シンガポール個人情報保護法Q&A(第12回)
シンガポール個人情報保護法Q&A(第12回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年9月3日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第12回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 移転制限義務(Transfer Limitation Obligation)とは、どのような義務ですか。
移転制限義務(第26条)とは、事業者がシンガポール国外に個人情報を移転するにあたっては、シンガポールPDPAに基づく保護と同等水準の保護措置を提供するための所定の要件に従う必要があり、その要件に従っていない場合にはシンガポール国外へ個人情報を移転してはならないとする義務を言います。
この点、事業者が個人情報をシンガポール国外へ移転するために求められる条件については、PDPAの下位法令であるPersonal Data Protection Regulations 2021(以下「PDPR」と言います。)において具体的に定められていますが(PDPR Part 3 TRANSFER OF PERSONAL DATA OUTSIDE SINGAPORE[1])、端的に言えば、「事業者が、移転された個人情報の(シンガポール国外の)受領者(以下「国外受領者」と言います。)に対し、その個人情報をシンガポールPDPAの下におけるのと同等の保護水準を提供する法的強制力を有する義務に拘束させるための適切な措置を講じた場合」には、個人情報を海外移転できるということになっています[2]。
国外受領者に対して法的強制力を有する義務を課せられる根拠としては、次があり得ます。
(a) 何らかの法律
(b) シンガポールPDPAと同等の保護基準を設定し、契約に基づき個人情報が移転される国及び地域が具体的に特定される契約
(c) 対象となる全ての国外受領者に対し、PDPA と同等の保護水準を提供することを要求する拘束的企業準則(binding corporate rules、以下「BCR」)[3]であって、(i) それが適用される対象者(国外受領者)、(ii) そのBCRに基づき個人情報が移転される可能性のある国及び地域、及び(iii) そのBCRに基づき設定される権利及び義務が具体的に規定されているもの。
(d) その他の法的拘束力を有する文書
よって、基本的に、個人情報の国外移転先がグループ会社間であるような場合には、上記BCRの基準を利用することができることになると考えられます。
以上のほか、国外受領者が個人情報移転先の国又は地域の法律で認められている「特定の認証」(“specified certification”)を保有している場合にも、その国外受領者は法的強制力を有する義務に拘束されているとみなされます。PDPR上、この「特定の認証」とは、APEC Cross-Border Privacy Rules(CBPR)、APEC Privacy Recognition for Processors(PRP)の両制度に基づく認証を指します[4][5]。国外受領者は、以下の場合には、譲渡制限義務の要件を満たすものとして取り扱われます。
(a) PDPA上の「事業者」として個人情報を受領しており、有効なCBPR認証を取得している場合
(b) データ仲介者(data intermediary)として個人情報を受領しており、有効なPRP又はCBPR認証のいずれか又は両方を保有している場合
更に、PDPRにおいては、次のような場合にも、それ以上の対応を要することなく、移転元事業者は、譲渡制限義務を満たしていると判断されます。しかしながら、ガイドラインにおいては、これらの要素に依拠することは謙抑的であるべきであり、事業者はできる限り、上述の「法的強制力を有する義務」又は「特定の認証」によるべきであるとされている点には注意が必要です。
(a) 移転対象となる個人情報にかかる本人が、移転後にその個人情報がどのように保護されるのかについて通知された後、その移転に同意している場合
(b) その移転(第三者への移転を含む)が事業者と本人との間の契約の締結又は履行のために合理的に必要な場合において、本人が、その事業者による移転に対してみなし同意を与えたと言えるとき
(c) 個人の重大な利益又は国益のための使用または開示のために移転が必要であり、かつ、移転元事業者が、その個人情報が国外受領者による目的外の使用・開示を防ぐための合理的な措置を講じている場合
(d) 個人情報が輸送中の情報(data in transit)[6]である場合
(e) その個人情報がシンガポールにおいて公知(publicly available)である場合
なお、上記のうち(a)本人の同意に依拠するためには、事業者は、国外移転される個人情報が、シンガポールPDPAに基づく場合と同等の水準で保護されることを示す合理的な概要を書面で提示し、その個人に通知すること等が求められるとされ、同意取得のプロセスも問題とされ得ることにつき、注意が必要と言えます。
[1] https://sso.agc.gov.sg/SL/PDPA2012-S63-2021?DocDate=20210129#P13-
[2] “an organisation may transfer personal data overseas if it has taken appropriate steps to ensure that the overseas recipient is bound by legally enforceable obligations to provide the transferred personal data a standard of protection that is comparable to that under the PDPA”
[3] なお、このような拘束的企業準則(BCR)については、PDPR上、国外受領者が個人情報の移転元事業者と「関連性を有」し、かつ、他に法的強制力のある義務に服していない場合に採用することができます。また、PDPR上、次の場合には、国外受領者が個人情報の移転元事業者と「関連性を有」するとされています。
(a) 国外受領者が、直接又は間接に個人情報の移転元事業者を支配している場合
(b) 国外受領者が、直接又は間接的に個人情報の移転元事業者に支配されている場合
(c) 国外受領者と移転元事業者が、直接又は間接に同一人物の支配下にある場合
[4] 詳細は、関連ウェブサイトをご参照ください(https://www.pdpc.gov.sg/news-and-events/announcements/2019/07/apec-cbprprp-certification-now-available)。
[5] APECウェブサイトによると、CBPR制度は、現在、オーストラリア、カナダ、日本、韓国、メキシコ、シンガポール、台湾及び米国の8か国・地域が参加しています。一方PRP制度は、シンガポール及び米国しか参加していません(https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Digital-Economy-Steering-Group)。
また、シンガポールにおいては、CBPR認証を取得している事業者は4社、PRP認証を取得している事業者は2社に留まっており(いずれも2021年5月現在)、これらの制度は、現時点ではまだ十分に浸透しているとは言えないと思われます(日本においても認知度は低いと思われます。)。
[6] この点、「輸送中の情報」(data in transit)とは、シンガポール外の国又は地域に転送される個人情報であって、その転送それ自体の目的を除いては、個人情報がシンガポールに存在している間、当該個人情報を転送している事業者以外のいかなる事業者も、個人情報へのアクセス、使用又は開示をしないものを指します。例えば、海外から転送された個人情報が、他の海外の目的地に移転する過程でシンガポール国内のサーバーを中継する場合が挙げられます。
以上
本記事やご相談に関するご照会は以下までお願い致します。