シンガポール個人情報保護法Q&A(第15回)
シンガポール個人情報保護法Q&A(第15回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年12月3日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第15回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 違反事例通知義務(Data Breach Notification Obligation)とは、どのような義務ですか。
PDPAの2021年2月における改正により、Part 6Aが新設され、同Partにおいて、事業者は、何らかの個人情報漏洩事故等の違反事例(data breach)が発生した場合に、それが通知すべきものであるかどうかを自己評価し、通知すべきと評価された場合には影響を受ける個人及び/又はPDPCに通知すべきものとされており、また、公的機関を含む他の事業者のためにデータを処理するデータ仲介者においても、発見された違反事例について他の事業者又は公的機関に速やかに通知すべきものとされています。この義務を、ガイドライン上、違反事例通知違反と呼んでいます。
事業者は、(自己発見、一般市民からの通報、データ仲介者からの通知等に基づき)違反事例が発生したと信ずるに足る十分な根拠を得た場合には、その違反事例がPDPAに基づき通知すべきか否かを評価するため、合理的かつ迅速な手順を踏むことが要求されます。また、影響を受ける個人への重大な損害の可能性は時間とともに増加する可能性があるため、評価は迅速に行われるべきであり、事業者は、一般にこれを30日(暦日)以内にこれを行うことが求められ、遅延は違反事例通知義務の違反となり得るため注意が必要です。この点、ガイドラインにおいては、違反事例に関する事実を立証し、それが通知すべきものかどうかを判断するために時間を要する様々な状況があり得るかもしれないことに鑑み、事業者が30日以内に自己評価を完了できない場合には、その評価の実施に要した時間についてPDPCに説明する準備をしておくべきことが示唆されています。また、この自己評価を行うために合理的かつ迅速な手段を講じたことを証明するため、事業者は、その違反事例の評価に要した全ての手順を文書化しなければならず、更にそれに関する証拠資料も準備しておかなければならない可能性もあります。
なお、この違反事例通知義務は、データ仲介者が違反事例を発見した場合にそれを依頼者である事業者に対して速やかに通知すべきことも含みますが、データ仲介者に対しては、上記のような自己評価やその後の通知までを求めるものではなく、それらの義務・責任は、あくまで事業者自身が負うものとなります。そこで、ガイドライン上は、事業者がデータ仲介者との間でサービス契約等締結する際に、違反事例通知義務を遵守するための明確な手順(事例の連絡方法、確認プロセス、その後の回復措置等)についても約定することが推奨されています。
また、違反事例が、複数の事業者が所有ないし管理している個人情報を含む場合には、各事業者が、それぞれその違反事例に関する通知義務を負うことになります。
Q. 具体的には、どのような場合に違反事例通知義務(Data Breach Notification Obligation)を果たすべきことになるのですか。
事業者が違反事例通知義務を負う際の要素としては、(a)違反により影響を受ける個人にもたらす害悪が重大な場合、又は(b)違反の規模が重大な場合、の2つが挙げられます。
(a)「重大な害悪(significant harm)」
事業者は、違反により影響を受ける個人に対して「重大な害悪(significant harm)」をもたらす可能性があるため、違反事例を通知すべきか否かにつき自己評価を行うことが求められます。この通知により、影響を受ける個人がその事実(自己の個人情報の漏洩等)を認識し、自己を保護するための手段(パスワードの変更、クレジットカードの解約、アカウントに異常な活動がないか等を監視する等)を取ることができるようになります。
そして、この「重大な害悪」には、身体的、心理的、感情的、経済的、金銭的な損害のほか、レピュテーションの毀損、合理的な人物であればその違反事例の結果として認識するであろうその他の形態の害悪が含まれ得ます。
この点、Personal Data Protection (Notification of Data Breaches) Regulations 2021[1]においては、漏洩した場合に影響を受ける個人に重大な害悪をもたらすとみなされる個人情報の類型として、次のようなものを挙げています。
(a) 個人のフルネーム[2]若しくは通称、又は完全な国民識別番号[3]及び次の類型のいずれかの個人情報との組み合わせ[4]
・公開されていない財務情報(賃金・報酬等の収入、クレジットカード情報、その他資産、負債、信用に関する情報等)
・児童・未成年、保護が必要な成年に関する識別情報・経歴(非行歴)等
・公開されていない生命保険・健康保険等に関する情報
・特定の医療・健康関連情報
・養子縁組に関する情報
・何らかの暗証番号・プライベートキー
(b) 銀行口座の特定に関する個人情報
逆に言えば、上記の類型に属さない個人情報の組み合わせ、例えば氏名と電話番号等の連絡先のみが漏洩した場合であれば、必ずしも上記のような「重大な害悪」が生ずる場合に該当せず、通知を要しないと判断され得ることになるため、実際に漏洩事故が発生した場合でも、冷静な対応により、この判断を行っていくことが肝要になると思われます。
(b)「重大な規模の違反(Significant scale of breach)」
違反の規模が重大となる場合、それは事業者内部におけるシステム上の問題が存在している可能性があるため、その違反についてPDPCに対する報告義務を課すことにより、是正や予防のための措置を講じるよう促すことが期待されるとされます。
この点、違反の規模が重大と言えるための具体的な数値としては、ガイドライン上、500名以上の個人情報に関わるものであるか否かにより判断されます。違反により500名以上の個人に影響を与える場合、その違反事例が上記(a)所定の類型の個人情報に関連しない場合でも、事業者は、PDPCに対して通知すべきことになります。
また、事業者が違反の規模を確定できない場合でも、それが500名以上の個人に関わると信ずる理由があるときは、PDPCに報告すべきであり、これは事前評価による推定数に基づいていてもよいとされます。
上記に関連し、ガイドライン上、いくつかの事例がアドバイスとともに掲載されているため、ご参考までに次の表の通り紹介させていただきます。
No. |
事例 |
概要 |
ガイドライン上のアドバイス |
1 |
ホテル宿泊客1,000名のデータベースドライブの盗難 |
宿泊客のフルネーム、パスポートの詳細、フライト情報、ホテル滞在期間、クレジットカード情報の漏洩 |
PDPC及び影響を受けた個人に通知すべき。 |
2 |
診療所患者50名のデータベースの不正改ざん |
患者のフルネーム、シンガポール国民登録識別カード(NRIC)番号、居住地の住所、アレルギー、健康歴等への不正アクセス |
PDPC及び影響を受けた個人に通知すべき。 |
3 |
福祉施設利用者の個人情報(人数未記載)の不適切な廃棄 |
利用者の金融・医療・家族に関する来歴等が、適切な処理がなされないまま廃棄された。 |
影響を受けた個人に通知すべき。 |
4 |
オンライン小売店の顧客情報データベース(700名)への不正アクセス |
データベース内の氏名・メールアドレス等への不正アクセス |
PDPCには通知すべき。 |
5 |
学生の図書館貸出履歴の不正開示 |
学生250名の氏名、入学番号、過去1年間の図書館貸出履歴等の漏洩 |
この規模である限りは、PDPC及び影響を受けた個人に通知しないことを選択できる。 |
6 |
保険契約の詳細が記載された暗号化されたUSBの紛失 |
契約者の氏名、契約番号、契約名、保険料の金額等、300件の保険契約の詳細が入った暗号化されたUSBの紛失 |
暗号化により外部から容易に確認できないため、この規模である限りは,PDPC及び影響を受けた個人に通知しないことを選択できる。 |
[1] 2021年10月1日より、改正版が施行されています。
[2] 公的資料に記載されるフルネームを指し、イニシャルのみは含まないとされます。
[3] 国民識別番号とは、NRIC番号、出生証明書番号、FIN、ワークパーミット番号、パスポート番号、外国人の国民識別番号など、政府から発行されるあらゆる識別番号を指すとされます。
[4] 詳細は、ガイドライン20.15項をご参照下さい。
以上
本記事やご相談に関するご照会は以下までお願い致します。