トップページ
2021年01月25日(月)11:43 PM

シンガポール個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第5回)

 

2021 年1月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第5回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.事業者が目的を記載する際には、どの程度詳細な情報まで含める必要がありますか。

 

事業者は、個人情報の収集、利用又は開示を行う理由や方法を、その情報を提供する本人が判断できるように、目的について適切なレベルで詳細に記載しなければなりません。ただし、事業者は、個人情報の収集、利用又は開示に関連して行う全ての活動を明示する必要はないとされます。

 この点に関し、記載が「適切なレベル」かどうかを判断するにあたっての考慮要素として、PDPCは次のような事項を挙げています。

(a) 目的が明確かつ簡潔に記載されているか。

(b) 製品やサービスを提供するために主に必要な目的かどうか(付随的な目的とは異なる)。

(c) 個人情報を第三者に開示する場合には、開示先の第三者をどのように本人に周知させるべきか。

(d) 目的をより具体的に記載することにより、本人によるその目的の理解を促進するか、妨げになるか。

(e) 事業者のビジネス上、どの程度の具体性が適切か。

PDPCが挙げている例としては、電機店がウェブサイトを通じて商品をオンラインで販売している場合に、そのウェブサイトを通じて商品を購入した個人顧客に対して、顧客から提供された連絡先を、電機店のグループ内他社や委託先であるマーケティング会社に開示し、同社グループ内の様々な企業の商品を随時マーケティングする目的で開示することを含めて目的を通知している場合には、この電機店は十分に具体的な目的を述べていると考えられる反面、その電機店が、個人情報の利用・開示目的として「有効な事業目的のため」に使用され、開示される可能性があることのみを通知しているとすれば、この電機店は十分に具体的な目的を述べていないとされます。

 

Q.事業者が目的を個人に通知するにあたっては、どのような方法によることが推奨されますか。

 

個人情報が収集、使用又は開示される目的を本人に知らせることは、データ保護規定の目的のために同意を得るための重要な側面です。したがって、組織は、通知が明確でわかりやすく、適切な情報を提供し、容易にアクセスできるように努めなければなりません。

この点に関し、PDPCによれば、個人に対する目的の通知方法を検討する際には、事業者は以下のような点を考慮すべきであるとされます。

(a) 目的を確認するために、個人がどの記載に注意を向ければよいのかについて、見出しを明確に示し、個人を混乱させたり誤解させたりするような法律的又は難解な用語や表現を避け、理解しやすく、対象者に適した通知を作成すること。

(b) 最も重要な情報(目的の要約等)又は基本的な情報(事業者のデータ保護責任者(DPO)の連絡先等)をできるだけ目立つように、契約書の最初のページ等に掲載し、より詳細な情報を別の場所(事業者のウェブサイト等)に提供することで、階層ごとに記載すること。

(c) 目的に特別な事項が含まれていないかどうか、通常の取引当事者から見て予想外のものが含まれていないかどうかを考慮し、そのような目的が含まれている場合には、それらが適切な方法で強調されるべきかどうかを検討すること。

(d) 通知を提供するための最も適切なチャネルを選択すること(例えば、フォーマット書面、ウェブサイト上における書面、対面での口頭による通知等)。

(e) 通知の方針と実践の有効性と妥当性を定期的に見直すこと。

 

Q.個人情報の収集目的とは異なる目的での利用や開示は認められますか。

 

PDPCにおいても、事業者が本人に通知していない、又は本人の同意を得ていない目的のために個人情報を使用又は開示したい場合がありうることは否定していません。

この点、事業者がまだ本人に通知していない、若しくは本人の同意を得ていない目的で個人情報を利用又は開示しようとする場合には、事業者は、目的通知義務及び同意取得義務に基づき、その時点で目的を本人に通知し、同意を得る必要があります。

一方、新たな同意を得ることなく、特定の目的のために個人情報を利用又は開示することができるかどうかを判断する際には、以下の点を判断しなければならないとされています。

(a) その目的が、本人に通知した目的の範囲内であるかどうか、例えば、本人との既存の取引関係を事業者が処理するために必要な範囲内であるかどうか。

(b) 当該目的のための利用又は開示について、本人の同意があったとみなすことができるかどうか。

(c) 目的が PDPA第3条及び第4条の同意の例外に該当するかどうか。

目的が上記(a)から(c)のいずれにも該当しない場合は、新たな目的での利用・開示について、本人の再同意を得る必要があるということになります。

例えば、マッサージ店の顧客となっている個人に対し、そのメンバーシップの有効期間中に、グリーティングカードや店舗の年間ニュースレターを郵送する目的でその顧客の個人情報を使用することは、上記(a)項に該当して認められうると説明されています。これは、事業者が個人との既存の取引関係を維持するためのサービスの一環として、事前に同意を得ているはずであるためです。

一方で、そのマッサージ店の関連会社であるヘアサロンのプロモーションに関する情報を送信する場合には、上記顧客が契約していない新しいサービスを宣伝する情報を送信することになるため、上記(a)ないし(c)のいずれにも該当せず、事前に顧客の同意を得る必要がある可能性が高いと考えられます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年01月05日(火)9:59 AM

シンガポール個人情報保護法Q&A(第4回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第4回)

 

2021 年1月5日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第4回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q. 目的通知義務(Notification Obligation)とは、どのような義務ですか。

目的通知義務(PDPA第20条)とは、事業者が、個人情報の収集、利用又は開示をしようとするときは、その収集、利用又は開示の時、若しくはその前に、その目的を本人に通知すべき義務を言います。事業者による個人情報の収集、利用、開示は、本人に通知したその目的の範囲内に限定されることになります。また、収集時に通知されていなかった目的による個人情報の利用又は開示についても、その利用又は開示前に目的を通知しなければなりません。よって、本人に通知されていない目的による個人情報の使用(目的外使用)は、違法ということになります。

もっとも、PDPA第15条に基づき「みなし同意」が成立している場合、又は同意取得義務の例外(附則2(Second Schedule)ないし附則4(Fourth Schedule))に該当する場合には、通知は不要となります。

この目的通知義務に関し、PDPCガイドラインにおいては、次の3つの点について言及しています。

(a) 事業者は、どの時点で目的を個人に通知しなければならないか。

(b) 事業者が目的を本人に通知すべき方法と形式

(c) 事業者が目的を記載する際に含まれるべき情報と詳細

 この点に関し、第3回記事にて言及した通り、2020年11月、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになりました。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。

 そして、みなし同意(第2回記事もご参照下さい。)については、上記の改正法案により、新たに次の2つの類型が導入されました。

(i) 契約上の必要性によるみなし同意(第15条第3項、第4項):個人と、その個人情報の提供先である事業者との間の契約の締結や履行のために、その事業者から別の事業者への個人情報の開示について、同意があるとみなされる場合[1]

(ii) 通知によるみなし同意(第15A条):合理的な状況において、かつ、一定のオプトアウト期間が定められている等の条件を具備する場合には、個人に対する通知のみをもってみなし同意の存在が認められる場合[2]

Q.事業者は、いつの時点で目的を個人に通知しなければならないでしょうか。

PDPA第20条第1項及び第4項によれば、事業者は、個人情報の収集、利用又は開示の目的を、その収集、利用又は開示の「その時点」、又は「事前」に本人に通知する必要があります。一般には、事業者が個人と何らかの契約を結ぶ際には、その時点で契約者の個人情報を取得することになると思われますが、例えば保険会社が個人顧客と保険契約を締結する場合には、ブローカー等がその顧客の個人情報を取得する必要があるケースも考えられるため、その場合は、保険契約締結の前の通知が必要となると言えます。

このほか、事業者が個人情報を定期的に収集、使用又は開示をする必要がある場合には、その事業者は、最初の収集行為の前に本人にその目的を通知しなければならないとされています。

Q.事業者は、どのような方法・形式により目的を本人に通知すべきでしょうか。

PDPAには、事業者が個人情報の収集、利用、開示の目的を本人に通知する際の具体的な方法や形式は、特段規定されていません。そのため、各事業者は、個人がその事業者による個人情報の収集、利用又は開示の目的を理解するために必要な情報を提供するための最適な方法を自ら決定しなければならないことになります。

そして、この目的を個人に通知する適切な方法や形式を決定する際には、(a) その個人情報収集時の状況、(b) 収集する個人情報の分量、(c) 個人情報収集の頻度、(d) 通知が提供されるチャネル(対面又は電話での会話等)といった要素を考慮すべきとされます。

また、この点については、当然ではありますが、無用なトラブルの発生を避けるため、可能な限り、個人情報収集の目的を書面又は電子的に記録し、事後的に再現できる形で残しておくことが推奨されます。

このほか、一般には、目的の通知に関しては、個人情報保護ポリシー(プライバシーポリシー等)を通じて行われるケースも少なくないと思われます。この点に関し、PDPA上、事業者は、PDPAが求める義務を果たすために必要な方針や手順を制定・適用し、そのような方針や手順に関する情報を公開することが求められています(説明義務)。そのため、各事業者においては、プライバシーポリシーを作成し、そのウェブサイトや文書の形式で個人に対して公開する等して、この説明義務を果たすことが必要となります。

また、プライバシーポリシーにより個人への通知を行うにあたっては、PDPCから、次のような点に関する注意喚起がなされているため、この点についても念頭に置いていただければと存じます。

(a) そのポリシーが物理的な文書として個人に提供されていない場合、事業者は、その個人に関する情報を収集する前に、ポリシーを確認する機会を与えなければならない。例えば、個人がフィットネスジムでサービスに申し込む場合、当該ジムは、その個人に対して、収集される個人情報について当該ポリシーのうち最も関連性の高い部分を抜粋した文書を提供し、更にポリシー全体が確認できるURLを案内する等しなければならない。

(b) プライバシーポリシー上の目的について、あまりに一般的な用語でしか記述されていない場合には、 例えば特定のサービスに申し込む等といった状況において、特定の個人に対して、その目的をより具体的に説明して、個人情報がどのように収集、使用又は開示されるのかを明確にする必要が生じるケースがある。

 

                                                                                                                                                    以 上

[1] 例としては、GIRO等の定期的な引き落としによる支払いがなされる取引について、顧客である個人の支払い処理に必要な情報について、直接の取引先のみならず、引き落としに関わる銀行等に対するみなし同意が成立しうることが挙げられています。

[2] 例としては、不特定多数の会員が集まる展示会会場にセンサーを設置していることを通知し、各来場者が訪れた展示物や滞在時間を分析するため、来場者の顔画像や動きのデータを収集しようとする場合等が挙げられています。

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年12月07日(月)9:58 AM

シンガポール個人情報保護法Q&A(第3回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第3回)

 

2020 年12月6日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第3回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q. 個人の同意なく個人情報を収集・使用・開示することが可能な場合(同意取得義務の例外)には、どのようなものがありますか。

 

先般述べたような同意取得義務の存在に関わらず、PDPAでは、一定の場合に、個人による同意なく個人情報を収集、使用又は開示することが認められています(附則2(Second Schedule)~附則4(Fourth Schedule))。これらの各附則において共通する項目としては、例えば次のようなものがあります(当然ながら、各附則ごとに異なる項目もありますので、詳細は、実際の各附則をご確認ください。)[1]

(a) その個人情報の収集、使用又は開示が、本人又はその他の個人の生命、健康又は安全に対する差し迫った危険に対応するために必要な場合

(b) その個人情報の収集、使用又は開示が、一般的に利用可能(publicly available)な場合

(c) その個人情報の収集、使用又は開示が、国家の利益のために必要な場合

これらのうち、「一般的に利用可能(publicly available)」とは、第2条第1項で定義されており、公衆において一般的に入手可能な個人情報(個人に関するもの)を指し、その個人が登場する、一般に公開されている場所やイベント[2]において合理的に予想される手段によって取得されうる個人情報を含みます。つまり、個人情報が、一般市民の誰もが、ほとんど又は全く制限を受けずにそのデータを取得又はアクセスできる場合には、一般に利用可能であると言えます。多少の制限があっても、その個人情報が「一般的に利用可能」であることを妨げない場合もありえます。

例えば、個人情報がある特定のオンライングループに開示されているが、そのグループが比較的オープンであり、公衆が最小限の労力で参加できる場合、その開示されている個人情報は「一般的に利用可能」であると言える可能性が高いと考えられます。

逆に、個人情報がその個人の家族や親しい友人のみのグループに開示されている場合や、意図せずにそのグループ外の一人に開示されたような場合には、その開示された個人情報は「一般的に利用可能」とは言えない可能性が高いと言えます。

 よって、例えばフェイスブック等のSNS上のプロフィールであっても、アクセス制限がかかっていない(インターネット上で検索可能)な場合には「一般的に利用可能」であり、開示先が友人のみ等に限定されているような場合にはそうではない、ということになると思われます。

なお、この点で注意が必要なのは、SNS上のプロフィール等については、ユーザーの設定により公開範囲を容易に変更し得ることから、ある時点において「一般的に利用可能」であっても、その後、随時に「一般的に利用可能」ではなくなる可能性があるという点です。この点について、PDPCにおいては、そのような「一般的に利用可能」な個人情報を取得した事業者に対し、その都度、その個人情報の公開範囲を確認したりする義務を課すことは過大な負担となりうるため、取得時において「一般的に利用可能」であった個人情報は、事後的にSNS上では非公開となったとしても、事業者が対応する例外規定の下でその個人の同意なしに個人情報を使用又は開示することができるという立場をとることを明言しています。

 以上のほか、ショッピングモールにセキュリティ目的で設置されたCCTVに撮影された買い物客の画像等も、通常、「一般的に利用可能」な個人情報に該当すると考えられます。

なお、これらの同意取得義務に対する例外は、他の法律の下で生じる権利義務等に影響を与えるものではないため、PDPAに基づき例外が適用された場合でも、事業者は、機密情報の保護やその他の契約上の義務等、その他の法的義務を遵守することが求められる点には注意が必要です。

 

Q. 目的制限義務(Purpose Limitation Obligation)とは、どのような義務ですか。

 

目的制限義務(PDPA第18条)とは、事業者が、合理的な人物がその状況下で適切であると考え、かつ、状況により関係する個人に対して通知がなされている目的(合理的な目的)のためにのみ、本人に関する個人情報を収集、使用、開示すべきであるとする義務を言います。すなわち、事業者が個人情報を収集、利用及び開示できる目的及び範囲が、本条により制限されることになります。

通知された目的が合理的であるかどうかは、合理的な人物がその状況において適切であると考えるかどうかによることになり、その判断にあたっては、関係する諸般の状況を考慮する必要があります。そこで、例えば、違法な目的や、関係者個人にとって有害な目的は、通常、合理的な人が適切であると考える可能性が低いため、目的制限義務に沿わない(よって、その目的で個人情報は使用できない)ことになると考えられます。

 この点に関し、PDPCによれば、例えば、ある洋品店がメンバーシップ制度を導入し、その会員登録フォームに記入された個人情報の利用目的として、「新製品やプロモーションの最新情報の提供、その他同社が適切と考えるその他の目的」と記載した場合、「新製品やプロモーションの最新情報の提供」については合理的でありうるものの、「その洋品店が「適切と考えるその他の目的」については、その範囲が無限定となるため、合理的であるとは考えられないとされている点は注意が必要です。

 なお、この目的制限義務は、第20条に定める目的通知義務と併せて、個人情報が収集、使用又は開示される目的を、この義務に基づき関係者に通知されたものに限定することにもなります。

 

[1] なお、近日、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになります。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。同法案の基本的な枠組みとしては、現行法と大きく異なるものではありませんが、例外に対する考え方については、現在よりも事業者の実際のビジネス上の都合や、その合法的な利益(経済的な利益を含む)に配慮したものとなっていると言えます。同法案の原文についてはhttps://www.mci.gov.sg/-/media/mcicorp/doc/public-consultations/public-consultation-on-pdp-amendment-bill—14may2020/pdp-amendment-bill.ashx、法案可決についてのプレスリリースはhttps://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2020/11/amendments-to-the-personal-data-protection-act-and-spam-control-act-passed?page=4をご参照下さい。

[2] ある場所やイベントが「一般に公開されている」と言えるか否かについても、ケースバイケースで判断されることになると考えられますが、PDPCによれば、多少の制限が存在したとしても、なお、その場所が「一般に公開されている」と言えるケースがあることが説明されています。例えば、一般市民が有料でなければ入場できないようなイベントであっても、入場料が必要というだけでは、なお「一般に公開されている」とみなされる場合があります。また、小売業者のロイヤリティプログラムの会員向けの特別イベントも、そのイベントが多数の会員に開かれていたかどうか等の関連要因によっては、一般に公開されているとみなされる場合があるとされています。

 逆に、通常は「一般に公開されている」と言えるレストラン等であっても、それが貸し切られている場合には「一般に公開されている」とは言えず、仮に外から覗き込むことができるような状況でも、公開性はないと言えます。

 

以 上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年11月09日(月)8:37 PM

シンガポール個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第2回)

 

2020 年11月9日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第2回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.みなし同意は、どのような場合に認められますか。

 PDPA第15条は、一定の状況における「みなし同意」、すなわち、個人が実際には同意を与えていないにも関わらず、事業者が同意を取得したとみなすことができる場合を認めています。

 この「みなし同意」の成立には、①個人が自主的にその個人情報を提供したこと、及び②その個人情報の提供が合理的であると考えられること、という2つの要件が必要となっています(同条第1項)。

 ガイドラインによると、例えば、マッサージやスパのサービスを利用した顧客が、その代金支払いのためにマッサージ店にクレジットカードを提示したようなケースで「みなし同意」が成立しうると説明されています。

 一方で、例えば、電話でタクシーを予約する際にタクシー会社に伝えた氏名や電話番号を、その会社のリムジンサービスのためのマーケティングに使用することは、自主的な個人情報の提供が合理的にあったとは言えず、「みなし同意」が成立しないと説明されています。

 更に、第15条第2項に基づき、個人がある目的のために事業者Aから事業者Bへの個人情報の開示に同意し、又は同意したとみなされる場合、その個人は、同じ目的のために事業者Bに対する個人情報の収集にも同意したものとみなされます。

上記のマッサージ店の例で言うと、この場合、「みなし同意」は、そのマッサージ店のみならず、その代金決済のために関与するその他の事業者(クレジットカードを提供している銀行、決済業者、決済システムのプロバイダ等)に対しても適用されることになります。

すなわち、上記の通り、顧客がマッサージサービスの利用代金支払のためにクレジットカードを提示した場合には、その顧客は、クレジットカードの支払い処理のために、自己のクレジットカード情報をマッサージ店が収集、使用、又は開示することに同意したとみなされますが、更に支払い処理の過程では、そのクレジットカード情報が支払いを取り扱う銀行に当然に送信されることになります。そして、顧客は、このこと(取扱銀行への情報送信)を認識していると考えられるため、顧客は、マッサージ店が顧客のクレジットカード情報を銀行に開示することに同意したものとみなされ、更にマッサージ店への支払い処理の目的で銀行が自己のクレジットカード情報を収集することにも同意したものとみなされることになります。

なお、以上は比較的わかりやすい例ですが、必ずしもこのように明確に「みなし同意」が成立するケースばかりではないと思われます。そのような場合には、無用なトラブルを避けるため、当然ながら出来る限り直接明確な(「みなし同意」ではない)同意を取得されることが推奨されます(ガイドラインにおいても、同様の指摘がなされています。)。

 

Q. 個人情報の主体(本人)以外の第三者による同意が認められる場合には、どのようなものがありますか。

 個人情報について、本人以外の第三者による同意が認められる場合には、第14条第4項に基づく代理人による同意が認められる場合、及び、上記の第15条第2項に基づく「みなし同意」が成立する場合が考えられます。

このように第三者から個人情報を取得する事業者は、同意主体となる第三者が、本当に本人に代わって個人情報の収集、使用、及び開示について有効な同意を与えることができる状況であるのか否か(第14条第4項の場合)、第三者が個人情報の開示について同意を得ているか否か(第15条第2項の場合)を、適切に確認しなければなりません。このようなプロセスが十分でなく、実際に本人から有効な同意を得られていなかったような場合には、事業者による何らかのPDPA違反行為があった場合に、PDPCにより処分(加重)要因の一つとして考慮される可能性があると考えられます。

 そして、上記のような確認のプロセスを経たと言えるためには、本人以外の第三者による同意に基づき個人情報を取得する事業者は、その状況に応じて、情報源となる第三者との間で次のような対応をとることが推奨されています。

(a) 事業者と第三者との間の契約において、第三者が特定の目的のために本人の個人情報を事業者に開示することが、本人から第三者に付与された同意の範囲内であることについての承諾を受けること。

(b) 第三者からの書面による確認を得ること。

(c) 第三者から口頭での確認を取得し、適切な形式で文書化すること。

(d) 個人情報を開示するために本人が第三者に同意したことを示す書類の写しを入手すること。

 

Q. 個人による同意の撤回に関するルールは、どのようになっていますか。

PDPA第16条においては、個人がいったん、事業者に与えた同意について、撤回が可能である旨が規定されています。

この同意の撤回に関して、第16条においては、個人又は事業者が遵守すべきものとして、次のようなルールを設けています。

(a) 個人は、事業者に対して合理的な通知をしなければならない(第16条第1項)。

(b) 事業者がその通知を受けた場合には、その個人に同意の撤回の結果を通知しなければならない(第16条第2項)。一般には、この結果の通知は、個人による撤回の通知を受領してから10営業日以内であることが望ましい。

(c) 事業者は、本人が同意を撤回することを禁止してはならない。ただし、同意の撤回により生じうる一定の法的効果の発生は否定されない (第16条第3項) [1]

(d) 同意が撤回された場合、事業者は、原則として、個人情報の収集、使用、又は開示を停止し、かつ、そのデータ仲介業者及び代理人にそれらを停止させなければならない(第16条第4項)。

この点について、PDPCからは、上記のようなルールに則った同意の撤回のため、サンプルフォーマットが公表されていますので、併せてご参照下さい[2]

 なお、同意が撤回された場合でも、事業者は、直ちにその撤回された個人情報を削除する義務までは負わず、必要な限度で保持しておくことが可能とされています。この点についての詳細は、保有制限義務の項をご参照ください。

 

以 上

[1] 例えば、サービス提供目的での氏名、住所等の開示についての同意が撤回された場合、当然ながら、事業者にとってはサービスが提供できなくなるため、そのサービス提供契約は解除されうることになります。

[2] Sample Clauses for Obtaining and Withdrawing Consent(https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/sampleclausesforobtainingandwithdrawingconsent8may2015.pdf

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年10月27日(火)10:04 AM

シンガポール個人情報保護法Q&A(第1回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第1回)

 

2020 年10月26日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第1回)

 

背景について

シンガポールにおいては、新型コロナウイルスの感染状況は相当程度、落ち着きを見せており、近時は新規の市中感染者数がゼロの日も散見されています。そして、このような状況の中、新型コロナウイルス拡大防止のための行動制限措置(サーキットブレイカー)も、フェーズ3を迎えようとしており、経済活動正常化への道筋も出来つつあります。

しかしながら、個々のビジネス活動においてはなお、少なくとも半数の従業員は在宅勤務を維持することが要請されており、オンラインによるコミュニケーションが日常化する等、経済活動におけるデジタル化は益々加速している状況です。そして、このような状況のもと、シンガポール個人情報保護委員会(以下「PDPC」)のマネジメントからは「現在のオンラインを基本とするデジタル経済が大量のデータを生成している中、事業者による情報管理に対する市民の信頼は特に重要になってきている」と述べられる等、各種情報管理の重要性及び配慮の必要性は今までになく高まっていると言えます。

そこで、弊所においては、PDPCの許諾を得て[1]、PDPCが発表している、シンガポール個人情報保護法(以下「PDPA」)に関する各種ガイドラインをベースとして、PDPAの主要な論点について、Q&A形式で、日本語にてご案内させていただくことと致しました。シンガポールに関わるビジネスを行う各位のご参考に、少しでも資するところがありましたら幸甚です。

 

Q. PDPAに基づき、事業者が遵守すべき義務にはどのようなものがありますか。

 

PDPA上、事業者は、自らが保有し、又は自己の管理下にある個人情報について、第III部から第VI部(第11条から第26条。以下、法令名を示さない引用条文は全てPDPAの条文を指します。)に規定される9つのデータ保護規定を遵守することが求められています。この9つの義務及びその概要は次の通りです。

1、同意取得義務(Consent Obligation)

2、利用目的制限義務(Purpose Limitation Obligation)

3、目的通知義務(Notification Obligation)

4、アクセス権限及び訂正義務(Access and Correction Obligations)

5、正確性義務(Accuracy Obligation)

6、保護義務(Protection Obligation)

7、保有制限義務(Retention Limitation Obligation)

8、移転制限義務(Transfer Limitation Obligation)

9、説明義務(Accountability Obligation)

※図は、PDF版をご覧ください。

すなわち、各事業者は、個人情報の収集、使用及び開示に関する活動を行う場合に、これらの9つの義務を順守しなければなりません。

なお、事業者が、その保有する個人情報の処理(processing[2])を第三者に委託して行う場合には、その第三者は「データ仲介業者」(data intermediary[3])と位置付けられますが、この場合でも、その処理を委託した側の事業者が、自ら処理した場合と同様に、PDPA上の義務を負うことになります(第4条第3項参照)。

以下において、PDPCのガイドライン[4](以下「ガイドライン」)をベースとして、これら9つの義務の概要を説明させていただきます。

 

Q. 同意取得義務(Consent Obligation)とは、どのような義務ですか。

 

同意取得義務(第13条~第17条)は、事業者が、ある目的のために個人情報を収集し、利用し、又は開示する前に、本人の同意を得るべき義務を言います。

第13条においては、本人が個人情報の収集、使用、又は開示についての同意を与え、又は同意を与えたとみなされる場合を除き、事業者が個人情報を収集、使用、開示することを禁止しています。ただし、これはPDPA又はその他の成文法に基づいて同意なく個人情報が収集、使用又は開示が可能な場合には適用されません。

第 14 条第1項では、個人が PDPA の下でどのように同意を与えたといえるかが規定されています。この点、個人情報の収集、利用、開示の目的を対象となる個人に通知したうえで、その個人がその目的に同意している場合でなければ、その個人は同意を与えていないことになります。すなわち、事業者がその個人情報の収集、利用、開示の目的を対象となる個人に通知しなかった場合には、如何に本人が同意したとしても、その同意は第14条第1項の同意とはならないことになるため、注意が必要です。この点については、第20条の「利用目的通知義務」と密接にかかわることになります。

PDPA上、(それが合理的と言えるものである限り)同意取得の方法に特段の制限はありませんが、同意を得たことを事後的に証明できるよう、同意がなされた目的・日時等とともに、書面その他記録できる方法での取得が望まれます。この点、電話による場合等、どうしてもその場で書面同意を取得することが困難な場合には、口頭による同意を取得し、それが行われた事実・日時等を書き留め、事後的にEメール等でもその旨を本人に伝えておくことが実務上、推奨されています。

 

Q. 個人から同意を取得するにあたり、どのような点に気を付ける必要がありますか。

 

 事業者が個人情報を収集するためにその個人から同意を取得するにあたっては、次のような点に留意する必要があると考えられます。

1、オプト・アウト方式による同意取得の可否

2、同意の有効性

3、その他の論点

 

1、オプト・アウト方式による同意取得の可否

 まず、同意取得にあたっては、事業者が、個人に対して一方的に通知を行い、一定期間内に反対の意思を表示しない限り同意したものとみなす、といったオプト・アウト方式により同意を取得したとする方法が考えられます。しかしながら、ガイドラインによれば、個人が当該期間内に反対の意思を表示しなかったことは、必ずしも同意の意思を表明したものと同視できるとは限らないため(例えば、そのような通知が何らかの理由でその個人に届いていないために反対の意思を表示する機会がなかったに過ぎないということも考えられます。)、このようなオプト・アウト方式ではPDPA上、有効な同意取得があったとはみなされないことが明確にされています。

 同意取得にあたっては、示された目的に対する個人による能動的なアクション(positive action)が必要であり、上記のようなオプト・アウト方式のみによる場合には、同意取得義務及び目的通知義務違反となるリスクがある点につき注意が必要です。

2、同意の「有効」性

 また、当然ながら、個人から取得する同意は、「有効」(valid)なものである必要があります。事業者は、虚偽の情報等に基づく同意を取得してはならないことは勿論のこと、サービスや商品の提供と引き換えに同意を取得するような方法もvalidではないとされています(第14条2項、3項)。

 例えば、マッサージやスパのサービスの入会にあたり、顧客から取得した個人情報を、マーケティング会社等の第三者への提供目的にも同意しなければ入会できない、との条件の下で同意を取得することはvalidとは言えず、個人は、そのような第三者への提供目的に対する同意なく入会できるようにしなければならないとされています。

 しかしながら、一方で事業者がマーケティング目的での同意を取得することが完全に認められない訳でもなく、ガイドラインによれば、ある目的のために個人情報を収集、使用、又は開示することを求める際に、併せてプロモーション商品の宣伝、ディスカウント、ラッキードロー等の通知を行うことについての同意を取得することも可能であるとされています。このあたりは、個々のケースにおける特定の事情をケースバイケースで検討し、合理的な範囲であるか否かを判断していく必要がある、ということになりそうです[5]

3、その他の論点

 同意取得義務に関するその他の論点としては、次のようなものが挙げられます。

 (1) みなし同意の可否

 (2) 第三者による同意が認められる場合

 (3) 同意の撤回

 (4) 同意取得が不要となる場合(同意取得義務の例外)

 これらについては、次回以降で言及させていただきます。

[1] PDPCウェブサイトのTerms and Conditions(https://www.pdpc.gov.sg/Terms-and-Conditions)に準拠しております。

[2] データの「処理」(processing)とは、PDPA上、対象となる個人情報に関する何らかの操作又は一連の操作を行うことをいい、次を含みます(第2条)。

(a) 記録(recording)

(b) 保持(holding)

(c) 編成、適用又は変更(organisation, adaptation or alteration)

(d) 抽出(retrieval)

(e) 組合せ(combination)

(f) 転送(transmission)

(g) 抹消(erasure or destruction)

[3] データ仲介業者(data intermediary)とは、「他の事業者に代わって個人情報を処理する事業者をいい、当該他の事業者の従業員を含まない。」と定義されており(第2条)、PDPCからは、これに関するガイドラインも近時、出されています。

[4] Advisory Guidelines on Key Concepts in the Personal Data Protection Act (Revised 2 June 2020)https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Key-Concepts/Advisory-Guidelines-on-Key-Concepts-in-the-PDPA-(2-June-2020).pdf?la=en

[5] 詳細は、当該論点に関するガイドライン(Advisory Guidelines on Requiring Consent for Marketing Purposes: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/advisoryguidelinesonrequiringconsentformarketing8may2015.pdf?la=en)をご参照下さい。

以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2019年08月20日(火)10:16 AM

ASEAN各国のデータ移転規制・データローカライゼーションに関するコラム(全6回)

 

→リンク先

 

2019年01月23日(水)1:02 PM

ASEAN各国の新法状況をご報告いたします。

 

【シンガポール】決算サービス法案
【タイ】労働者保護法・刑事手続法関連の改正及びIBC制度の創設
【マレーシア】外国人社会保険義務・飲食店での喫煙禁止・贈収賄に関する改正法
【ベトナム】サイバーセキュリティー法の施行
【インドネシア】OSSシステムのBKPMへの移管
【フィリピン】外資規制緩和の最新動向
【ミャンマー】競争委員会の設立及び外国銀行の内資企業への融資撤廃
【カンボジア】労働法のアップデート
【ラオス】付加価値税法の改正
【日本】労働基準法の一部改正

 

2019新年版ニューズレター

2018年01月11日(木)4:44 PM

ASEAN各国の新法の状況をご報告いたします。

 

シンガポール→ダウンロード

タイ→ダウンロード

マレーシア→ダウンロード

ベトナム→ダウンロード

インドネシア→ダウンロード

フィリピン→ダウンロード

ミャンマー→ダウンロード

ラオス→ダウンロード

日本→ダウンロード

 

2017年09月07日(木)10:55 PM

シンガポール個人情報保護法に関する新方針について解説いたします。
 →シンガポール個人情報保護法に関する新方針について