シンガポール個人情報保護法Q&A(第14回)
シンガポール個人情報保護法Q&A(第14回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年10月18日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第14回)
Q. 任命されたDPOは、どのような役割や責任を負いますか。
PDPA第11条第5項においては、事業者は、第11条第3項に基づき任命した個人のうち少なくとも1名の連絡先(business contact information)を公開しなければならないとしています。一方、第20条第1項(c)及び第20条第4項(b)においては、事業者は、個人情報の収集、使用又は開示に関する質問に事業者を代表して回答できる人物の連絡先を公開することが求められています。これら連絡先が公開されるの担当者は同一人物でなくても良いとされていますが、一般には、DPOがこの役割を担うことになると思われます。
そして、この公開すべき連絡先(business contact information)には、氏名、役職名、業務上の住所・電話番号・電子メールアドレス等が含まれますが、常にこれら情報の全てを公開しない限り違法である、とまでは言えないと考えられます。もっとも、例えば、個人からの(本人が提供した個人情報に対する)アクセスや訂正の請求が書面でなされる場合には、住所又は電子メールアドレスの少なくとも1つは公開すべきであると言えます。また、これらの連絡先は、シンガポールから容易にアクセスでき、シンガポールの営業時間内は受付が可能である必要はあり、更に電話番号については、シンガポールの電話番号でなければならないとされている点には注意が必要です。
このほか、ガイドライン上、DPOには次のような役割が期待されているとされています。
・事業者のマネジメント、セキュリティ部門その他関連する事業部門と協力して、社内の適切な個人情報保護ポリシーや実務慣行を策定・実施すること。
・個人情報目録(personal data inventory)の作成(又は作成の指導)
・個人情報保護影響評価(アセスメント)の実施
・個人情報保護に関するリスクの監視・報告
・社内における個人情報保護関連コンプライアンス研修の実施
・個人情報保護に関する各種関係者との連携・連絡
・その他、社内における個人情報保護に関する専門家としての活動 等
Q. DPOの任命以外に、事業者が説明責任義務(Accountability Obligation)として果たすべき事項にはどのようなものがありますか。
DPOの選任等に関するほか、PDPA第12条は、説明責任義務の主な内容として、次のような事項を定めています。
(a) 個人情報保護ポリシーの策定・運用。事業者は、収集する個人情報の種類や分量、目的等を考慮し、(必要に応じて)社内向け・外部向けの個人情報保護ポリシー(プライバシーポリシー)を策定・運用する必要があり、かつ、そのポリシーの対象者が、その内容を容易に確認できるようにしておく必要があります。更に、これらのポリシーの実効性を確保するため、モニタリングやプロセス管理も行うべきとされています。
(b) 苦情対応プロセスの確立。事業者は、PDPA の適用に関して発生しうる個人からの苦情の受理、対応に関するプロセスを確立し、コンプライアンス貫徹に資するものとすべきこととされます。
(c) 個人情報保護ポリシー及びその実務慣行に関するスタッフ・従業員とのコミュニケーション。事業者がスタッフ・従業員に対する研修等を通じたコミュニケーションをとることにより、その意識向上に努め、事業者における内部的な個人情報保護体制の強化に資することが期待されます。
(d) 上記(a)(b)に関する情報提供。事業者は、個人の要求に応じ、個人情報保護ポリシー及びその運用、並びに苦情対応プロセスに関する情報を提供することが求められています。これにより、個人が必要な情報を認知し、個人情報に関する懸念や苦情を必要に応じて直接事業者に提起し得ることが期待されています。
以上のほか、説明責任義務に関しては、PDPA上は必須ではないものの、ガイドライン上、奨励されるべき実務慣行として次のような措置も記載されています。
・個人情報保護影響評価(Data Protection Impact Assessments (“DPIA”))
・設計による個人情報保護(Data Protection by Design (“DPbD”))
・個人情報保護管理プログラム(Data Protection Management Programme (“DPMP”))
これら措置に関する詳細については、PDPCにより個別のガイドライン[1]が出されているため、ご参照ください。
ガイドラインによると、このような対策を行わないこと自体はPDPAの違反ではないものの、例えば個人情報保護影響評価(DPIA)を実施していない組織は、自社のITインフラで取り扱っている個人情報のリスクを十分に認識しておらず、必要十分なセキュリティ措置を講じていないものとして、結果的に保護義務(第24条)を果たしていないとみなされるおそれもある等、状況によっては事業者がPDPAの他の義務を果たしていないとされる可能性もあることが指摘されている点、注意が必要と言えます。
前回も言及した通り、この説明責任義務(Accountability Obligation)は、従前は公開義務(Openness Obligation)と呼ばれていたものが改称されたという経緯もあり、現在のPDPCにおいては、各事業者に対して、単に自社のポリシー等を公開するのみことならず、各個人に対して説明責任を果たすことを強く求める傾向にあると言え、今後はプライバシーポリシーの策定・公開に止まらず、各事業者において、個人やPDPCから何らかの照会があった際には、自社における個人情報の取扱い方針や個人情報保護に対する取り組み等につき、直ちに回答が可能となるよう、常日頃から体制整備を含めた準備を行っておくことが、実務上極めて重要となってきている点には、改めてご留意いただければと考えております。
[1] DPIA: https://www.pdpc.gov.sg/help-and-resources/2017/11/guide-to-data-protection-impact-assessments
DPMP: https://www.pdpc.gov.sg/help-and-resources/2019/07/guide-to-developing-a-data-protection-management-programme / https://www.pdpc.gov.sg/help-and-resources/2020/09/guide-to-managing-data-intermediaries
以上
本記事やご相談に関するご照会は以下までお願い致します。
