シンガポール個人情報保護法Q&A(第11回)

2021年07月19日(月)

シンガポール個人情報保護法Q&A(第11回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第11回)

 

2021年7月19日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第11回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 保有制限期間内の保管に際しては、どのような点に注意する必要がありますか。

保有制限義務に関し、ガイドラインにおいては、事業者は、保有する個人情報を定期的に見直し、その個人情報がまだ必要かどうかを判断しなければならないとされています。大量の異なる種類の個人情報を保有している事業者は、個人情報の種類に応じた適切な保有期間を設定しなければならない場合もあると考えられます。

そして、PDPCからは、PDPA上の保有制限義務の要件に従った個人情報保有期間に関するルールを含む個人情報保有ポリシーを作成することが推奨されています。また、個人情報が比較的長期間にわたり、保有される場合には、そのポリシー中に、その保有の理由を明記すべきであるとされます。また、個人情報の種類に応じて適用されるポリシーを分けたり、保有制限義務の遵守を容易ならしめるような方法で個人情報が記録・保存されるよう、社内プロセスを開発又は調整すべきであるとされています。

Q. 個人情報を保有する必要がなくなった場合には、どのような対応をとるべきですか。

個人情報を保有する必要がなくなった場合には、事業者は、PDPA上、個人情報を含む文書の保有を停止するか、又はその個人情報を特定の個人と関連付ける手段を削除する(データの匿名化)により対応することができるとされます。

 このうち、「保有の停止」には、本人への情報(書類等)の返却、本人の指示に基づく第三者への譲渡、シュレッダーその他の適切な方法による廃棄が含まれます。

 この点、保有を停止したと言えるためには、事業者が可能な限り、個人情報を含む文書を完全に回収不能にしたり、アクセス不能となる方法で、保有を終了する必要がありますが、一方で、シュレッダーにかけられた書類が残っていたり、PC上から削除された個人情報が削除済みのフォルダに入っているだけのケースもあり得ます。このように、事業者が個人情報の保有を停止したかどうかについて疑わしい場合について、次のような要素が考慮されることになります。

(a) 事業者が、その(削除された)個人情報を再度利用したり、アクセスしたりする意図があるかどうか。

(b) 個人情報を再び利用又はアクセスするために、どれだけの労力や資源が必要となるか。

(c) 第三者がその個人情報へのアクセス権を有しているかどうか。

(d) 個人情報を恒久的かつ完全な方法で破棄、廃棄又は削除するための合理的な試みを行っているかどうか。

Q. 個人情報の「匿名化」に関しては、どのように理解すればよいですか。

上記の通り、事業者は、個人情報が匿名化された場合にも、個人情報の保有を停止したものとみなされます。一般に、匿名化とは、残ったデータから特定の個人を識別できないように、個人の識別情報を削除するプロセスと理解されます。

 この点、匿名化プロセスの理解については、法域や分野によって異なる可能性があります。例えば、「匿名化」と「非識別化」とを区別し、個人情報を、単独で他の情報と組み合わせても個人を識別できないデータに変換するプロセスのみを「匿名化」と理解する場合もあります。また、「匿名化」を不可逆的な非識別化を意味する言葉として使用する場合もあります。

一方で、PDPCガイドラインにおいては、「匿名化」を可逆的な場合及び不可逆的な場合の双方を含むものとして使用されています。もっとも、使用される特定のプロセスが可逆的であることは、事業者が再識別のリスクを管理する際の考慮要素となります。

 ガイドラインによると、「匿名化」の例としては次のようなものが挙げられます。[1]

(a) 偽名化:個人識別情報を、他の参照情報で置き換えること。例えば、個人の名前を、ランダムに生成されるタグや参照番号で置き換えること。

(b) 集計:個人を特定できるような個々の値が表示されないように、値を合計で表示すること。例えば、8人の年齢(33歳,35歳,34歳,37歳,42歳,45歳,37歳,40歳)のデータセットにつき、年齢を表示するのではなく、グループに含まれる個人の年齢の合計(303歳)を表示すること。

(c) 置換:値又は値の一部を、計算された平均値又は値から得られた数値に置き換えること。例えば、目的のために正確な年齢を必要としない場合において、年齢が15歳、18歳、20歳の人を17歳の値に置き換えて、区別を曖昧にすること。

(d) データの圧縮:目的に必要のない値を削除すること。例えば、個人の属性のデータセットから「民族」を削除すること。

(e) データの再コード化又は一般化:ある個人情報のカテゴリをより広範なカテゴリにグループ化等すること。例えば、正確な教育レベル(K1、Primary 3、Secondary 2等)をより広いカテゴリ(Pre-primary、Primary、Secondary等)にグループ化したり、与えられた範囲内の値を隠したりすること(例:年齢「43」を範囲「40-50」に置き換える等)。

(f) データのシャッフル:個人情報の値を同じ種類のものと混ぜ合わせたり、置き換えたりすることにより、情報が似ているように見えても実際の詳細とは無関係なものとすること。例えば、顧客データベースの名字を、別のデータベースから抽出した名字に置き換えることによるサニタイズ

(g) マスキング:データの見た目を維持したまま、特定の詳細を削除すること。例えば、NRIC番号の完全な文字列を「S1234567A」ではなく「#####567A」と表現すること。

また、この「匿名化」にあたっては、それぞれ匿名化されたデータセットを組み合わせることにより、個人が再識別されるリスクについても留意が必要とされます。各事業者においては、個人情報の匿名化を行う場合には、この再識別のリスクも勘案することが求められています。[2]

[1] 但し、PDPCは、特定の方法を推奨又は支援するものではなく、各事業者において、それぞれの状況や業務上の背景等に基づき、独自に方法を判断することが求められています。

[2] 以上につき、詳細は、Advisory Guidelines on the PDPA for Selected Topics(https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Selected-Topics/Advisory-Guidelines-on-PDPA-for-Selected-Topics-9-Oct-2019.pdf?la=en)の「匿名化」(Anonymisation)の項をご参照ください。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal