フィリピンにおける個人情報処理システム、DPOの登録義務等について
フィリピンにおける個人情報処理システム、DPOの登録義務等についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
個人情報処理システム、DPOの登録義務等
2023年2月
第1 はじめに
2023年2月3日、National Privacy Commission(NPC、国家プライバシー委員会)は、Data Privacy Act of 2012(DPA、2012年データ保護法)で義務付けられている企業のデータ処理システムの登録のためのオンラインプラットフォームであるNPC Registration System(NPCRS、NPC登録システム)の供用を開始しました。
NPCはこれと並行して、NPC Circular No.2022-04を公表し、個人データ処理システム及びData Protection Officer(DPO、データ保護責任者)の登録、自動処理またはプロファイリングに関する届出、およびのNPC登録シールについて定めました。これらは、対象となる企業に対して、DPO等の登録や年に1回の更新、NPC登録シールの掲示を義務付けるものであり、違反に対しては行政処分の対象となるなど、個人情報保護に関する実務に影響を与えるものとなっています。
また、登録義務対象外の企業についても、宣誓書の提出が義務付けられているため、留意が必要です。
以下、NPC Circular No.2022-04の主要な条項を解説します。
第2 NPC Circular No.2022-04の概要
(1)対象企業
以下のいずれかに該当するPersonal Information Controller (PIC、個人情報管理責任者)またはPersonal Information Processor (PIP、個人情報取扱事業者)は、本NPC Circularが定める登録等を行う必要があります(Sec.5)。
(i) 250人以上を雇用する場合 (ii) 1,000人以上の機微な個人情報を取り扱う場合 (iii) データ主体の権利と自由にリスクを与える可能性が高いデータを処理する場合
(iii)については、国家機密、個人の安全、公共の秩序、公衆衛生に影響を与える情報や、少数者や精神病者、亡命申請者、高齢者、患者、刑事手続の対象者に関する情報など法令上秘匿性が求められている情報を取り扱う場合、データ主体とPIC,PIPとの間の格差が存在する場合がこれに当たるものと考えられます(前文)。
なお、データ処理システムの登録が義務付けられていないPICまたはPIPは、自主的に登録することができます(任意登録、Sec.6)。
また、自主的な登録も行わない場合は、上記要件に該当しない旨の、公証を経た宣誓書の提出が義務付けられていますので、ご留意ください。
(2)データ処理システム及びDPOの登録義務
ア 登録義務
自動処理やプロファイリングを伴う個人情報や機微な個人情報を処理するデータ処理システム、およびDPOは、必ずNPCに登録する必要があります(Sec.3、5、7)。
PICまたはPIPは、データ処理システムの供用開始またはDPOの選任から20日以内に、当該データ処理システムおよび選任したDPOをNPCの登録プラットフォームに登録しなければなりません。システムの更新またはDPOを改選した場合は、10日以内に更新しなければなりません。(Sec.7)
イ DPOの登録
登録申請は、PICまたはPIPの指定するDPOを経由して行います。PICまたはPIPは、1人のDPOしか登録できません(Sec.8)。なお、DPOは、法律またはNPCによって許容されない限り、当該企業の従業員でなければならないとされています(Sec.2 D)。
ただし、PICまたはPIPが複数の支店、事務所を有する場合、または担当する業務範囲が広い場合は、1人以上のCompliance Officers for Privacy(COP、プライバシー・コンプライアンス・オフィサー)を指定することができます。COPは常にDPOがこれを監督する必要があります。(Sec.8)
PICまたはPIPは、DPOとして任命された要員の個人用・業務用の電子メールとは別に、DPO専用の電子メールアドレスを届け出なければなりません。
ウ 申請書
PICまたはPIPが提出する登録申請書は、正規の公証を受けた上で、申請主体に応じて定められた書類を添付する必要があります。民間企業および外国企業については、以下の書類を添付しなければなりません。なお、データ処理システムの登録が義務付けられていないPICまたはPIPは、NPC Circular No.2022-04の付属書1により宣誓書を提出する必要があります。
国内民間企業
-(1) DPO の任命または指名を承認する公証済みの秘書役の証明書、または (2) 当該組織の代表者による DPO の任命が有効であることを示すその他の文書で、当該組織の代表者にDPOの任命権限を付与する有効な文書が添付されているもの。
-Securities and Exchange Commission(SEC、証券取引委員会)登録証明書
-最新のGeneral Information Sheet(GIS、一般情報シート)の謄本(原本)
-有効な営業許可証
外国民間企業
-DPOの任命または指定を承認する、認証済みまたはアポスティーユされた秘書役の証明書、または任命または指定を証明するその他の文書(英語以外の言語の場合はその英訳文)。
-認証済みまたはアポスティーユされた以下の書類の(英語以外の言語の場合はその英訳文)。
-最新のGISまたはそれに類する書類
-(法人、組合、個人事業主の)登記簿謄本またはそれに類する書類
-有効な営業許可証または類似の書類
登録時に必要な情報の詳細は、NPC Circular No.2022-04 Sec.12に定められています。
エ Certificate of Registration(登録認証)
NPCは、登録手続が正式に完了した場合、NPCからCertificate of Registration(登録認証)が発行されます(Sec.13)。
Certificate of Registrationは1年間に限り有効とされており、PICまたはPIPは、1年間の有効期限が切れる30日前までに、更新する必要があります(Sec.14、18)。
(3)自動処理またはプロファイリングに関する届出
自動処理またはプロファイリングを行うPICまたはPIPは、その登録記録およびIDに、自動処理またはプロファイリングに関与するデータ処理システムを届け出なければなりません。その際、PICまたはPIPは、以下の情報を届け出る必要があります。
a. 同意書等を含む個人情報を取扱う法的根拠 b. 処理されたデータの保持期間 c. 自動処理に利用される方法と論理 d. 処理されたデータに基づいてデータ主体に関して行われる処理(特に当該処理がデータ主体の権利と自由に重大な影響を与える場合の有無)
(4)NPC登録シール
登録が完了すると、登録証明書と同時に登録シールが発行され、ウェブサイトを通じてダウンロードをして取得することができます(Sec.29)。登録シールは発行から1年間有効となっています(Sec.31)。
登録シールは、事業所や事務所の正面玄関など、すべてのデータ主体が確認しやすい場所に掲示しなければなりません。また、PICまたはPIPは、そのメインのウェブサイト、またはグローバルウェブサイトの場合は少なくともフィリピンに関するページにも掲示しなければなりません。(Sec.32)
(5)罰則
ア 登録の取消し
NPCは、DPA等の関連法令の違反、DPCによる処分等に対する違反、DPAに従った個人情報処理能力の欠如がNPCの監査により明らかとなった場合などの一定の場合に、PICまたはPIPの登録を取り消すことができます(Sec.35)。
イ 罰則、罰金および排除措置命令
登録証が取り消された、または登録要件に違反したPICまたはPIPは、遵守命令および執行命令、停止命令、個人データの処理の一時的または恒久的な禁止、または行政罰の支払いの対象となる場合があります(Sec.37)。
第3 企業がとるべき対策
本NPC Circular No.2022-04は、発行から180日間の猶予期間が設けられていますので(Sec.39)、対象となる企業は、この間に、各登録や届出などの対応を行う必要があります。また、有効期間が1年間と定められているため、適宜更新をしていく必要があります。
詳細については、下記までお問い合わせください。引き続き、当事務所のニュースレターにおいてもアップデートをしていく予定です。
