• Instgram
  • LinkeIn
  • Lexologoy

シンガポールにおけるNRIC 番号・FIN 等の保護に関する新ガイドラインの発表

2018年09月07日(金)

シンガポールにおけるNRIC 番号・FIN 等の保護に関する新ガイドラインの発表について報告いたします。

→新ガイドラインについて

 

シンガポールにおけるNRIC番号・FIN等の保護に関する新ガイドラインの発表

2018年9月6日
One Asia Lawyers シンガポール;JLC Advisors LLP

1、イントロダクション

 シンガポール個人情報保護法(Personal Data Protection Act 2012、以下「PDPA」)は、1 件でも個人情報を保有している事業者が対象となっており、したがって大規模な企業のみならず、小規模な企業および支店、駐在員事務所に対しても適用されます。同法に違反すると、企業には最大100万SGドリの罰金、企業の責任者に対しては3年以内の禁固刑という厳しい罰則が課せられる可能性があることになります。また、監査機関である、個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」)による令状なしの立ち入り調査も認められており、世界的にみても厳しいものとなっています。

 このPDPAに関し、PDPCから、2018年8月、シンガポール国民の登録識別カード番号(いわゆるNRIC番号)に関する新たなガイドライン(以下「新ガイドライン」といいます。)が発表されました。この取り扱いは、外国人識別番号(Foreign Identification Numbers、FIN)、ワー クパーミット番号及び出生証明番号(Birth Certificate Numbers)についても同様に適用されます(以下、総称して「NRIC 番号等」といいます。)

 この新ガイドラインは、2019年9月1日から適用されます。

2、新ガイドラインの概要

 この新ガイドラインの内容は、主に次の通りです。

 (1)事業者等(Organisations)によるNRIC番号等の取得・使用・開示の原則禁止

 事業者等は、法律上認められる場合又は例外が認められる場合を除き、原則としてNRIC番号等を取得・使用・開示(collection, use or disclosure、以下「取得等」といいます。)してはならないことが明確にされました。これは、NRIC番号等が個人情報の最たるものであり、その個人に関する非常に広範な情報が紐づけられていることから、保護の必要性が他の個人情報と比較してもさらに高いこと等を理由としています。

 また、新ガイドラインにおいては、具体例として、次のような場合に事業者等が法律(Act)又は規則(Regulation)上の根拠を有し、個人のNRIC番号等を取得等することが認められると紹介しています。

 ・医師による治療を受ける場合
 ・ホテルへのチェックイン
 ・携帯電話の契約
 ・マッサージを受ける場合
 ・私立教育機関への申し込み
 ・会社への就職

 このほか、PDPA上、個人情報の取得等の規制の例外にあたる緊急事態(個人が意識不明状態に陥って病院に搬送される場合等)についてもNRIC番号等の取得等が認められるとされます。

 上記はいずれも常識的に考えて、NRIC番号等の取得等が問題ないケースであると言えると思われますが、これらについては法律上の根拠があることになるため、今度、NRIC番号等の取得等にあたってはこの「法律上の根拠の有無」という点に一層注意する必要があると言えます。

(2)事業者等によるNRIC番号等の保有の原則禁止

 NRIC番号等の保有(retention)についても、法律上許容される場合を除いて原則的に禁止されることが明確となりました。そして、事業者等がその顧客等を識別するためには、NRIC番号等に代わる情報によって管理することが求められています。また、NRIC番号等の数字下三桁+末尾のアルファベットの組み合わせ(例えば、「S12345467A」の番号における「567A」。以下「部分的NRIC番号」といいます。)のみであれば、それはNRIC番号等とはみなさない旨も明らかにされました。

 この点に関する具体例としては、次のようなものが挙げられています。

 ・ショッピングモールの甲斐美緒の客に対する無料駐車券の配布
 ・映画チケットのオンライン購入
 ・店舗のメンバーシップ加入、ラッキードローへの参加
 ・コンドミニアム等への外部訪問者の登録
 ・自転車のレンタル  等

 これらのケースにおいては、ビジネス上、各顧客について何らかの個人識別情報が必要といえますが、そのためにNRIC番号等を取得等してはならず、代わりに、NRIC番号等を確認のみ行い、取得する情報としては部分的NRIC番号や顧客の氏名、車両番号、電話番号、メールアドレス等の代替手段により識別を行うべきとされます。

(3)NRIC番号等の取得とはみなされない場合

 以上のほか、新ガイドラインにおいては、「NRIC番号等を管理又は保有する意図がなく、確認されたNRIC番号等が直ちに返却される場合」には、そもそもNRIC番号等を「取得」したとはみなされないという点についても説明されています。

 この具体例として、タバコの販売時における年齢確認を行う場合が挙げられています。

3、まとめ

 以上の通り、新ガイドラインの内容は新たなルールの策定というよりもむしろ、既存の枠組みを確認し、内容をより明確にするという点に重点が置かれているように見受けられます。

 しかしながら、PDPA上、保護される個人情報に含まれるものであっても、その保護の強度に差異が存在することが明らかになった点は新規性を有するととも考えられます。特に、従前は特段意識することなくNRIC番号等を取得してきた事業者等においては、今後、「法律上の根拠があるかどうか」「PDPA上、例外と認められるかどうか」について確認を行い、その取得や保有等にあたっては、より一層の慎重な配慮をする必要があると思われます。

以上