲が無限定となるため、合理的であるとは考えられないとされている点は注意が必要です。
なお、この目的制限義務は、第20条に定める目的通知義務と併せて、個人情報が収集、使用又は開示される目的を、この義務に基づき関係者に通知されたものに限定することにもなります。
[1] なお、近日、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになります。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。同法案の基本的な枠組みとしては、現行法と大きく異なるものではありませんが、例外に対する考え方については、現在よりも事業者の実際のビジネス上の都合や、その合法的な利益(経済的な利益を含む)に配慮したものとなっていると言えます。同法案の原文についてはhttps://www.mci.gov.sg/-/media/mcicorp/doc/public-consultations/public-consultation-on-pdp-amendment-bill—14may2020/pdp-amendment-bill.ashx、法案可決についてのプレスリリースはhttps://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2020/11/amendments-to-the-personal-data-protection-act-and-spam-control-act-passed?page=4をご参照下さい。
[2] ある場所やイベントが「一般に公開されている」と言えるか否かについても、ケースバイケースで判断されることになると考えられますが、PDPCによれば、多少の制限が存在したとしても、なお、その場所が「一般に公開されている」と言えるケースがあることが説明されています。例えば、一般市民が有料でなければ入場できないようなイベントであっても、入場料が必要というだけでは、なお「一般に公開されている」とみなされる場合があります。また、小売業者のロイヤリティプログラムの会員向けの特別イベントも、そのイベントが多数の会員に開かれていたかどうか等の関連要因によっては、一般に公開されているとみなされる場合があるとされています。
逆に、通常は「一般に公開されている」と言えるレストラン等であっても、それが貸し切られている場合には「一般に公開されている」とは言えず、仮に外から覗き込むことができるような状況でも、公開性はないと言えます。
以 上
本記事やご相談に関するご照会は以下までお願い致します。