• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > シンガポール > シンガポール:シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて

シンガポール:シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて

2026年06月15日(月)

「シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて」のニューズレターを発行いたしました。こちらの内容は以下のPDFからもご覧いただけます。
シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて

シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて

2026年6月15日
One Asia Lawyers シンガポール事務所
日本法弁護士 伊奈 知芳 

. イントロダクション

近時、シンガポール個人情報保護委員会(Personal Data Protection Commission、「PDPC」)より、PDPA(Personal Data Protection Act)に関連するいくつかの重要なアップデートが公表されています。本稿では、DPO登録フォームの新設およびNRIC番号を用いた本人認証の廃止方針について、概要をご紹介します。

2. DPOの新たな登録フォーム公開

PDPAは、事業者に対し、1名以上のDPO(Data Protection Officer)を任命すること及びその連絡先を公開することを義務付けています(第11条3項)。
このたびPDPCは、DPO登録フォームを新たに公開しました。従前、シンガポールにおいては、ACRA(Accounting and Corporate Regulatory Authority)のBizFile+を通じたDPO情報の登録制度が存在していましたが、2024年12月1日から同制度は停止されていました。
今回、DPO登録フォームの公開により、事業者はDPO情報をPDPCに登録することが可能となりました。登録により、事業者はDPO任命義務およびその連絡先の公開義務という2つの義務を果たすことができます。
当該フォームへの登録そのものは法的義務ではありませんが、事業者が上記2つの義務を果たしていることを明確化する観点から、登録を検討する意義はあると思われます。また、登録を行うことで、PDPCからの規制に関するアップデートや関連資料等の提供を受けることが可能になります。

参考:
DPO登録フォーム https://form.gov.sg/69b3d9792f8a465a723047b9

3. NRIC番号を用いた本人認証が20271月から禁止に

 PDPCおよびシンガポールのサイバーセキュリティ庁(Cyber Security Agency of Singapore, “CSA”)は、NRIC番号(National Registration Identity Card number)の全部又は一部を、本人認証(authentication)の目的で使用することを、2026年12月31日までに段階的に廃止するよう求める共同アドバイザリーを公表しました。
 これにより、2027年1月1日以降、事業者が認証のためにNRIC番号(全部または一部)を利用することは、PDPA上の義務違反と評価される可能性があります。具体的には、たとえば認証のためにNRIC番号の全部または一部を初期パスワードとして(またはその一部として)利用すること等も違反と評価される可能性があります。既に、シンガポールの各種サービス提供者からは、今後はNRICを利用した認証を行わない旨の通知が、筆者にもいくつも届いています。
 上記共同アドバイザリーによれば、認証とは、「ある個人に対して、本人のみが利用することを予定されたサービスや情報へのアクセスを許可する前に、当該個人が本人であることを証明する手続」であるとされています。
 認証は、氏名等の識別子(identifier)を用いてある個人を他の個人と区別する「Identification(個人識別)」とは異なる概念です。
 今回、新たな規制が導入される背景として、NRIC番号はシンガポールにおいて広く利用される固有識別子であり、漏えいした場合のリスクが高いことが挙げられます。NRIC番号の一部のみを認証のために利用する場合であってもリスクは否定できないため、PDPC及びCSAは、そのような利用形態についても見直しを求めています。
 今後、シンガポールにおいてサービスを提供する事業者は、顧客向けポータル、会員システム、人事管理システム等において、NRIC番号ベースの認証を採用していないか確認する必要があります。
 なお、当該共同アドバイザリーやPDPCニュースリリースにおいて、NRIC番号と同様の重要度をもって並列的に扱われていたFIN番号、パスポート番号、出生証明書番号等の個人番号については、特に明示的に言及されていません。しかし、これらの番号が漏えいした場合のリスクは、NRIC番号が漏えいした場合のリスクと同程度となりうることから、事業者側の運用として、これらの番号についても同様に認証目的の利用を避けることも考えられます。

参考:
PDPCニュースリリース(NRIC認証廃止) https://www.pdpc.gov.sg/media-events/pdpc-to-step-up-enforcement-action-against-misuse-of-nric-numbers-and-issues-new-advisory-on-data-protection
PDPC・CSA共同アドバイザリー https://www.pdpc.gov.sg/media-events/joint-advisory-against-using-nric-numbers-for-authentication-by-the-personal-data-protection-commission-pdpc-and-cyber-security-agency-of-singapore-csa

4. Data Breach通知に関するページ

 PDPCは、更に、各事業者において万が一Data Breachが発生してしまった場合の対応について、改めて纏めたウェブページを更新しています(https://www.pdpc.gov.sg/organisations/e-services/report-your-organisations-data-breach)。このページでは、事業者が何らかのインシデントを検知した場合に通知が必要(notifiable)かどうかのセルフアセスメント、及び通知が必要となった場合の通知先等についてステップごとに分かりやすく纏められており、内容自体は新たな事項を含むものではないと見受けられますが、セルフアセスメントツールの紹介も含め、万が一に備えた日常的な個人情報管理の一環としても、ご一読いただくことを推奨申し上げます。

 5. おわりに

今回の各アップデートは、いずれもシンガポールにおける個人情報保護実務の運用面に関わる内容であり、各事業者においては、改めて確認を行う契機になるものと思われます。認証方法については、NRIC番号を利用した認証が禁止されるまでの期間内に、新たな規制に対応した運用を構築する必要があります。
 特に、日本本社主導でシステム管理を行っている事業者等においては、必要な対応を確認の上、実施することが推奨されます。

以 上


  |