• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > シンガポール > シンガポール法律コラム:第24回 シンガポールでのAI活用における個人情報(Personal Data)保護に関する留意点について

シンガポール法律コラム:第24回 シンガポールでのAI活用における個人情報(Personal Data)保護に関する留意点について

2025年11月19日(水)

「シンガポール法律コラム:第24回 シンガポールでのAI活用における個人情報(Personal Data)保護に関する留意点について」と題したニュースレターを発行いたしました。シンガポール法律コラムは、今後も引き続き連載の予定となります。
こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

シンガポール法律コラム:第24回 シンガポールでのAI活用における個人情報(Personal Data)保護に関する留意点について

 

シンガポール法律コラム
第24回 シンガポールでのAI活用における個人情報(Personal Data)保護に関する
留意点について

2025年11月
One Asia Lawyers Group代表
シンガポール法・日本法弁護士
伊奈 知芳

みなさん、こんにちはOne Asia Lawyers Group (Focus Law Asia LLC)です。今回は、シンガポールでのAI活用における個人情報(Personal Data)保護に関する留意点についてご説明いたします。
近年、生成AIや機械学習を用いたシステムは、ビジネスの幅広い場面で導入されています。一方で、その利用の過程では大量の個人情報が取り扱われることから、個人情報保護との関係でさまざまな懸念が指摘されてきました。
こうした状況を踏まえ、シンガポールの個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」といいます。)は、2024年3月1日、AI推薦および意思決定システムにおける個人情報利用に関するアドバイザリー・ガイドライン(Advisory Guidelines on Use of Personal Data in AI Recommendation and Decision Systems、以下「本ガイドライン」といいます。)を公表し、個人情報保護法(Personal Data Protection Act 2012、以下「PDPA」といいます。)の適用範囲を明確化しました。
日系企業の皆様にとっても実務に直結する内容であるため、本ガイドラインをもとに、AI活用における個人情報保護に関する留意点を解説させていただきます。
なお、PDPAの総論については第16および第17のコラムをご参照ください。

<本ガイドラインの目的と対象>

本ガイドラインの目的は、①PDPAの適用場面について示すことで、企業等の組織がAIシステムを開発・導入する際に個人情報をどのように利用できるかを明確にすること、②個人情報の利用に関する透明性の確保を企業等の組織に促すことで、個人情報を提供する消費者に安心感を与えることにあります。
本ガイドラインでは、AIシステムの開発および運用開始後の性能監視における個人情報の利用、運用中のAIシステムにおける個人情報の収集・利用の場面や、組織から委託を受け、当該組織向けのAIシステムを開発するサービス提供者について記述されています。

AI活用と個人情報保護>

1.AIシステムの開発、運用開始後の性能監視における個人情報の利用の場面

(1)同意取得義務(PDPA13条)
組織が個人情報を利用する際には、原則として、本人の明示的な同意を取得する必要があります。もっとも、事業改善例外(Business Improvement Exception)や研究例外(Research Exception)として、利用目的が事業改善や研究である場合には、例外的に同意取得が不要となります。
具体的には、まず、事業改善例外について、既存の商品・サービスの改善や、新しい商品・サービスの開発、組織の業務運営の方法の改善・開発、個人の行動や嗜好の把握、個人に適した商品・サービスの特定といった利用目的の場合に認められます。ただし、その利用が合理的で必要不可欠なものであることが求められます。

次に、研究例外について、これは公益性のある研究のために認められるものであるため、AIシステムの開発が研究例外にあたるかは、当該AIシステムの開発が科学の発展や生活の質の向上にどの程度貢献するかを考慮して判断されます。
事業改善例外については本ガイドラインの5において、研究例外の適用範囲については本ガイドラインの6において、さらに詳しく記述されています。

(2)情報保護のための考慮事項
また、本ガイドラインでは、使用する個人情報を必要最小限とすること、個人情報の仮名化(pseudonymisation)および識別不能化(de-identification)、匿名化(anonymisation)を行うことが推奨されています。もっとも、データの有用性を維持する観点から、匿名化等の程度を必要に応じて抑えることも可能とされています。
なお、PDPAにおける個人情報とは、組織がアクセスする可能性のある情報と組み合わせて個人を特定しうる情報をいうため、仮名化や匿名化を行った場合でも個人情報に該当しなくなるとは限らないことに留意が必要です。

PDPCは、2024年7月15日、合成データの生成に関する指針(Proposed Guide to Synthetic Data Generation)を公表しています。合成データは、虚構のデータであって実在の個人情報を直接反映せず、多くの場合、PDPAにおける個人情報に該当しません。本ガイドラインには記載がありませんが、合成データの利用を検討することも考えられます。

2.運用中のAIシステムにおける個人情報の収集・利用の場面(B to C

(1)同意取得義務および使用目的通知義務(PDPA18条)
組織が個人情報を利用する際には、原則として、本人の同意を取得することに加え、本人に対して使用目的を通知することが必要となります。通知の目的は、本人が、形式的でない、意味のある同意を与えられるようにすることにあるため、通知の際には、個人情報の収集とサービスとの関連性等の詳細な情報について情報提供することが推奨されています。
なお、雇用関係の管理といった正当な利益が目的の場合、例外的に本人の同意を取得せずに個人情報を利用できます(Legitimate Interests Exception)。

(2)説明責任義務(PDPA11条、12条)
本ガイドラインでは、AIシステムを利用する組織は、説明責任義務との関係から、個人情報の利用に関する方針・実施措置について文書化すべきであるとされています。また、この文書を事前にウェブサイト等で公開することで、消費者からの信頼の構築にもつながるとされています。
さらに、AI Verifyといった検証ツールを用いてAIシステムの公平性や安全性を確認し、その結果を上記の方針等に反映させることも推奨されています。 

3.組織から委託を受けて当該組織向けのAIシステムを開発するサービス提供者について(B to B

サービス提供者は、顧客である組織に代わって個人データを処理する場合、PDPA上のデータ仲介者(Data Intermediary)としての義務を負います。そのため、この場合のサービス提供者には、データマッピングやラベリングによるデータ管理、データ来歴記録の維持等を行うことが推奨されています。

また、サービス提供者には、顧客である組織が同意取得義務、使用目的通知義務、説明責任義務を果たすために支援することが期待されていますが、これらの義務に関する最終的な責任は、AIシステムを利用する組織にあります。

<まとめ>

本ガイドラインは、AIの適正な活用を推進するためのものであるといえます。
日系企業にとっては、シンガポール市場で安心してAIを導入・運用するための具体的なルールや実務上の指針が示されたといえるでしょう。本ガイドラインを参考に、個人情報の利用についての透明性・説明責任を確保し、消費者との信頼関係を築きながらAIの活用を進めていくことが求められると考えられます。
次回はシンガポールにおけるサイバー犯罪対策についてご説明いたします。

—–

※本稿は、シンガポールの週刊SingaLife(シンガライフ)において掲載中の「シンガポール法律コラム」のために著者が執筆した記事を、ニューズレターの形式にまとめたものとなります。


  |