フィリピンにおけるPICおよびPICに対する行政罰について
フィリピンにおけるPICおよびPICに対する行政罰についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
→フィリピンにおけるPICおよびPICに対する行政罰について
フィリピンにおけるPICおよびPICに対する行政罰について
2022年9月
1.はじめに
ここ数年、フィリピンでは、自分の名前を含んだ個人宛のスパムメールが増加し、個人情報保護に対する懸念が高まっています。
国家プライバシー委員会(National Privacy Commission 、以下「NPC」)は、このような状況を踏まえ、NPCサーキュラー(回状)第2022-01号(NPC Circular No.2022-01)を発しました(以下「本NPCサーキュラー」)。
本NPCサーキュラーは2012年個人情報保護法 (共和国法第10173号)(Data Privacy Act of 2012、Republic Act No. 10173、以下「DPA」)とその施行規則、およびNPCのその他の通達等に違反した場合に、個人情報管理者(Personal Information Controllers、以下「PIC」)及び個人情報処理者(Personal Information Processor、以下「PIP」)に課される行政罰を定めています。
NPCは、PIC、PIPに課される行政罰を定めることにより、データ主体の権利の保護責任の遵守を強化し、組織としての説明責任が果たされるよう促しており、非常に時宜を得たものといえます。
本NPCサーキュラーの詳細は、以下の通りです。
第2 PICおよびPIPの行政罰に関するガイドライン
1 適用範囲 ―PIC、PIPとは
本NPCサーキュラーの適用範囲は、DPAで定められたPICおよびPIPとされています。
PICとは、個人情報の収集、保持、取扱いまたは使用を管理する、個人または組織をいい、自身に代わって他の個人または組織に個人情報の収集、保持、取扱い、使用、転送、または開示を指示する個人または組織が含まれます。ただし、以下の個人または組織は除かれます。
(1)他の個人または組織からの指示により個人情報の収集、保持、取扱い、または使用、開示を行う者 (2)当該個人、その家族または家事に関連する個人情報を収集、保持、処理、または使用する当該個人
一方、PIPとは、個人情報管理者(PIC)がデータ主体に関する個人情報の取扱いを外部委託することができる、DPAに基づいて外部委託を受けることができる自然人または法人を指し、PICから個人情報の取扱いの外部委託を受けている事業者を指します。
ここでいう個人情報には従業員が含まれますので、基本的にすべての企業がPICに該当し、他社から提供を受けた個人情報を保持、取扱い等を行う企業は、PICまたはPIPに該当します。
したがって、本NPCサーキュラーはすべての企業に関連することになります。
2 行政罰の内容
PICまたはPIPは、DPA及びDPA施行規則、並びにNPCが発行する各通知等に違反した場合、違反事項ごとに、違反した条項に応じて以下に定める区分に従い、行政罰が課されます。ただし、一つの行為が複数の違反を構成する場合、500万ペソが上限となります。
|
違反の程度 |
行政罰 |
違反行為となる行為 |
|
重大な違反 (Grave Infractions) – 対象となるデータ主体の総数が1,001人以上 |
違反が発生した直前の年の年間総収入の0.5%~3% |
– DPA第11条に基づく個人情報取扱いに関する一般的なプライバシー原則のいずれかに対する違反 – DPA第16条に基づくデータ主体の有する権利に対する侵害 – 重要な違反かその他の違反のいずれであるかに関わらず、同一の違反に対する本NPCサーキュラーによる行政罰が繰り返された場合、自動的に重大な違反とみなされる |
|
重要な違反 (Major Infractions) – 影響を受けるデータ対象者の総数が1,000人以下 |
違反が発生した直前の年の年間総収入の0.25%~2% |
– DPA第11条に基づく個人情報取扱いに関する一般的なプライバシー原則のいずれかに対する違反 – DPA第16条に基づくデータ主体の有する権利に対する侵害 – DPA第20条(a)、(b)、(c)又は(e)に基づく個人情報の安全性の保護措置を合理的かつ適切に講じることをPICが怠った場合 – DPA第20条(c)又は(d)に基づいて、自己に代わって個人情報を取扱う第三者に安全対策を講じさせることをPICが怠った場合 – DPA第20条(f)に基づく、NPC及びデータ対象者に対する個人情報漏えい時の通知をPICが怠った場合(ただし、DPA第30条により処罰される場合を除く) |
|
その他の違反 (Other Infractions) |
5万ペソ以上20万ペソ以下 |
– DPA第7条(a)、第16条、第24条に基づき、PICの正しい身元または連絡先、情報処理システム、または自動意思決定に関する情報の登録を怠った場合 – DPA第7条(a)、第16条、第24条に基づき、PICの身元または連絡先、情報処理システム、または自動意思決定に関する更新の提供を怠った場合 |
|
50,000ペソを超えない範囲 |
– DPA第7条およびこれに関する施行通知に基づくNPCまたはその正当な権限を有する役員の命令、決議または決定に従わなかった場合
*この違反に対する罰金は、NPCの命令、決議または決定の対象となった違反行為に対して課される罰金に加算して課される |
3 行政罰の賦課に影響する要因
上記区分の範囲内で具体的な行政罰の額を定めるにあたって考慮される要素は、以下のとおりです。
-当該違反が故意または過失のいずれに起因するか -違反行為によりデータ対象者に生じた損害の有無及び程度 -個人情報取扱いの性質、範囲、目的の観点から判断される違反の性質または期間 -取り扱われる個人情報およびDPA第16条に基づくデータ主体の有する権利を保護するために事前に取られた措置 -命令、決議または決定としてNPCが決定した過去の違反、これらの違反により罰金が科されたか、およびこれらの違反から経過した期間 -対象となる個人情報の種類 -PICまたはPIPにおいて違反行為が発覚した経緯、およびNPCへの通知の有無 -データ対象者への危害を軽減するために PIC または PIP が採用した緩和措置 -PICまたはPIPに生じた経済的利益または回避した損失を含む、NPCの評価対象となる他の加重または軽減事由
第3 最後に
多くの企業は、自社がPICやPIPに該当する可能性があることを意識せずに個人情報を収集し、取り扱っています。しかし、当該データや、対象取引、対象者がDPAの対象である場合、DPAの規定に従う必要があり、これに違反した場合は、上記の行政罰やその他の罰則が科されることになりますので、留意が必要です。
この度、弊所執筆の「アジア・オセアニアの個人情報保護規制と実務」が出版されることとなりました。フィリピンを含む、東南アジア、南アジア、オセアニアにおける個人情報保護規制について網羅的に概説した書籍となっております。近日中に販売される予定ですので、フィリピンにおけるPICやPIPに課される遵守事項や、各国個人情報保護法に関してより詳しい情報をお求めの方は、ぜひご一読ください。
