シンガポール個人情報保護法Q&A(第7回)
シンガポール個人情報保護法Q&A(第7回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年4月5日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第7回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q.事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。
前回記事の通り、事業者は、個人からアクセス請求があった場合には、その請求に基づき、対象となる個人情報へのアクセスを認めなければなりません(第21条第1項)。
しかし、同条項は例外を設けており、アクセスを認めないことにつき正当な理由がある場合には、その理由を本人に通知することで、アクセス請求を拒否することができます。
まず、事業者は、前回も述べた通り、附則5(Fifth Schedule)に基づくアクセス要件の例外が適用される場合には、その請求に応じないことができます(第21条第2項)。具体的には、例えば次のような事項が含まれます(詳細は原文をご参照ください。)。
(1) 評価目的[1]のみのために保管されている意見にかかる情報[2]
(2) 教育機関が実施する試験、試験スクリプト及び試験結果の公表前の試験結果
(3) 私的信託の受益者の個人情報であって、信託の管理のみを目的として保有するもの
(4) 仲裁・調停機関が管理する仲裁・調停手続の目的のみのためにその機関が保管する個人情報
(5) 起訴に関連する全ての手続が完了していない場合の起訴に関連する文書
(6) 秘匿特権の対象となる個人情報
(7) 開示されると事業者の競争力を損なう可能性があると合理的に考えられる商業上の機密情報が明らかになる個人情報
(8) 請求が反復して行われることにより、事業者の運営に不当に支障を及ぼすおそれがある場合
(9) アクセスを提供するための負担又は費用が事業者にとって不合理であり、又は個人の利益とのバランスが取れていないものである場合[3]
(10) 存在しない情報又は発見できない情報である場合
(11) リクエストが些末であるか、又は煩わしいものである場合[4]
また、事業者は、政府機関などによる調査又は手続のために必要な場合において、その個人情報が所定の法執行機関の権限を有する職員に開示されているときは、個人情報をその法執行機関に開示したことを、いかなる個人又は組織にも通知してはならないことなっています(第21条第4項参照)。この点について、事業者は、その調査若しくは手続及び関連する不服申立てが完了していない場合には、対象となる個人情報の存在を否定し、又は調査若しくは手続における同意なく個人情報を使用することを拒否することができます[5]。
さらに、事業者は、アクセス請求に回答するためのコスト(コピー代等)を見積もり、それに関する費用を事前に定めて通知することにより、請求者がその費用の支払いに同意しない限り、回答を拒絶することもできます。なお、この費用の適否については、PDPCが必要に応じて審査をし、減額の指示などをすることもできます(第28条第1項(b)、第2項(b))。
一方で、事業者は、アクセス請求に応じて個人情報等を提供することにより、次のことが合理的に予想される場合には、その請求に応じて個人情報を提供してはならないとされます(第21条第3項)。
(a) アクセス請求者以外の者の安全又は身体的若しくは精神的健康を脅かすこと。
(b) アクセス請求者自身の安全又は身体的・精神的健康に対し、差し迫った若しくは重大な危害を及ぼすこと。
(c) 他人の個人情報が明らかになる場合[6]
(d) 他の個人に関する個人情報を提供した個人の身元を明らかにする場合であって、その個人情報を提供した個人がその身元の開示に同意していない場合
(e) 国益に反する場合
この点に関し、事業者が個人情報の定期的な廃棄又は削除を予定している場合(例:CCTV システムは X 日ごとに映像を削除する、又は個人情報を含む物理的な文書を X 日ごとにシュレッダー処理する、等)には、その事業者は、アクセス請求を受けた後、合理的に可能な限り速やかに請求された個人情報を特定し、アクセス請求への対応のために必要な個人情報が保存されているようにしなければなりません。
ただし、事業者は、アクセス請求があるかもしれないからといって、「念のため」個人情報を不必要に保存しないように注意しなければならず、また、そうするための事業上又は法的目的がない場合には、個人情報を無期限に保有し続けてはならない(保有制限義務)点には注意が必要です。
Q.事業者が、(正当な理由により)アクセス請求を拒否した場合には、その後にどのような対応をとる必要がありますか。
事業者が、第21条及び下位規則の規定に基づき、本人からのアクセス請求のあった個人情報の一部又は全部を提供しないことが適切であると判断した場合には、対象となった個人情報(以下、「保留個人情報」)については、本人が事業者による不開示の決定の見直しを求める可能性があるため、その(不開示の)通知を送付した後、少なくとも 30 日間、保留個人情報のコピーを保存しておかなければならないとされます。
そもそも、事業者による不開示決定に対しては、PDPCが、その決定に対する審査権限を有するため(第28条第1項)、本人がPDPCに対してその審査申請を提出し、PDPCがそれを受理すると判断した場合には、事業者は、PDPCからの審査申請の通知を受領した時点で、その審査が終了し、本人が上訴等を申請する権利がなくなるまで、保有する個人情報を保存しなければならないことになります。
そして、PDPCが、当該事業者が対象となる個人情報へのアクセスを拒否する適切な理由がなく、第21条に違反していると判断した場合には、第29条に基づく強制措置を受ける可能性があるため注意が必要です。
なお、実務上、事業者は、受信した全てのアクセス請求と処理の記録を保持し、 請求されたアクセスが提供されたか拒否されたかを明確に文書化しておかなければならないとされます。
以上
[1] 「評価目的」については、第2条第1項において次の通り定義されています。
(a) データが関係する個人の適性、能力又は資格を決定する目的:(i) 雇用又は役職への任命、(ii) 雇用又は役職における昇進、継続、(iii)解雇、(iv) 教育機関への入学、(v) 契約、賞、奨学金、名誉、又はその他の類似の給付の授与、(vi) 運動又は芸術に関する選考、又は (vii) 公的機関が管理するスキームの下での財政的若しくは社会的援助の付与、又は適切な保健サービスの提供のため
(b) 契約、賞、奨学金、名誉、又はその他の同様の給付を継続、修正又は取消すべきかどうかを決定する目的
(c) 個人若しくは財産に保険をかけるかどうか、又は、保険を継続若しくは更新するかどうかを決定する目的
(d) その他これに類する目的で大臣が定めるもの
[2] 例えば、雇用主が保管する従業員の業績評価記録に関する情報がこれに該当します。
[3] 例えば、ショッピングセンターに対し、過去1年間に同センターで録画された個人のCCTV映像を全て見たいというリクエストを受けたような場合には、同ショッピングセンターが過去1年間の全てのCCTV映像を見直し、リクエストした個人の記録を発見するためにかなりの時間と労力が必要になるため、負担が不合理に大きく、かつ、個人の利益に不釣り合いであり、ショッピングセンターはこの請求に応じる必要がないと説明されています。
[4] 例えば、アクセス請求者の氏名や電話番号といった、本人が明らかに知っているであろうと思われる情報を敢えてリクエストする場合等が該当するとされています。
[5] なお、例えば捜査や起訴の開始前に個人情報が収集されたが、その後手続きが係属した場合には、個人は、PDPAに基づくアクセス請求ではなく、刑事・民事のディスカバリー制度を通じてアクセスを図るべきであると説明されています。
[6] 但し、その他人が同意している場合や、PDPA上、同意が不要な場合を除きます。
本記事やご相談に関するご照会は以下までお願い致します。
