シンガポール個人情報保護法Q&A(第6回)
シンガポール個人情報保護法Q&A(第6回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年3月15日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第6回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q.事業者は、個人情報に対して、どのようなアクセスを提供しなければなりませんか。
PDPA第21条第1項においては、個人は、事業者に対して次の情報にアクセスすることを求めることができ、事業者は、本人の請求があった場合には、合理的に可能な限り速やかにこれらの情報を本人に提供しなければならないと規定されています。
(a) その事業者が保有し、又は管理している、本人に関する個人情報の一部又は全部
(b) 本人の請求日から1年以内に、当該個人情報が事業者によって使用され、又は開示された(若しくはその可能性があった)方法に関する情報
事業者は、原則として、請求を受けた全ての個人情報に対するアクセスを認めなければなりませんが、附則5(Fifth Schedule)において、アクセス義務が免除されうる場合が列挙されています。
また、個人からアクセス請求を受けた場合でも、その時点で保有しておらず、又は管理下にはなくなっていた個人情報に対するアクセスを実現させる必要はなく、事業者は、その個人情報を保有等していないことを理由にアクセス請求に応じることができない旨を、請求者に通知することができます。また、個人情報の出所に関する情報を提供する必要もないと説明されています。
一方で、個人情報へのアクセスを請求する個人は、状況に応じて、書面による当該個人情報の写しを求めることができますが、この場合、事業者は、写し作成のための一定の費用を請求できるとされています[1]。また、対象となる個人情報の文書化が現実的に困難な場合(例えば、事業者が所有するデバイスから対象となる個人情報を抽出することができない場合等)、事業者は、対象となる個人情報を直接確認する合理的な機会を提供すべきとされます。
すなわち、事業者によるアクセス提供義務は、このように独立して抽出・提供することが困難な個人情報にも同様に適用されることになりますので、留意が必要と言えます。その保管の形式を問わず、管理下にあるすべての個人情報の収集、使用、及び開示を追跡するためのプロセスを実施することが、事業者には求められていることになります。
もっとも、アクセスを提供することによる負担や費用が事業者にとって不合理であったり、個人の利益に不釣り合いであったり、請求が軽薄であったり煩わしいと言える場合には、アクセスを提供する必要はありません[2]。
一方で、事業者は、個人からのアクセス請求に対応する前に、その請求者について適切な検証を行う等して、身元確認の適切な手段を講じるべきであるとされています。この点について、PDPCにおいては、どのように本人確認を得るべきかについての具体的方法を示していませんが、無用の事後的な紛争を避けるため、その対応がPDPAに準拠していることを証明するための証拠となりうるような何らかの書類を用意しておくことが奨励されています。また、アクセス請求を処理する際の検証の実施に関する標準的な運用手順を定めたポリシーを定めることも考えられます(例えば、アクセス請求を処理する従業員が、本人確認のために申請者に質問することができるとする等)。また、アクセスの請求者が代理人であった場合には、有効な代理権の有無を確認すべきとされています。
Q.事業者が、個人情報の利用又は開示の方法に関する情報を提供する際の留意点はありますか。
第21条第1項のとおり、個人情報の利用又は開示に関する情報の提供が求められた場合、事業者は、過去1年間に個人情報がどのように利用・開示されたか、又はそれらの可能性があるかに関する情報を提供しなければなりません。ただ、この点については、多くの場合、このようなアクセス請求への対応の一環として、個人情報が開示された先(特定の第三者)のリストを提供するのではなく、開示基準に関するリストを提供することで代えることができるとされています。また、このようなリストは定期的にアップデートされる必要があるとされます。
なお、一般的には、個人情報が開示された第三者に関する情報の請求に応じる際には、個人情報の開示先の一般的なカテゴリー(例:「製薬会社」のみを提供するのではなく、具体的な名称(例:「製薬会社ABC」)を個別に特定するべきであり、これにより、個人情報が開示された第三者機関に個人が直接アプローチできるようにすべきとされている点、注意が必要です。
このほか、過去 1 年間に個人情報がどのように利用されたか、又は利用された可能性があるかを特定する際に、事業者は、個人情報が利用された(又はその可能性のある)具体的な目的そのものではなく、その目的の概要を説明することで足りるとされます。例えば、ある事業者が、アクセス要請前の1年間に、外部の監査人に個人情報を複数回開示していた可能性があるとする場合、アクセス要請に応じる際には、個人情報が開示された全ての事例を記載するのではなく、監査目的で開示されたとのみ回答することが可能であるとされています。
なお、事業者がとるべき実際の対応は、具体的なアクセスの要請内容によって異なりますが、事業者が責任を果たしたと言えるためには、合理的な人物が状況に応じて適切と考える程度にまで行う必要がある点には留意が必要です。
また、事業者は、個人からのアクセス請求を受け取った時点から合理的に可能な限り速やかに対応しなければなりません。アクセス請求を受けてから 30 日以内に回答できない場合には、原則として、30日経過前に回答可能な期間を書面で本人に通知しなければなりません。
[1] 詳細については、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。
[2] この点の詳細についても、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。
本記事やご相談に関するご照会は以下までお願い致します。