シンガポール個人情報保護法Q&A(第16回)
シンガポール個人情報保護法Q&A(第16回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2022年2月2日
One Asia Lawyers シンガポール事務所
シンガポール個人情報保護法Q&A(第16回)
2022年春、弊所からは、本稿や中国の個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q. 違反事例通知義務(Data Breach Notification Obligation)が生じる場合の通知にあたっては、他にどのような点に留意すべきですか。
(1)通知の際のタイムフレーム
ガイドラインによると、万が一、個人情報に関する漏洩事故が発生し、通知が必要と判断された場合の通知に関するタイムフレームは次の通りです。
(a) PDPCに対しては、可能な限り速やかに、ただし、いかなる場合でも、通知が必要と判断された日の翌日から3日以内[1]
(b) 個人に対する通知も必要と判断された場合、可能な限り速やかかつPDPCへの通知と同時、又は通知後
上記の通り、PDPC及び/又は影響を受ける個人への通知のためのこれらの期限は、その漏洩事故が通知可能であると事業者が判断した時点から開始されます。この通知が不当に遅れた場合には、違反事例通知義務違反となり、また事業者は、通知が遅れた理由を証拠とともに明示することが求められます。通知が遅れた理由は、事業者の違反事例通知義務違反の重大性に関係し、その結果、事業者に課される罰則の内容や厳格性に関係する可能性があるため注意が必要です。
ただし、漏洩事故の発生後、事業者が適切なタイミングで是正措置を講じた結果、その事故が影響を受ける個人に重大な損害を与える可能性が低くなった場合等には、個人に対する通知義務は不要となり得ます。また、ガイドライン上、漏洩事故が発生した場合でも、個人情報保護の暗号化、パスワード保護等、技術的はセキュリティ対策を適切に行っていたことにより、一般的に無権限者がそれらの個人情報にアクセスできない状態になっていたような場合でも、個人に対する通知義務は不要となり得るとされています[2]。
一方で、上記のような場合でも、PDPCに対する通知義務は免れません。
(2)PDPCへの通知に含まれるべき内容
PDPC及び/又は影響を受ける個人に対して通知を行う場合、事業者は、知りうる限りできるだけ詳細な情報を提供すべきことが求められています。また、通知には、事業者の個人情報管理及び是正計画に関する情報も含める必要があります[3]。PDPCに対する具体的な通知先としては、PDPCウェブサイト(https://eservice.pdpc.gov.sg/case/db)であり、また重大なケースの緊急通知については、営業時間内であれば、PDPC窓口(+65 6377 3131)に直接に連絡することも可能です。
PDPCに対して通知すべき内容に関する具体的な事項は、次の通りです。
(a) 漏洩事故に関する事実状況
(i) 当該事故が発生したことを事業者が初めて認識した日及びその状況
(ii) 当該事故が発生した経緯
(iii) 当該事故により影響を受けた個人の数
(iv) 当該事故により影響を受けた個人情報の内容、又はその類型
(v) 当該事故害の結果、影響を受ける個人に対する潜在的な損害
(b) 当該事故への対応
(i) 事故の発生を認識した後に事業者がとった措置の時系列的説明(通知が必要であると判断するに至ったセルフアセスメントの内容を含む)
(ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報(影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等)
(iii) 当該事故の発生及び影響を受ける個人に対してあり得る損害をどのように除去又は軽減するかに関する計画(一般用語による表現で足りる)
(c) 事業者の連絡先情報
(i) 事業者の少なくとも1名の正式な代表者の連絡先(代表者がDPOである必要はない)
以上のほか、事業者が影響を受ける個人に通知する必要がないと判断した場合には、PDPCへの通知にあたり、その理由も明示する必要があります。
(3)影響を受ける個人への通知に含まれるべき内容
事業者は、影響を受ける個人への通知にあたっては、以下の情報を含めるべきとされています。
(a) 漏洩事故に関する事実状況
(i) 当該事故が発生したことを事業者が最初に認識した状況
(ii) 当該事故の影響を受けた、又は影響を受ける個人に関する個人情報の内容、又はその類型
(b) 当該事故への対応
(i) 当該事故により影響を受ける個人が被る可能性のある損害
(ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報(影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等)
(iii) 事故により生じる潜在的損害を除去又は軽減するため、当該影響を受ける個人が取り得る措置
(c) 事業者の連絡先情報
(i) 事業者の少なくとも1名の正式な代表者の連絡先(代表者がDPOである必要はなく、PDPCへの通知の際に記載した代表者と同じでなくても良い)
影響を受ける個人への通知は、明確かつ容易に理解できるものでなければなりません。また、これには、漏洩事故により生じ得る潜在的損害から自身を保護するため、影響を受ける個人が取るべき手段についてのガイダンスも含まれていなければなりません。個人が幼少な場合等においては、事業者は、漏洩事故の対象となった個人の両親又は保護者に通知する必要があります。
また、漏洩された個人情報がセンシティブな内容を含み、個人の特定がなされることが不都合と考えられる場合、事業者はまずPDPCに通知し、影響を受ける個人への通知に関する指導を仰ぐべきであるとされます。
もっとも、事業者は、影響を受ける個人に送られるべき通知内容をPDPCに提供する必要はないとされています。
[1] 例えば、1月1日に通知が必要と判断された場合には、1月4日までにPDPCに通知しなければなりません。
[2] このようなセキュリティ対策が十分か否かの判断にあたっては、事業者の属する業界の一般的な慣行に照らして商業的に妥当と言えるか否か、セキュリティ対策の選択肢の利用可能性及び費用水準等も考慮することができるとされています。
[3] 詳細については、Personal Data Protection (Notification of Data Breaches) Regulations 2021(https://sso.agc.gov.sg/SL-Supp/S64-2021/Published/20210129?DocDate=20210129)をご参照ください。
以上
本記事やご相談に関するご照会は以下までお願い致します。