シンガポール個人情報保護法Q&A(第4回)
シンガポール個人情報保護法Q&A(第4回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021 年1月5日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第4回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 目的通知義務(Notification Obligation)とは、どのような義務ですか。
目的通知義務(PDPA第20条)とは、事業者が、個人情報の収集、利用又は開示をしようとするときは、その収集、利用又は開示の時、若しくはその前に、その目的を本人に通知すべき義務を言います。事業者による個人情報の収集、利用、開示は、本人に通知したその目的の範囲内に限定されることになります。また、収集時に通知されていなかった目的による個人情報の利用又は開示についても、その利用又は開示前に目的を通知しなければなりません。よって、本人に通知されていない目的による個人情報の使用(目的外使用)は、違法ということになります。
もっとも、PDPA第15条に基づき「みなし同意」が成立している場合、又は同意取得義務の例外(附則2(Second Schedule)ないし附則4(Fourth Schedule))に該当する場合には、通知は不要となります。
この目的通知義務に関し、PDPCガイドラインにおいては、次の3つの点について言及しています。
(a) 事業者は、どの時点で目的を個人に通知しなければならないか。
(b) 事業者が目的を本人に通知すべき方法と形式
(c) 事業者が目的を記載する際に含まれるべき情報と詳細
この点に関し、第3回記事にて言及した通り、2020年11月、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになりました。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。
そして、みなし同意(第2回記事もご参照下さい。)については、上記の改正法案により、新たに次の2つの類型が導入されました。
(i) 契約上の必要性によるみなし同意(第15条第3項、第4項):個人と、その個人情報の提供先である事業者との間の契約の締結や履行のために、その事業者から別の事業者への個人情報の開示について、同意があるとみなされる場合[1]
(ii) 通知によるみなし同意(第15A条):合理的な状況において、かつ、一定のオプトアウト期間が定められている等の条件を具備する場合には、個人に対する通知のみをもってみなし同意の存在が認められる場合[2]
Q.事業者は、いつの時点で目的を個人に通知しなければならないでしょうか。
PDPA第20条第1項及び第4項によれば、事業者は、個人情報の収集、利用又は開示の目的を、その収集、利用又は開示の「その時点」、又は「事前」に本人に通知する必要があります。一般には、事業者が個人と何らかの契約を結ぶ際には、その時点で契約者の個人情報を取得することになると思われますが、例えば保険会社が個人顧客と保険契約を締結する場合には、ブローカー等がその顧客の個人情報を取得する必要があるケースも考えられるため、その場合は、保険契約締結の前の通知が必要となると言えます。
このほか、事業者が個人情報を定期的に収集、使用又は開示をする必要がある場合には、その事業者は、最初の収集行為の前に本人にその目的を通知しなければならないとされています。
Q.事業者は、どのような方法・形式により目的を本人に通知すべきでしょうか。
PDPAには、事業者が個人情報の収集、利用、開示の目的を本人に通知する際の具体的な方法や形式は、特段規定されていません。そのため、各事業者は、個人がその事業者による個人情報の収集、利用又は開示の目的を理解するために必要な情報を提供するための最適な方法を自ら決定しなければならないことになります。
そして、この目的を個人に通知する適切な方法や形式を決定する際には、(a) その個人情報収集時の状況、(b) 収集する個人情報の分量、(c) 個人情報収集の頻度、(d) 通知が提供されるチャネル(対面又は電話での会話等)といった要素を考慮すべきとされます。
また、この点については、当然ではありますが、無用なトラブルの発生を避けるため、可能な限り、個人情報収集の目的を書面又は電子的に記録し、事後的に再現できる形で残しておくことが推奨されます。
このほか、一般には、目的の通知に関しては、個人情報保護ポリシー(プライバシーポリシー等)を通じて行われるケースも少なくないと思われます。この点に関し、PDPA上、事業者は、PDPAが求める義務を果たすために必要な方針や手順を制定・適用し、そのような方針や手順に関する情報を公開することが求められています(説明義務)。そのため、各事業者においては、プライバシーポリシーを作成し、そのウェブサイトや文書の形式で個人に対して公開する等して、この説明義務を果たすことが必要となります。
また、プライバシーポリシーにより個人への通知を行うにあたっては、PDPCから、次のような点に関する注意喚起がなされているため、この点についても念頭に置いていただければと存じます。
(a) そのポリシーが物理的な文書として個人に提供されていない場合、事業者は、その個人に関する情報を収集する前に、ポリシーを確認する機会を与えなければならない。例えば、個人がフィットネスジムでサービスに申し込む場合、当該ジムは、その個人に対して、収集される個人情報について当該ポリシーのうち最も関連性の高い部分を抜粋した文書を提供し、更にポリシー全体が確認できるURLを案内する等しなければならない。
(b) プライバシーポリシー上の目的について、あまりに一般的な用語でしか記述されていない場合には、 例えば特定のサービスに申し込む等といった状況において、特定の個人に対して、その目的をより具体的に説明して、個人情報がどのように収集、使用又は開示されるのかを明確にする必要が生じるケースがある。
以 上
[1] 例としては、GIRO等の定期的な引き落としによる支払いがなされる取引について、顧客である個人の支払い処理に必要な情報について、直接の取引先のみならず、引き落としに関わる銀行等に対するみなし同意が成立しうることが挙げられています。
[2] 例としては、不特定多数の会員が集まる展示会会場にセンサーを設置していることを通知し、各来場者が訪れた展示物や滞在時間を分析するため、来場者の顔画像や動きのデータを収集しようとする場合等が挙げられています。
本記事やご相談に関するご照会は以下までお願い致します。
