シンガポール個人情報保護法Q&A(第9回)

2021年05月25日(火)

シンガポール個人情報保護法Q&A(第9回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第9回)

 

2021年5月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第9回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 正確性義務(Accuracy Obligation)とは、どのような義務ですか。

正確性義務(第23条)とは、収集された個人情報が正確かつ完全なものである場合において、それが本人に影響を与える決定をするためにその事業者により使用される可能性がある場合、又は他の事業者に開示される可能性がある場合には、事業者が、その正確性・完全性を保証するための合理的な努力をすべき義務を言います。

このような正確性義務を履行し、個人情報の正確性と完全性を保証するために、事業者は、以下のような事項が確保されるよう合理的な努力をしなければなりません。

(a) 収集した個人情報が正確に記録されること。

(b) 収集する個人情報に、関連する全ての部分が含まれること。

(c) 個人情報の正確性と正確性を確保するために、状況に応じた適切な(合理的な)措置が講じられていること。

(d) 情報更新の必要性が検討されること。

 この点、何をもって「合理的な努力」と言えるかについてはケースバイケースであり、実際の状況により異なりますが、一般には、次のような要素を考慮すべきとされています。

(a) 個人情報の性質及び当該個人にとっての重要性(例えば、個人情報が健康状態等、個人の重要な側面に関連しているかどうか)

(b) 個人情報が収集、使用又は開示される目的

(c) 個人情報の信頼性(信頼できる情報源・手段から得られたか等)

(d) 個人情報の新規性(その個人情報が最近のものなのか、それとも少し前のものなのか等)

(e) 個人情報が不正確又は不完全であった場合の本人への影響(当該個人情報を開示された相手の事業者がその情報をどのように利用するか等を考慮)

 また、収集した個人情報の正確性・完全性の確認については、その情報の出所の信頼性に応じて異なるアプローチをとることができます。例えば、個人から直接提供された個人情報については、基本的に正確であると想定されますが、この正確性に疑義がある場合、又は高度の確実性が必要な場合等には、事業者は、提供された個人情報の正確性・完全性についての確認を、その提供者である個人に求めることができます。また、個人情報の新規性が重要な場合には、事業者は、個人から提供された個人情報が最新のものであることを確認するための措置を講じる必要があります(例えば、本人に大きな影響を与えるような判断をする前に、個人情報の最新のコピーを要求する等)。

 これは、例えば銀行のローンを借り入れる際に、個人が、申込書に記載した個人情報(を含む必要事項)の真実性・正確性を認める欄にチェックを付けたり、提供された情報が最新のものであることについて保証する欄にチェックしたりすることを求めることにより担保することが考えられます。

 一方で、本人以外の情報源から個人情報を収集する場合には、事業者は、より注意を払わなければならず、例えば、個人情報の提供元から、その個人情報の正確性と完全性を検証したという確認を求め、さらに独自に検証を行う等して対応することが考えられます。

更に、個人情報を更新すべきか否かの判断にあたっても、同様の考慮事項が適用されます。全ての個人情報が更新を必要とするわけではないものの(例えば、過去の事実や履歴に関する情報等)、意思決定の過程で古い個人情報を使用することが相応しくない場合には、事業者はそのような個人情報を更新することが必要であると考えられます。この点に関して、ガイドラインでは、例えば会社主催のアクティビティに参加する従業員に対して健康診断の記録を求める場合、それは最新の情報である必要があり、入社時のものから更新されているべき必要性が高いと言えます。また、特定部門への異動の際に必要とされる資格や専門的スキル等についても、過去のものでは不十分であり、現時点で有効なものである必要があると説明されています。

Q.  保護義務(Protection Obligation)とは、どのような義務ですか。

保護義務(第24条)とは、事業者が、不正アクセス、収集、使用、開示、複写、変更、廃棄又はこれらに類似のリスクを防止するため、合理的な安全対策を講じることにより、その保有し、又は管理下にある個人情報を保護すべき義務を言います。

 ガイドラインによると、事業者が保護義務を遵守するための「決定版」と言える解決策(‘one size fits all’ solution)は存在せず、各事業者は、個人情報の性質、個人情報が収集された形態(物理的な資料か、電子版か、等)、及び、無権限の者が個人情報を取得、修正、又は廃棄した場合の関係者への影響等を考慮して、状況に応じて合理的かつ適切なセキュリティ対策を採用することを検討する必要があるとされています。例えば、雇用の場面においては、従業員の「評価」に関する情報のような機密性の高いものについては、他の従業員に関する一般的な情報と比較して、より高いレベルのセキュリティを期待するのが合理的と言えます。

Q.  保護義務(Protection Obligation)を順守するためには、具体的にはどのような措置を講じる必要がありますか。

 ガイドラインにおいては、保護義務を順守するために事業者が講じるべき実務上の措置(セキュリティアレンジメント)として、次のような事項が挙げられています。

(a) 事業者が保有する個人情報の性質やセキュリティ違反から生じ得る損害を考慮した上で、 セキュリティ対策を設計し、組織化すること。

(b) 信頼性が高く、十分な訓練を受けた情報セキュリティ要員を確保すること。

(c) 個人情報の重要性(sensitivity)に応じた様々なレベルの個人情報について、それぞれ適切なレベルのセキュリティを確保するためのポリシーを策定すること。

(d) 情報セキュリティ侵害行為に迅速かつ効果的に対応するための準備と能力を具備させること。

 また、上記のようなセキュリティアレンジメントが適切であるか否かを確認するために、(a) 事業者の規模、保有する個人情報の量や種類、(b) 事業者内において個人情報にアクセスできるか人員の範囲、(c) 個人情報が事業者以外の第三者により保有されたり、使用される予定があるか否か、といった要素を考慮し、事業者におけるリスクアセスメントを実施することが有益であると紹介されています。

 このように、保護義務の遵守のための具体的な措置については各事業者が個々の状況に応じて自ら検討・対応すべきことになるため、実際の日常業務の状況を踏まえたセルフ・アセスメントが重要となってくるものと思われます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal