シンガポール個人情報保護法Q&A(第13回)
シンガポール個人情報保護法Q&A(第13回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2021年9月27日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第13回)
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 移転制限義務を遵守するために契約を締結する場合、「シンガポールPDPAと同等の保護水準」を設定したと言えるためには、具体的にどのような条項を盛り込む必要がありますか。
ガイドライン上、国外移転先に移転された個人情報に関して、少なくとも PDPAと同等の保護水準を遵守することに関する契約条項を定める際には、次の表[1]の該当する各点につき、最低限の保護を定めるべきであるとされています。
|
S/N |
保護領域 |
国外受領者の種類 |
|
|
データ仲介者[2] |
データ仲介者以外の事業者 |
||
|
1 |
国外受領者による個人情報の収集・使用・開示の目的 |
N/A |
○ |
|
2 |
正確性 |
N/A |
○ |
|
3 |
保護措置 |
○ |
○ |
|
4 |
保有制限 |
○ |
○ |
|
5 |
個人情報保護方針 |
N/A |
○ |
|
6 |
アクセス |
N/A |
○ |
|
7 |
訂正 |
N/A |
○ |
|
8 |
漏洩時における通知 |
○ 事業者に対して遅滞なく通知しなければならない。 |
○ セルフアセスメントを行い、必要に応じてPDPC及び/又は影響を受ける個人に通知しなければならない。 |
上記の通り、データ仲介者が書面による契約に基づき、(移転元)事業者に代わり、その目的のために、個人情報を処理することに関しては、一定の保護規定は適用されません。しかしながら、このようなデータ仲介者は、一般には、その個人情報の処理に関する契約において、必要な情報について適切な保護を図るべき義務を課されていることが往々にしてあります。また、PDPCは、移転制限義務を果たすために、基本的な責任、必要な個人情報保護措置、当事者の関連する義務等を定めた契約条項として、ASEANモデル契約条項(「MCC」)の使用を奨励しています。[3]
Q. 説明責任義務(Accountability Obligation)とは、どのような義務ですか。
個人情報保護の分野において、説明責任(Accountability)とは、事業者が収集し、処理のために入手し、又は管理する個人情報に対する責任を、どのように果たすかということを意味します。このような説明責任にかかる一般的な概念は、PDPA上、Part 3「個人情報の保護及び説明責任に関する一般ルール(General Rules with Respect to Protection of and Accountability for Personal Data)」に含まれており、第11条(2)の「事業者は、その所有又は管理下にある個人情報に対して責任を負う。」との規定に表れています[4]。
この説明責任義務は、従前は「公開義務(Openness Obligation)」と呼ばれていましたが、各事業者における個人情報の取扱い対応、及び上記のような説明責任の概念に関する個人情報保護の進展を反映し、変更されました。
PDPAにおける説明責任を果たすためには、事業者が PDPAに基づく各義務を確実に履行するための措置を講じることが必要となり、また、必要な場合にはそのような措置が可能であることを示すことが重要になります。この点、事業者においてPDPA遵守のための責任者(データ保護責任者、DPO)を1人以上任命すること(第11条第3項)、事業者がPDPA上の義務を果たすために必要な方針や実務慣行(data protection policies and practice)を策定・実施すること(第12条(a))、それらに関する情報を公開すること(第12条(d))等は、上記の措置の例としてPDPAにおいて具体的に規定されていると言えます。
Q. シンガポールにおける事業者データ保護責任者(DPO)を任命することは必須ですか。また、どのような人材をDPOとして任命すべきですか。
PDPA 第11条第3項においては、事業者が、PDPAを遵守するための責任者を1名以上指名することが求められており、この責任者を通常、データ保護責任者(Data Protection Officer、以下「DPO」)と呼びます[5]。つまり、全てのシンガポールにおける事業者が、PDPA上、DPOを指名(任命)する義務を負っていることになります。
但し、第11条第6項においては、事業者は、DPOの指名(任命)により、その事業者がPDPAに基づく義務を免除されるわけではないことも明確にしています。すなわち、DPOの指名によっても、PDPAを遵守する法的責任がDPOに移るわけではなく、事業者はなおPDPAを遵守する責任を負うということになります。
全体として、第11条のこれらの規定は、事業者が適切な個人を指名し、その個人が他の役員に一定の責任を委任することで、事業者がPDPAを遵守するように協力することを求めていると言えます。
また、第11条第3項に基づき事業者が指名するDPOは、その事業者の従業員である必要はないものの、(a) 十分な技能と知識を持ち、かつ、(b) DPOとしての職務を遂行する権限を十分に与えられていなければならないとされます。しかしながら、要件としては抽象的であり、実際には特に明確な必須の資格を求められているわけではないことから、各企業においては、人事・総務部門、法務部門等の一定の地位にある人材が指名されているケースが多いと思われます。外部専門家等の第三者に委託しているケースも少なくありません。
このほか、PDPCは、国際プライバシー専門家協会(International Association for Privacy Professionals、IAPP)と共同で個人情報保護に関する専門家としての認証[6]を発行しており、DPOとしてはそのような認証を受けていることが望ましいとされますが、実際にそのような人材を確保している事業者は多くないと思われます。
なお、PDPAは、データ保護責任者(DPO)がどこに拠点を置くべきかを規定しておらず、例えば事業者の日本本社の管理部門の人材をDPOに任命する等といったことも可能ではありますが、シンガポールの一般市民が連絡を取ろうとしたときに連絡が取れる必要があるため、事実上、可能な限りシンガポール所在の人材をDPOとすべきことになると思われます。
[1] PDPCによる「Advisory Guidelines on Key Concepts in the PDPA (1 February 2021)」に基づき筆者作成。
[2] ここでいう「データ仲介者」とは、書面による契約に基づき、移転元事業者に代わり、その目的のために、個人情報を処理するデータ仲介者を言います。
[3] この点に関するPDPCのスタンスに関する詳細については、次のページをご参照ください。
[4] この説明義務の概念に関する詳細は、次のページをご参照ください。
[5] 第11条第4項においては、更に、事業者が指定した個人(DPO)は、その指定により与えられた責任を他の個人に委任することができると規定されています。
[6] Practitioner Certificate for Personal Data Protection (Singapore)
以上
本記事やご相談に関するご照会は以下までお願い致します。
