シンガポール個人情報保護法Q&A(第5回)
シンガポール個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021 年1月25日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第5回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q.事業者が目的を記載する際には、どの程度詳細な情報まで含める必要がありますか。
事業者は、個人情報の収集、利用又は開示を行う理由や方法を、その情報を提供する本人が判断できるように、目的について適切なレベルで詳細に記載しなければなりません。ただし、事業者は、個人情報の収集、利用又は開示に関連して行う全ての活動を明示する必要はないとされます。
この点に関し、記載が「適切なレベル」かどうかを判断するにあたっての考慮要素として、PDPCは次のような事項を挙げています。
(a) 目的が明確かつ簡潔に記載されているか。
(b) 製品やサービスを提供するために主に必要な目的かどうか(付随的な目的とは異なる)。
(c) 個人情報を第三者に開示する場合には、開示先の第三者をどのように本人に周知させるべきか。
(d) 目的をより具体的に記載することにより、本人によるその目的の理解を促進するか、妨げになるか。
(e) 事業者のビジネス上、どの程度の具体性が適切か。
PDPCが挙げている例としては、電機店がウェブサイトを通じて商品をオンラインで販売している場合に、そのウェブサイトを通じて商品を購入した個人顧客に対して、顧客から提供された連絡先を、電機店のグループ内他社や委託先であるマーケティング会社に開示し、同社グループ内の様々な企業の商品を随時マーケティングする目的で開示することを含めて目的を通知している場合には、この電機店は十分に具体的な目的を述べていると考えられる反面、その電機店が、個人情報の利用・開示目的として「有効な事業目的のため」に使用され、開示される可能性があることのみを通知しているとすれば、この電機店は十分に具体的な目的を述べていないとされます。
Q.事業者が目的を個人に通知するにあたっては、どのような方法によることが推奨されますか。
個人情報が収集、使用又は開示される目的を本人に知らせることは、データ保護規定の目的のために同意を得るための重要な側面です。したがって、組織は、通知が明確でわかりやすく、適切な情報を提供し、容易にアクセスできるように努めなければなりません。
この点に関し、PDPCによれば、個人に対する目的の通知方法を検討する際には、事業者は以下のような点を考慮すべきであるとされます。
(a) 目的を確認するために、個人がどの記載に注意を向ければよいのかについて、見出しを明確に示し、個人を混乱させたり誤解させたりするような法律的又は難解な用語や表現を避け、理解しやすく、対象者に適した通知を作成すること。
(b) 最も重要な情報(目的の要約等)又は基本的な情報(事業者のデータ保護責任者(DPO)の連絡先等)をできるだけ目立つように、契約書の最初のページ等に掲載し、より詳細な情報を別の場所(事業者のウェブサイト等)に提供することで、階層ごとに記載すること。
(c) 目的に特別な事項が含まれていないかどうか、通常の取引当事者から見て予想外のものが含まれていないかどうかを考慮し、そのような目的が含まれている場合には、それらが適切な方法で強調されるべきかどうかを検討すること。
(d) 通知を提供するための最も適切なチャネルを選択すること(例えば、フォーマット書面、ウェブサイト上における書面、対面での口頭による通知等)。
(e) 通知の方針と実践の有効性と妥当性を定期的に見直すこと。
Q.個人情報の収集目的とは異なる目的での利用や開示は認められますか。
PDPCにおいても、事業者が本人に通知していない、又は本人の同意を得ていない目的のために個人情報を使用又は開示したい場合がありうることは否定していません。
この点、事業者がまだ本人に通知していない、若しくは本人の同意を得ていない目的で個人情報を利用又は開示しようとする場合には、事業者は、目的通知義務及び同意取得義務に基づき、その時点で目的を本人に通知し、同意を得る必要があります。
一方、新たな同意を得ることなく、特定の目的のために個人情報を利用又は開示することができるかどうかを判断する際には、以下の点を判断しなければならないとされています。
(a) その目的が、本人に通知した目的の範囲内であるかどうか、例えば、本人との既存の取引関係を事業者が処理するために必要な範囲内であるかどうか。
(b) 当該目的のための利用又は開示について、本人の同意があったとみなすことができるかどうか。
(c) 目的が PDPA第3条及び第4条の同意の例外に該当するかどうか。
目的が上記(a)から(c)のいずれにも該当しない場合は、新たな目的での利用・開示について、本人の再同意を得る必要があるということになります。
例えば、マッサージ店の顧客となっている個人に対し、そのメンバーシップの有効期間中に、グリーティングカードや店舗の年間ニュースレターを郵送する目的でその顧客の個人情報を使用することは、上記(a)項に該当して認められうると説明されています。これは、事業者が個人との既存の取引関係を維持するためのサービスの一環として、事前に同意を得ているはずであるためです。
一方で、そのマッサージ店の関連会社であるヘアサロンのプロモーションに関する情報を送信する場合には、上記顧客が契約していない新しいサービスを宣伝する情報を送信することになるため、上記(a)ないし(c)のいずれにも該当せず、事前に顧客の同意を得る必要がある可能性が高いと考えられます。
本記事やご相談に関するご照会は以下までお願い致します。