シンガポール個人情報保護法Q&A(第10回)
シンガポール個人情報保護法Q&A(第10回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年6月14日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第10回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q.保護義務の遵守のために推奨されるセキュリティアレンジメントとして、もう少し具体的な対応例があれば教えてください。
第9回で述べた通り、保護義務の遵守のための具体的な措置については、各事業者が個々の状況に応じて自ら検討・対応すべきことになりますが、ガイドラインにおいても、いくつかの具体的な措置の例が示されています。具体的なセキュリティアレンジメントとしては、管理上の措置(administrative measures)、物理的な措置(physical measures)、技術的な措置(technical measures)、又はこれらの組み合わせ等、次のようなものが挙げられています。
(1) 管理上の措置(administrative measures)の例
(a) 従業員との間で、雇用契約上の守秘義務を確実に規定し、その拘束、遵守を求めること。
(b) また、守秘義務に関し、違反時における懲戒等の結果を伴い得る強固な方針と手順を実施すること。
(c) 定期的な研修を実施し、個人情報の取り扱いに関するベストプラクティスを周知させるとともに、個人情報の安全性に対する脅威に対する認識を強化すること。
(d) 適切な量の個人情報のみを保有するようにし、不必要な個人情報を保有しないようにすること。
(2) 物理的な措置(physical measures)の例
(a) その情報が機密文書であることを明確かつ目立つように明記すること。
(b) 施錠されたキャビネット等で機密文書を保管すること。
(c) 従業員による機密文書へのアクセス権限を、必要な人員・場合のみに制限すること。
(d) のぞき見防止フィルタ等を使用し、無関係者によるPC上の個人情報の閲覧を最小限に抑えること。
(e) 不要になった機密文書は、シュレッダー等で適切に処分すること。
(f) 適切なレベルのセキュリティが確保された個人情報の伝達又は送信方法を実施すること(例:必要な場合には、通常の郵便物ではなく、書留郵便物を使用する)。
(g) 個人情報が必要な場合にのみアクセスできるように、保管されている個人情報のサマリーを提供すること。
(h) 個人情報の漏洩を防ぐために、個人情報の受取人が本人であることを確認すること。
(3) 技術的な措置(technical measures)の例
(a) コンピュータネットワークの安全性を確保すること。
(b) 適切なアクセスコントロール措置を採用すること(例:場合によっては、より強力な認証手段を検討する等)。
(c) 個人情報の暗号化による不正アクセスの防止
(d) コンピュータ画面が一定期間無操作である場合のセルフロック機能の設定
(e) 適切なセキュリティソフトをインストールし、コンピュータのセキュリティ設定を常にアップデートすること。
(f) 再利用、販売、廃棄されるIT機器内の個人情報を廃棄すること。
(g) 機密性の高い電子メールを送信及び/又は受信する際に、適切なレベルの電子メールセキュリティ設定を使用すること。
(h) ITサービスプロバイダが必要な水準のITセキュリティを提供できることを確認しておくこと。
以上のとおり、これらの措置の一つ一つを見ると、ごく一般的に考えられる対応であると思われるため、従前より意識的に対応されている事業者各位におかれては、新たに特段の対応を取る必要は必ずしもないと考えられます。一方で、実際にはこれらの措置がとられていないことで外部からの不正アクセスを許し、個人情報の漏洩事故が発生して処分に繋がるというケースも少なくないため、留意が必要とも言えます。
また、ご案内の通り、PDPAの違反事例(処分事例)はPDPCのウェブサイト[1]で実名公表されるため、実際の処罰による罰金等の負担のほか、違反企業として実名が掲載されてしまうこと自体によるレピュテーションリスクも無しとは言えませんが、これらの公表されている事例としては、保護義務違反による処分が最も多くの割合を占めています[2]。一方で、実際に漏洩事故が発生した場合でも、調査の結果、相応の適切な対策がとられていたことが認定された場合には、「違反無し」との判断となっているケースも複数みられています(その場合でも実名公表はなされているのが現状ではあります。)。
PDPCにおいても、漏洩事故を100%防ぐことはできない旨は認めているところであり、その意味でも「予防的措置」として、上記の各種セキュリティアレンジメントを可能な限り整備していただければと考えております。
Q. 保有制限義務(Retention Limitation Obligation)とは、どのような義務ですか。
保有制限義務(第25条)とは、事業者が、個人情報を収集した目的が既に達成され(更なる保有によっても達成されなくなり)、法律上又は事業上の目的のために保有する必要がなくなったと考えるのが妥当であると判断された時点で、個人情報を含む文書の保持を中止し、又は個人情報と特定の個人との関連付けを可能にする手段を削除すべき義務を言います。
この点、保持制限義務により、各事業者が必要もないのに個人情報を永続的に保有することを防ぐことができる一方で、各事業者にもそれぞれ異なる業務上のニーズがありうるため、保持制限義務においては、明確かつ画一的な個人情報の保有可能期間を定めていません。その代わり、事業者が個人情報を適法に保有しうる期間は、その個人情報の収集目的や、個人情報の保有が必要となりうる他の法的又は事業上の目的を考慮して、その保有が合理的であるか否かにより決せられるものとされています。
他方、PDPA以外に適用される可能性のある法律や業界標準の要件等がある場合には、別途それを遵守すべきことには注意が必要です。
Q. 保有制限期間の判断にあたっては、どのような点に注意する必要がありますか。
上述のとおり、PDPAにおいては、個人情報の保有可能期間については明確に定めていません。しかしながら、ガイドラインにおいては、実務上の注意点として次のような観点が紹介されています。
(1) 個人情報の収集目的に関して
(a) その個人情報の収集目的として有効とされた目的のうち少なくとも1つ以上が有効である限り、保有可能である。[3]
(b) 一方で、個人情報は、事業者が「他の目的で必要となるかもしれない」といった理由で「念のため」に保有し続けることはできない。
(2) 「法律上又は事業上の目的がある場合」に関して
(a) 事業者が関与する継続的な法的措置のために個人情報が必要な場合[4]
(b) その個人情報を必要とするその他の適用法令、規制、国際的・地域的・二国間の基準に基づく組織の義務を遵守するため
(c) 年次報告書の作成や業績予測等、事業者が業務を遂行するために必要な場合
[1] https://www.pdpc.gov.sg/all-commissions-decisions
[2] 過去の弊所集計に基づくと、概ね次の状況となっています。
※集計表は、PDFをご覧ください。
[3] 例えば、講師や生徒の個人情報を収集しているダンススクールにおいて、講師や生徒が退会したような場合でも、個人情報の収集・使用目的として「同窓生のネットワークを維持する目的」が含まれることにつき本人の同意を得ていた場合には、そのダンススクールは、正当な目的のために個人情報を保有しているものであり、保有制限義務に基づく保有停止の必要はないとされています。また、小売業者が商品の販売のために取得した個人情報について、会計及び請求管理の目的で、販売時点を超えて顧客から収集した個人情報を含む請求情報を保有することも認められます。
[4] 例えば、シンガポールにおいて一般的な時効期間を定めるLimitation Act (Cap. 163)によると、ある契約に基づく訴訟は、訴訟原因が発生した日から6年以内に提起されなければならないため、それが事業者が保有する個人情報にも関わる場合には、契約終了日から7年間は契約に関する記録を保持し、その期間内に調査や法的手続きが開始された場合には、さらに長い期間保有することが正当化されることも考えられます。
本記事やご相談に関するご照会は以下までお願い致します。