• Instgram
  • LinkeIn
  • Lexologoy
トップページ
2021年10月18日(月)8:44 AM

シンガポール個人情報保護法Q&A(第14回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第14回)

 

2021年10月18日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第14回)

Q. 任命されたDPOは、どのような役割や責任を負いますか。

PDPA第11条第5項においては、事業者は、第11条第3項に基づき任命した個人のうち少なくとも1名の連絡先(business contact information)を公開しなければならないとしています。一方、第20条第1項(c)及び第20条第4項(b)においては、事業者は、個人情報の収集、使用又は開示に関する質問に事業者を代表して回答できる人物の連絡先を公開することが求められています。これら連絡先が公開されるの担当者は同一人物でなくても良いとされていますが、一般には、DPOがこの役割を担うことになると思われます。

 そして、この公開すべき連絡先(business contact information)には、氏名、役職名、業務上の住所・電話番号・電子メールアドレス等が含まれますが、常にこれら情報の全てを公開しない限り違法である、とまでは言えないと考えられます。もっとも、例えば、個人からの(本人が提供した個人情報に対する)アクセスや訂正の請求が書面でなされる場合には、住所又は電子メールアドレスの少なくとも1つは公開すべきであると言えます。また、これらの連絡先は、シンガポールから容易にアクセスでき、シンガポールの営業時間内は受付が可能である必要はあり、更に電話番号については、シンガポールの電話番号でなければならないとされている点には注意が必要です。

 このほか、ガイドライン上、DPOには次のような役割が期待されているとされています。

・事業者のマネジメント、セキュリティ部門その他関連する事業部門と協力して、社内の適切な個人情報保護ポリシーや実務慣行を策定・実施すること。

・個人情報目録(personal data inventory)の作成(又は作成の指導)

・個人情報保護影響評価(アセスメント)の実施

・個人情報保護に関するリスクの監視・報告

・社内における個人情報保護関連コンプライアンス研修の実施

・個人情報保護に関する各種関係者との連携・連絡

・その他、社内における個人情報保護に関する専門家としての活動 等

Q. DPOの任命以外に、事業者が説明責任義務(Accountability Obligation)として果たすべき事項にはどのようなものがありますか。

DPOの選任等に関するほか、PDPA第12条は、説明責任義務の主な内容として、次のような事項を定めています。

(a) 個人情報保護ポリシーの策定・運用。事業者は、収集する個人情報の種類や分量、目的等を考慮し、(必要に応じて)社内向け・外部向けの個人情報保護ポリシー(プライバシーポリシー)を策定・運用する必要があり、かつ、そのポリシーの対象者が、その内容を容易に確認できるようにしておく必要があります。更に、これらのポリシーの実効性を確保するため、モニタリングやプロセス管理も行うべきとされています。

(b) 苦情対応プロセスの確立。事業者は、PDPA の適用に関して発生しうる個人からの苦情の受理、対応に関するプロセスを確立し、コンプライアンス貫徹に資するものとすべきこととされます。

(c) 個人情報保護ポリシー及びその実務慣行に関するスタッフ・従業員とのコミュニケーション。事業者がスタッフ・従業員に対する研修等を通じたコミュニケーションをとることにより、その意識向上に努め、事業者における内部的な個人情報保護体制の強化に資することが期待されます。

(d) 上記(a)(b)に関する情報提供。事業者は、個人の要求に応じ、個人情報保護ポリシー及びその運用、並びに苦情対応プロセスに関する情報を提供することが求められています。これにより、個人が必要な情報を認知し、個人情報に関する懸念や苦情を必要に応じて直接事業者に提起し得ることが期待されています。

以上のほか、説明責任義務に関しては、PDPA上は必須ではないものの、ガイドライン上、奨励されるべき実務慣行として次のような措置も記載されています。

・個人情報保護影響評価(Data Protection Impact Assessments (“DPIA”))

・設計による個人情報保護(Data Protection by Design (“DPbD”))

・個人情報保護管理プログラム(Data Protection Management Programme (“DPMP”))

 これら措置に関する詳細については、PDPCにより個別のガイドライン[1]が出されているため、ご参照ください。

ガイドラインによると、このような対策を行わないこと自体はPDPAの違反ではないものの、例えば個人情報保護影響評価(DPIA)を実施していない組織は、自社のITインフラで取り扱っている個人情報のリスクを十分に認識しておらず、必要十分なセキュリティ措置を講じていないものとして、結果的に保護義務(第24条)を果たしていないとみなされるおそれもある等、状況によっては事業者がPDPAの他の義務を果たしていないとされる可能性もあることが指摘されている点、注意が必要と言えます。

前回も言及した通り、この説明責任義務(Accountability Obligation)は、従前は公開義務(Openness Obligation)と呼ばれていたものが改称されたという経緯もあり、現在のPDPCにおいては、各事業者に対して、単に自社のポリシー等を公開するのみことならず、各個人に対して説明責任を果たすことを強く求める傾向にあると言え、今後はプライバシーポリシーの策定・公開に止まらず、各事業者において、個人やPDPCから何らかの照会があった際には、自社における個人情報の取扱い方針や個人情報保護に対する取り組み等につき、直ちに回答が可能となるよう、常日頃から体制整備を含めた準備を行っておくことが、実務上極めて重要となってきている点には、改めてご留意いただければと考えております。

[1] DPIA: https://www.pdpc.gov.sg/help-and-resources/2017/11/guide-to-data-protection-impact-assessments

DPbD: https://www.pdpc.gov.sg/help-and-resources/2019/05/guide-to-data-protection-by-design-for-ict-systems

DPMP: https://www.pdpc.gov.sg/help-and-resources/2019/07/guide-to-developing-a-data-protection-management-programme / https://www.pdpc.gov.sg/help-and-resources/2020/09/guide-to-managing-data-intermediaries

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年09月27日(月)10:11 AM

シンガポール個人情報保護法Q&A(第13回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第13回)

 

2021年9月27日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第13回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 移転制限義務を遵守するために契約を締結する場合、「シンガポールPDPAと同等の保護水準」を設定したと言えるためには、具体的にどのような条項を盛り込む必要がありますか。

ガイドライン上、国外移転先に移転された個人情報に関して、少なくとも PDPAと同等の保護水準を遵守することに関する契約条項を定める際には、次の表[1]の該当する各点につき、最低限の保護を定めるべきであるとされています。

S/N

保護領域

国外受領者の種類

データ仲介者[2]

データ仲介者以外の事業者

1

国外受領者による個人情報の収集・使用・開示の目的

N/A

2

正確性

N/A

3

保護措置

4

保有制限

5

個人情報保護方針

N/A

6

アクセス

N/A

7

訂正

N/A

8

漏洩時における通知

事業者に対して遅滞なく通知しなければならない。

セルフアセスメントを行い、必要に応じてPDPC及び/又は影響を受ける個人に通知しなければならない。

 上記の通り、データ仲介者が書面による契約に基づき、(移転元)事業者に代わり、その目的のために、個人情報を処理することに関しては、一定の保護規定は適用されません。しかしながら、このようなデータ仲介者は、一般には、その個人情報の処理に関する契約において、必要な情報について適切な保護を図るべき義務を課されていることが往々にしてあります。また、PDPCは、移転制限義務を果たすために、基本的な責任、必要な個人情報保護措置、当事者の関連する義務等を定めた契約条項として、ASEANモデル契約条項(「MCC」)の使用を奨励しています。[3]

Q. 説明責任義務(Accountability Obligation)とは、どのような義務ですか。

個人情報保護の分野において、説明責任(Accountability)とは、事業者が収集し、処理のために入手し、又は管理する個人情報に対する責任を、どのように果たすかということを意味します。このような説明責任にかかる一般的な概念は、PDPA上、Part 3「個人情報の保護及び説明責任に関する一般ルール(General Rules with Respect to Protection of and Accountability for Personal Data)」に含まれており、第11条(2)の「事業者は、その所有又は管理下にある個人情報に対して責任を負う。」との規定に表れています[4]

 この説明責任義務は、従前は「公開義務(Openness Obligation)」と呼ばれていましたが、各事業者における個人情報の取扱い対応、及び上記のような説明責任の概念に関する個人情報保護の進展を反映し、変更されました。

PDPAにおける説明責任を果たすためには、事業者が PDPAに基づく各義務を確実に履行するための措置を講じることが必要となり、また、必要な場合にはそのような措置が可能であることを示すことが重要になります。この点、事業者においてPDPA遵守のための責任者(データ保護責任者、DPO)を1人以上任命すること(第11条第3項)、事業者がPDPA上の義務を果たすために必要な方針や実務慣行(data protection policies and practice)を策定・実施すること(第12条(a))、それらに関する情報を公開すること(第12条(d))等は、上記の措置の例としてPDPAにおいて具体的に規定されていると言えます。

Q.  シンガポールにおける事業者データ保護責任者(DPO)を任命することは必須ですか。また、どのような人材をDPOとして任命すべきですか。

PDPA 第11条第3項においては、事業者が、PDPAを遵守するための責任者を1名以上指名することが求められており、この責任者を通常、データ保護責任者(Data Protection Officer、以下「DPO」)と呼びます[5]。つまり、全てのシンガポールにおける事業者が、PDPA上、DPOを指名(任命)する義務を負っていることになります。

但し、第11条第6項においては、事業者は、DPOの指名(任命)により、その事業者がPDPAに基づく義務を免除されるわけではないことも明確にしています。すなわち、DPOの指名によっても、PDPAを遵守する法的責任がDPOに移るわけではなく、事業者はなおPDPAを遵守する責任を負うということになります。

全体として、第11条のこれらの規定は、事業者が適切な個人を指名し、その個人が他の役員に一定の責任を委任することで、事業者がPDPAを遵守するように協力することを求めていると言えます。

また、第11条第3項に基づき事業者が指名するDPOは、その事業者の従業員である必要はないものの、(a) 十分な技能と知識を持ち、かつ、(b) DPOとしての職務を遂行する権限を十分に与えられていなければならないとされます。しかしながら、要件としては抽象的であり、実際には特に明確な必須の資格を求められているわけではないことから、各企業においては、人事・総務部門、法務部門等の一定の地位にある人材が指名されているケースが多いと思われます。外部専門家等の第三者に委託しているケースも少なくありません。

このほか、PDPCは、国際プライバシー専門家協会(International Association for Privacy Professionals、IAPP)と共同で個人情報保護に関する専門家としての認証[6]を発行しており、DPOとしてはそのような認証を受けていることが望ましいとされますが、実際にそのような人材を確保している事業者は多くないと思われます。

 なお、PDPAは、データ保護責任者(DPO)がどこに拠点を置くべきかを規定しておらず、例えば事業者の日本本社の管理部門の人材をDPOに任命する等といったことも可能ではありますが、シンガポールの一般市民が連絡を取ろうとしたときに連絡が取れる必要があるため、事実上、可能な限りシンガポール所在の人材をDPOとすべきことになると思われます。

[1] PDPCによる「Advisory Guidelines on Key Concepts in the PDPA (1 February 2021)」に基づき筆者作成。

[2] ここでいう「データ仲介者」とは、書面による契約に基づき、移転元事業者に代わり、その目的のために、個人情報を処理するデータ仲介者を言います。

[3] この点に関するPDPCのスタンスに関する詳細については、次のページをご参照ください。

https://www.pdpc.gov.sg/help-and-resources/2021/01/asean-data-management-framework-and-model-contractual-clauses-on-cross-border-data-flows

[4] この説明義務の概念に関する詳細は、次のページをご参照ください。

https://www.pdpc.gov.sg/help-and-resources/2019/07/guide-to-accountability-under-the-personal-data-protection-act

[5] 第11条第4項においては、更に、事業者が指定した個人(DPO)は、その指定により与えられた責任を他の個人に委任することができると規定されています。

[6] Practitioner Certificate for Personal Data Protection (Singapore)

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年09月03日(金)2:23 PM

シンガポール個人情報保護法Q&A(第12回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第12回)

 

2021年9月3日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第12回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 移転制限義務(Transfer Limitation Obligation)とは、どのような義務ですか。

 移転制限義務(第26条)とは、事業者がシンガポール国外に個人情報を移転するにあたっては、シンガポールPDPAに基づく保護と同等水準の保護措置を提供するための所定の要件に従う必要があり、その要件に従っていない場合にはシンガポール国外へ個人情報を移転してはならないとする義務を言います。

 この点、事業者が個人情報をシンガポール国外へ移転するために求められる条件については、PDPAの下位法令であるPersonal Data Protection Regulations 2021(以下「PDPR」と言います。)において具体的に定められていますが(PDPR Part 3 TRANSFER OF PERSONAL DATA OUTSIDE SINGAPORE[1])、端的に言えば、「事業者が、移転された個人情報の(シンガポール国外の)受領者(以下「国外受領者」と言います。)に対し、その個人情報をシンガポールPDPAの下におけるのと同等の保護水準を提供する法的強制力を有する義務に拘束させるための適切な措置を講じた場合」には、個人情報を海外移転できるということになっています[2]

 国外受領者に対して法的強制力を有する義務を課せられる根拠としては、次があり得ます。

(a) 何らかの法律

(b) シンガポールPDPAと同等の保護基準を設定し、契約に基づき個人情報が移転される国及び地域が具体的に特定される契約

(c) 対象となる全ての国外受領者に対し、PDPA と同等の保護水準を提供することを要求する拘束的企業準則(binding corporate rules、以下「BCR」)[3]であって、(i) それが適用される対象者(国外受領者)、(ii) そのBCRに基づき個人情報が移転される可能性のある国及び地域、及び(iii) そのBCRに基づき設定される権利及び義務が具体的に規定されているもの。

(d) その他の法的拘束力を有する文書

 よって、基本的に、個人情報の国外移転先がグループ会社間であるような場合には、上記BCRの基準を利用することができることになると考えられます。

 以上のほか、国外受領者が個人情報移転先の国又は地域の法律で認められている「特定の認証」(“specified certification”)を保有している場合にも、その国外受領者は法的強制力を有する義務に拘束されているとみなされます。PDPR上、この「特定の認証」とは、APEC Cross-Border Privacy Rules(CBPR)、APEC Privacy Recognition for Processors(PRP)の両制度に基づく認証を指します[4][5]。国外受領者は、以下の場合には、譲渡制限義務の要件を満たすものとして取り扱われます。

(a) PDPA上の「事業者」として個人情報を受領しており、有効なCBPR認証を取得している場合

(b) データ仲介者(data intermediary)として個人情報を受領しており、有効なPRP又はCBPR認証のいずれか又は両方を保有している場合

 更に、PDPRにおいては、次のような場合にも、それ以上の対応を要することなく、移転元事業者は、譲渡制限義務を満たしていると判断されます。しかしながら、ガイドラインにおいては、これらの要素に依拠することは謙抑的であるべきであり、事業者はできる限り、上述の「法的強制力を有する義務」又は「特定の認証」によるべきであるとされている点には注意が必要です。

(a) 移転対象となる個人情報にかかる本人が、移転後にその個人情報がどのように保護されるのかについて通知された後、その移転に同意している場合

(b) その移転(第三者への移転を含む)が事業者と本人との間の契約の締結又は履行のために合理的に必要な場合において、本人が、その事業者による移転に対してみなし同意を与えたと言えるとき

(c) 個人の重大な利益又は国益のための使用または開示のために移転が必要であり、かつ、移転元事業者が、その個人情報が国外受領者による目的外の使用・開示を防ぐための合理的な措置を講じている場合

(d) 個人情報が輸送中の情報(data in transit)[6]である場合

(e) その個人情報がシンガポールにおいて公知(publicly available)である場合

 なお、上記のうち(a)本人の同意に依拠するためには、事業者は、国外移転される個人情報が、シンガポールPDPAに基づく場合と同等の水準で保護されることを示す合理的な概要を書面で提示し、その個人に通知すること等が求められるとされ、同意取得のプロセスも問題とされ得ることにつき、注意が必要と言えます。

[1] https://sso.agc.gov.sg/SL/PDPA2012-S63-2021?DocDate=20210129#P13-

[2] “an organisation may transfer personal data overseas if it has taken appropriate steps to ensure that the overseas recipient is bound by legally enforceable obligations to provide the transferred personal data a standard of protection that is comparable to that under the PDPA”

[3] なお、このような拘束的企業準則(BCR)については、PDPR上、国外受領者が個人情報の移転元事業者と「関連性を有」し、かつ、他に法的強制力のある義務に服していない場合に採用することができます。また、PDPR上、次の場合には、国外受領者が個人情報の移転元事業者と「関連性を有」するとされています。

(a) 国外受領者が、直接又は間接に個人情報の移転元事業者を支配している場合

(b) 国外受領者が、直接又は間接的に個人情報の移転元事業者に支配されている場合

(c) 国外受領者と移転元事業者が、直接又は間接に同一人物の支配下にある場合

[4] 詳細は、関連ウェブサイトをご参照ください(https://www.pdpc.gov.sg/news-and-events/announcements/2019/07/apec-cbprprp-certification-now-available)。

[5] APECウェブサイトによると、CBPR制度は、現在、オーストラリア、カナダ、日本、韓国、メキシコ、シンガポール、台湾及び米国の8か国・地域が参加しています。一方PRP制度は、シンガポール及び米国しか参加していません(https://www.apec.org/Groups/Committee-on-Trade-and-Investment/Digital-Economy-Steering-Group)。

また、シンガポールにおいては、CBPR認証を取得している事業者は4社、PRP認証を取得している事業者は2社に留まっており(いずれも2021年5月現在)、これらの制度は、現時点ではまだ十分に浸透しているとは言えないと思われます(日本においても認知度は低いと思われます。)。

[6] この点、「輸送中の情報」(data in transit)とは、シンガポール外の国又は地域に転送される個人情報であって、その転送それ自体の目的を除いては、個人情報がシンガポールに存在している間、当該個人情報を転送している事業者以外のいかなる事業者も、個人情報へのアクセス、使用又は開示をしないものを指します。例えば、海外から転送された個人情報が、他の海外の目的地に移転する過程でシンガポール国内のサーバーを中継する場合が挙げられます。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年07月19日(月)12:13 PM

シンガポール個人情報保護法Q&A(第11回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第11回)

 

2021年7月19日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第11回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 保有制限期間内の保管に際しては、どのような点に注意する必要がありますか。

保有制限義務に関し、ガイドラインにおいては、事業者は、保有する個人情報を定期的に見直し、その個人情報がまだ必要かどうかを判断しなければならないとされています。大量の異なる種類の個人情報を保有している事業者は、個人情報の種類に応じた適切な保有期間を設定しなければならない場合もあると考えられます。

そして、PDPCからは、PDPA上の保有制限義務の要件に従った個人情報保有期間に関するルールを含む個人情報保有ポリシーを作成することが推奨されています。また、個人情報が比較的長期間にわたり、保有される場合には、そのポリシー中に、その保有の理由を明記すべきであるとされます。また、個人情報の種類に応じて適用されるポリシーを分けたり、保有制限義務の遵守を容易ならしめるような方法で個人情報が記録・保存されるよう、社内プロセスを開発又は調整すべきであるとされています。

Q. 個人情報を保有する必要がなくなった場合には、どのような対応をとるべきですか。

個人情報を保有する必要がなくなった場合には、事業者は、PDPA上、個人情報を含む文書の保有を停止するか、又はその個人情報を特定の個人と関連付ける手段を削除する(データの匿名化)により対応することができるとされます。

 このうち、「保有の停止」には、本人への情報(書類等)の返却、本人の指示に基づく第三者への譲渡、シュレッダーその他の適切な方法による廃棄が含まれます。

 この点、保有を停止したと言えるためには、事業者が可能な限り、個人情報を含む文書を完全に回収不能にしたり、アクセス不能となる方法で、保有を終了する必要がありますが、一方で、シュレッダーにかけられた書類が残っていたり、PC上から削除された個人情報が削除済みのフォルダに入っているだけのケースもあり得ます。このように、事業者が個人情報の保有を停止したかどうかについて疑わしい場合について、次のような要素が考慮されることになります。

(a) 事業者が、その(削除された)個人情報を再度利用したり、アクセスしたりする意図があるかどうか。

(b) 個人情報を再び利用又はアクセスするために、どれだけの労力や資源が必要となるか。

(c) 第三者がその個人情報へのアクセス権を有しているかどうか。

(d) 個人情報を恒久的かつ完全な方法で破棄、廃棄又は削除するための合理的な試みを行っているかどうか。

Q. 個人情報の「匿名化」に関しては、どのように理解すればよいですか。

上記の通り、事業者は、個人情報が匿名化された場合にも、個人情報の保有を停止したものとみなされます。一般に、匿名化とは、残ったデータから特定の個人を識別できないように、個人の識別情報を削除するプロセスと理解されます。

 この点、匿名化プロセスの理解については、法域や分野によって異なる可能性があります。例えば、「匿名化」と「非識別化」とを区別し、個人情報を、単独で他の情報と組み合わせても個人を識別できないデータに変換するプロセスのみを「匿名化」と理解する場合もあります。また、「匿名化」を不可逆的な非識別化を意味する言葉として使用する場合もあります。

一方で、PDPCガイドラインにおいては、「匿名化」を可逆的な場合及び不可逆的な場合の双方を含むものとして使用されています。もっとも、使用される特定のプロセスが可逆的であることは、事業者が再識別のリスクを管理する際の考慮要素となります。

 ガイドラインによると、「匿名化」の例としては次のようなものが挙げられます。[1]

(a) 偽名化:個人識別情報を、他の参照情報で置き換えること。例えば、個人の名前を、ランダムに生成されるタグや参照番号で置き換えること。

(b) 集計:個人を特定できるような個々の値が表示されないように、値を合計で表示すること。例えば、8人の年齢(33歳,35歳,34歳,37歳,42歳,45歳,37歳,40歳)のデータセットにつき、年齢を表示するのではなく、グループに含まれる個人の年齢の合計(303歳)を表示すること。

(c) 置換:値又は値の一部を、計算された平均値又は値から得られた数値に置き換えること。例えば、目的のために正確な年齢を必要としない場合において、年齢が15歳、18歳、20歳の人を17歳の値に置き換えて、区別を曖昧にすること。

(d) データの圧縮:目的に必要のない値を削除すること。例えば、個人の属性のデータセットから「民族」を削除すること。

(e) データの再コード化又は一般化:ある個人情報のカテゴリをより広範なカテゴリにグループ化等すること。例えば、正確な教育レベル(K1、Primary 3、Secondary 2等)をより広いカテゴリ(Pre-primary、Primary、Secondary等)にグループ化したり、与えられた範囲内の値を隠したりすること(例:年齢「43」を範囲「40-50」に置き換える等)。

(f) データのシャッフル:個人情報の値を同じ種類のものと混ぜ合わせたり、置き換えたりすることにより、情報が似ているように見えても実際の詳細とは無関係なものとすること。例えば、顧客データベースの名字を、別のデータベースから抽出した名字に置き換えることによるサニタイズ

(g) マスキング:データの見た目を維持したまま、特定の詳細を削除すること。例えば、NRIC番号の完全な文字列を「S1234567A」ではなく「#####567A」と表現すること。

また、この「匿名化」にあたっては、それぞれ匿名化されたデータセットを組み合わせることにより、個人が再識別されるリスクについても留意が必要とされます。各事業者においては、個人情報の匿名化を行う場合には、この再識別のリスクも勘案することが求められています。[2]

[1] 但し、PDPCは、特定の方法を推奨又は支援するものではなく、各事業者において、それぞれの状況や業務上の背景等に基づき、独自に方法を判断することが求められています。

[2] 以上につき、詳細は、Advisory Guidelines on the PDPA for Selected Topics(https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Selected-Topics/Advisory-Guidelines-on-PDPA-for-Selected-Topics-9-Oct-2019.pdf?la=en)の「匿名化」(Anonymisation)の項をご参照ください。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年06月14日(月)2:56 PM

シンガポール個人情報保護法Q&A(第10回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第10回)

 

2021年6月14日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第10回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.保護義務の遵守のために推奨されるセキュリティアレンジメントとして、もう少し具体的な対応例があれば教えてください。

 第9回で述べた通り、保護義務の遵守のための具体的な措置については、各事業者が個々の状況に応じて自ら検討・対応すべきことになりますが、ガイドラインにおいても、いくつかの具体的な措置の例が示されています。具体的なセキュリティアレンジメントとしては、管理上の措置(administrative measures)、物理的な措置(physical measures)、技術的な措置(technical measures)、又はこれらの組み合わせ等、次のようなものが挙げられています。

(1) 管理上の措置(administrative measures)の例

(a) 従業員との間で、雇用契約上の守秘義務を確実に規定し、その拘束、遵守を求めること。

(b) また、守秘義務に関し、違反時における懲戒等の結果を伴い得る強固な方針と手順を実施すること。

(c) 定期的な研修を実施し、個人情報の取り扱いに関するベストプラクティスを周知させるとともに、個人情報の安全性に対する脅威に対する認識を強化すること。

(d) 適切な量の個人情報のみを保有するようにし、不必要な個人情報を保有しないようにすること。

(2) 物理的な措置(physical measures)の例

(a) その情報が機密文書であることを明確かつ目立つように明記すること。

(b) 施錠されたキャビネット等で機密文書を保管すること。

(c) 従業員による機密文書へのアクセス権限を、必要な人員・場合のみに制限すること。

(d) のぞき見防止フィルタ等を使用し、無関係者によるPC上の個人情報の閲覧を最小限に抑えること。

(e) 不要になった機密文書は、シュレッダー等で適切に処分すること。

(f) 適切なレベルのセキュリティが確保された個人情報の伝達又は送信方法を実施すること(例:必要な場合には、通常の郵便物ではなく、書留郵便物を使用する)。

(g) 個人情報が必要な場合にのみアクセスできるように、保管されている個人情報のサマリーを提供すること。

(h) 個人情報の漏洩を防ぐために、個人情報の受取人が本人であることを確認すること。

(3) 技術的な措置(technical measures)の例

(a) コンピュータネットワークの安全性を確保すること。

(b) 適切なアクセスコントロール措置を採用すること(例:場合によっては、より強力な認証手段を検討する等)。

(c) 個人情報の暗号化による不正アクセスの防止

(d) コンピュータ画面が一定期間無操作である場合のセルフロック機能の設定

(e) 適切なセキュリティソフトをインストールし、コンピュータのセキュリティ設定を常にアップデートすること。

(f) 再利用、販売、廃棄されるIT機器内の個人情報を廃棄すること。

(g) 機密性の高い電子メールを送信及び/又は受信する際に、適切なレベルの電子メールセキュリティ設定を使用すること。

(h) ITサービスプロバイダが必要な水準のITセキュリティを提供できることを確認しておくこと。

 以上のとおり、これらの措置の一つ一つを見ると、ごく一般的に考えられる対応であると思われるため、従前より意識的に対応されている事業者各位におかれては、新たに特段の対応を取る必要は必ずしもないと考えられます。一方で、実際にはこれらの措置がとられていないことで外部からの不正アクセスを許し、個人情報の漏洩事故が発生して処分に繋がるというケースも少なくないため、留意が必要とも言えます。

 また、ご案内の通り、PDPAの違反事例(処分事例)はPDPCのウェブサイト[1]で実名公表されるため、実際の処罰による罰金等の負担のほか、違反企業として実名が掲載されてしまうこと自体によるレピュテーションリスクも無しとは言えませんが、これらの公表されている事例としては、保護義務違反による処分が最も多くの割合を占めています[2]。一方で、実際に漏洩事故が発生した場合でも、調査の結果、相応の適切な対策がとられていたことが認定された場合には、「違反無し」との判断となっているケースも複数みられています(その場合でも実名公表はなされているのが現状ではあります。)。

PDPCにおいても、漏洩事故を100%防ぐことはできない旨は認めているところであり、その意味でも「予防的措置」として、上記の各種セキュリティアレンジメントを可能な限り整備していただければと考えております。

Q. 保有制限義務(Retention Limitation Obligation)とは、どのような義務ですか。

 保有制限義務(第25条)とは、事業者が、個人情報を収集した目的が既に達成され(更なる保有によっても達成されなくなり)、法律上又は事業上の目的のために保有する必要がなくなったと考えるのが妥当であると判断された時点で、個人情報を含む文書の保持を中止し、又は個人情報と特定の個人との関連付けを可能にする手段を削除すべき義務を言います。

この点、保持制限義務により、各事業者が必要もないのに個人情報を永続的に保有することを防ぐことができる一方で、各事業者にもそれぞれ異なる業務上のニーズがありうるため、保持制限義務においては、明確かつ画一的な個人情報の保有可能期間を定めていません。その代わり、事業者が個人情報を適法に保有しうる期間は、その個人情報の収集目的や、個人情報の保有が必要となりうる他の法的又は事業上の目的を考慮して、その保有が合理的であるか否かにより決せられるものとされています。

他方、PDPA以外に適用される可能性のある法律や業界標準の要件等がある場合には、別途それを遵守すべきことには注意が必要です。

Q. 保有制限期間の判断にあたっては、どのような点に注意する必要がありますか。

 上述のとおり、PDPAにおいては、個人情報の保有可能期間については明確に定めていません。しかしながら、ガイドラインにおいては、実務上の注意点として次のような観点が紹介されています。

(1) 個人情報の収集目的に関して

(a) その個人情報の収集目的として有効とされた目的のうち少なくとも1つ以上が有効である限り、保有可能である。[3]

(b) 一方で、個人情報は、事業者が「他の目的で必要となるかもしれない」といった理由で「念のため」に保有し続けることはできない。

(2) 「法律上又は事業上の目的がある場合」に関して

(a) 事業者が関与する継続的な法的措置のために個人情報が必要な場合[4]

(b) その個人情報を必要とするその他の適用法令、規制、国際的・地域的・二国間の基準に基づく組織の義務を遵守するため

(c) 年次報告書の作成や業績予測等、事業者が業務を遂行するために必要な場合

[1] https://www.pdpc.gov.sg/all-commissions-decisions

[2] 過去の弊所集計に基づくと、概ね次の状況となっています。
※集計表は、PDFをご覧ください。

[3] 例えば、講師や生徒の個人情報を収集しているダンススクールにおいて、講師や生徒が退会したような場合でも、個人情報の収集・使用目的として「同窓生のネットワークを維持する目的」が含まれることにつき本人の同意を得ていた場合には、そのダンススクールは、正当な目的のために個人情報を保有しているものであり、保有制限義務に基づく保有停止の必要はないとされています。また、小売業者が商品の販売のために取得した個人情報について、会計及び請求管理の目的で、販売時点を超えて顧客から収集した個人情報を含む請求情報を保有することも認められます。

[4] 例えば、シンガポールにおいて一般的な時効期間を定めるLimitation Act (Cap. 163)によると、ある契約に基づく訴訟は、訴訟原因が発生した日から6年以内に提起されなければならないため、それが事業者が保有する個人情報にも関わる場合には、契約終了日から7年間は契約に関する記録を保持し、その期間内に調査や法的手続きが開始された場合には、さらに長い期間保有することが正当化されることも考えられます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年05月25日(火)9:38 PM

シンガポール個人情報保護法Q&A(第9回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第9回)

 

2021年5月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第9回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 正確性義務(Accuracy Obligation)とは、どのような義務ですか。

正確性義務(第23条)とは、収集された個人情報が正確かつ完全なものである場合において、それが本人に影響を与える決定をするためにその事業者により使用される可能性がある場合、又は他の事業者に開示される可能性がある場合には、事業者が、その正確性・完全性を保証するための合理的な努力をすべき義務を言います。

このような正確性義務を履行し、個人情報の正確性と完全性を保証するために、事業者は、以下のような事項が確保されるよう合理的な努力をしなければなりません。

(a) 収集した個人情報が正確に記録されること。

(b) 収集する個人情報に、関連する全ての部分が含まれること。

(c) 個人情報の正確性と正確性を確保するために、状況に応じた適切な(合理的な)措置が講じられていること。

(d) 情報更新の必要性が検討されること。

 この点、何をもって「合理的な努力」と言えるかについてはケースバイケースであり、実際の状況により異なりますが、一般には、次のような要素を考慮すべきとされています。

(a) 個人情報の性質及び当該個人にとっての重要性(例えば、個人情報が健康状態等、個人の重要な側面に関連しているかどうか)

(b) 個人情報が収集、使用又は開示される目的

(c) 個人情報の信頼性(信頼できる情報源・手段から得られたか等)

(d) 個人情報の新規性(その個人情報が最近のものなのか、それとも少し前のものなのか等)

(e) 個人情報が不正確又は不完全であった場合の本人への影響(当該個人情報を開示された相手の事業者がその情報をどのように利用するか等を考慮)

 また、収集した個人情報の正確性・完全性の確認については、その情報の出所の信頼性に応じて異なるアプローチをとることができます。例えば、個人から直接提供された個人情報については、基本的に正確であると想定されますが、この正確性に疑義がある場合、又は高度の確実性が必要な場合等には、事業者は、提供された個人情報の正確性・完全性についての確認を、その提供者である個人に求めることができます。また、個人情報の新規性が重要な場合には、事業者は、個人から提供された個人情報が最新のものであることを確認するための措置を講じる必要があります(例えば、本人に大きな影響を与えるような判断をする前に、個人情報の最新のコピーを要求する等)。

 これは、例えば銀行のローンを借り入れる際に、個人が、申込書に記載した個人情報(を含む必要事項)の真実性・正確性を認める欄にチェックを付けたり、提供された情報が最新のものであることについて保証する欄にチェックしたりすることを求めることにより担保することが考えられます。

 一方で、本人以外の情報源から個人情報を収集する場合には、事業者は、より注意を払わなければならず、例えば、個人情報の提供元から、その個人情報の正確性と完全性を検証したという確認を求め、さらに独自に検証を行う等して対応することが考えられます。

更に、個人情報を更新すべきか否かの判断にあたっても、同様の考慮事項が適用されます。全ての個人情報が更新を必要とするわけではないものの(例えば、過去の事実や履歴に関する情報等)、意思決定の過程で古い個人情報を使用することが相応しくない場合には、事業者はそのような個人情報を更新することが必要であると考えられます。この点に関して、ガイドラインでは、例えば会社主催のアクティビティに参加する従業員に対して健康診断の記録を求める場合、それは最新の情報である必要があり、入社時のものから更新されているべき必要性が高いと言えます。また、特定部門への異動の際に必要とされる資格や専門的スキル等についても、過去のものでは不十分であり、現時点で有効なものである必要があると説明されています。

Q.  保護義務(Protection Obligation)とは、どのような義務ですか。

保護義務(第24条)とは、事業者が、不正アクセス、収集、使用、開示、複写、変更、廃棄又はこれらに類似のリスクを防止するため、合理的な安全対策を講じることにより、その保有し、又は管理下にある個人情報を保護すべき義務を言います。

 ガイドラインによると、事業者が保護義務を遵守するための「決定版」と言える解決策(‘one size fits all’ solution)は存在せず、各事業者は、個人情報の性質、個人情報が収集された形態(物理的な資料か、電子版か、等)、及び、無権限の者が個人情報を取得、修正、又は廃棄した場合の関係者への影響等を考慮して、状況に応じて合理的かつ適切なセキュリティ対策を採用することを検討する必要があるとされています。例えば、雇用の場面においては、従業員の「評価」に関する情報のような機密性の高いものについては、他の従業員に関する一般的な情報と比較して、より高いレベルのセキュリティを期待するのが合理的と言えます。

Q.  保護義務(Protection Obligation)を順守するためには、具体的にはどのような措置を講じる必要がありますか。

 ガイドラインにおいては、保護義務を順守するために事業者が講じるべき実務上の措置(セキュリティアレンジメント)として、次のような事項が挙げられています。

(a) 事業者が保有する個人情報の性質やセキュリティ違反から生じ得る損害を考慮した上で、 セキュリティ対策を設計し、組織化すること。

(b) 信頼性が高く、十分な訓練を受けた情報セキュリティ要員を確保すること。

(c) 個人情報の重要性(sensitivity)に応じた様々なレベルの個人情報について、それぞれ適切なレベルのセキュリティを確保するためのポリシーを策定すること。

(d) 情報セキュリティ侵害行為に迅速かつ効果的に対応するための準備と能力を具備させること。

 また、上記のようなセキュリティアレンジメントが適切であるか否かを確認するために、(a) 事業者の規模、保有する個人情報の量や種類、(b) 事業者内において個人情報にアクセスできるか人員の範囲、(c) 個人情報が事業者以外の第三者により保有されたり、使用される予定があるか否か、といった要素を考慮し、事業者におけるリスクアセスメントを実施することが有益であると紹介されています。

 このように、保護義務の遵守のための具体的な措置については各事業者が個々の状況に応じて自ら検討・対応すべきことになるため、実際の日常業務の状況を踏まえたセルフ・アセスメントが重要となってくるものと思われます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年05月03日(月)10:50 AM

シンガポール個人情報保護法Q&A(第8回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第8回)

 

2021年5月3日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第8回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.訂正義務(Correction Obligation)の具体的な内容は、どのようなものですか。

PDPA第22条第1項においては、個人は、事業者が保有し、又はその管理下にある個人情報の誤りや脱落の訂正をその事業者に求めること(以下、「訂正要請」)ができることが規定されています。

訂正要請を受けた事業者は、要請通りに訂正を行うべきかどうかを検討する義務を負います。この点について、第22条第2項に基づき、事業者は、合理的な理由により訂正を行うべきではないと判断した場合を除き、次のことを行わなければなりません。

  1. a) 実務上可能な限り、速やかに個人情報を訂正すること。
  2. b) 個人情報の訂正を求められた日から1年以内に、その対象となる個人情報を開示した他の全ての事業者に訂正後の個人情報を送付すること。但し、当該他の事業者が何らかの法律上又は事業上の目的のために、その訂正後の個人情報が不要な場合を除く。

なお、事業者は、第22条に基づく個人情報の訂正を要請された場合には、訂正料を請求することはできません。

Q.事業者が訂正義務を履行しなくても良い場合はありますか。

この訂正義務(第22条第1項)には、第22条第6項及び第7項に基づき、いくつかの例外が存在しています。

第22条第2項に基づく訂正にかかる他の事業者への通知義務に関して、第22条第3項においては、信用情報機関以外の事業者は、本人の同意を得た上で、訂正後の個人情報の送付先につき、当該事業者が開示した特定の組織に限定することができるとされています。

そして、この通知を受けた他の事業者は、訂正を行うべきではないという合理的な理由がある場合を除き、第22条第4項に基づき、その事業者が保有し、又はその管理下にある個人情報を同様に訂正することが求められています。

このような義務については、次のような事例をもとに理解することができると思われます。すなわち、あるオンライン小売業者が、顧客から住所(顧客の個人情報の一部)のアップデートを求められた場合には、その小売業者は、通常は顧客の訂正要請を拒否する合理的な理由がないため、データベースにおける顧客の住所を訂正(アップデート)することになります。そして、その小売業者は、訂正後の住所を、顧客に対するアフターサービスを提供する関連会社に送信します。しかし、顧客の保証期間が既に終了している場合には、その関連会社は、法律上又はビジネス上の目的で訂正された住所を必要としないと考えられるため、特段の訂正を行わないことになります。更に、この小売業者は、顧客が小売業者から購入した特定の製品の配送を行った宅配業者には、既に法律上又は事業上の目的で顧客の更新された住所を必要としないため、訂正された住所を送る必要はないと考えられます。

なお、訂正を行わない合理的な理由がある場合であっても、事業者は第22条第5項に基づき、訂正を求められたにもかかわらず訂正を行わなかったことを示す注釈(メモ)を、対象となった個人情報に記載すべきことになる点には注意が必要です。実務上は、更に、訂正を行わないことを決定した理由を本人に説明することが推奨されると説明されています。

このほか、第22条第7項においては、附則6(Sixth Schedule)で定められた事項については、訂正を行う必要はないと規定されています。これには次のようなものがあります。

(a) 評価目的[1]のみのために保管されている意見にかかる情報[2]

(b) 教育機関が実施する試験、試験のスクリプト、試験結果の公表前の試験結果

(c) 私的信託の受益者の個人情報であって、信託の管理のみを目的として保管されるもの

(d) 仲裁・調停機関が管理する仲裁・調停手続の目的のみのために、その機関が保管するもの

(e) 手続が完了していない刑事手続に係る文書

 また、第22条第6項に基づき、事業者は、専門家意見に関するものについても訂正が不要ということになっています。

上記にかかわらず、事業者は、第21条第1項に基づき、合理的に可能な限り速やかにアクセスを提供し、第22条第2項に基づき、実務上可能な限り速やかに個人情報を修正する責任を負うとされています。

 

以上

[1] 「評価目的」については、第2条第1項において次の通り定義されています。

(a) その個人情報が関係する個人の適性、能力又は資格を決定する目的:(i) 雇用又は役職への任命、(ii) 雇用又は役職における昇進、継続、(iii) 解雇、(iv) 教育機関への入学、(v) 契約、賞、奨学金、名誉、又はその他の類似の給付の授与、(vi) 運動又は芸術に関する選考、又は (vii) 公的機関が管理するスキームの下での財政的若しくは社会的援助の付与、又は適切な保健サービスの提供のため

(b) 契約、賞、奨学金、名誉、又はその他の同様の給付を継続、修正又は取消すべきかどうかを決定する目的

(c) 個人若しくは財産に保険をかけるかどうか、又は、保険を継続若しくは更新するかどうかを決定する目的

(d) その他これに類する目的で大臣が定めるもの

[2] 例えば、雇用主が保管する従業員の業績評価記録に関する情報がこれに該当します。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年04月05日(月)3:15 PM

シンガポール個人情報保護法Q&A(第7回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第7回)

 

2021年4月5日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第7回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか

前回記事の通り、事業者は、個人からアクセス請求があった場合には、その請求に基づき、対象となる個人情報へのアクセスを認めなければなりません(第21条第1項)。

しかし、同条項は例外を設けており、アクセスを認めないことにつき正当な理由がある場合には、その理由を本人に通知することで、アクセス請求を拒否することができます。

まず、事業者は、前回も述べた通り、附則5(Fifth Schedule)に基づくアクセス要件の例外が適用される場合には、その請求に応じないことができます(第21条第2項)。具体的には、例えば次のような事項が含まれます(詳細は原文をご参照ください。)。

(1) 評価目的[1]のみのために保管されている意見にかかる情報[2]

(2) 教育機関が実施する試験、試験スクリプト及び試験結果の公表前の試験結果

(3) 私的信託の受益者の個人情報であって、信託の管理のみを目的として保有するもの

(4) 仲裁・調停機関が管理する仲裁・調停手続の目的のみのためにその機関が保管する個人情報

(5) 起訴に関連する全ての手続が完了していない場合の起訴に関連する文書

(6) 秘匿特権の対象となる個人情報

(7) 開示されると事業者の競争力を損なう可能性があると合理的に考えられる商業上の機密情報が明らかになる個人情報

(8) 請求が反復して行われることにより、事業者の運営に不当に支障を及ぼすおそれがある場合

(9) アクセスを提供するための負担又は費用が事業者にとって不合理であり、又は個人の利益とのバランスが取れていないものである場合[3]

(10) 存在しない情報又は発見できない情報である場合

(11) リクエストが些末であるか、又は煩わしいものである場合[4]

また、事業者は、政府機関などによる調査又は手続のために必要な場合において、その個人情報が所定の法執行機関の権限を有する職員に開示されているときは、個人情報をその法執行機関に開示したことを、いかなる個人又は組織にも通知してはならないことなっています(第21条第4項参照)。この点について、事業者は、その調査若しくは手続及び関連する不服申立てが完了していない場合には、対象となる個人情報の存在を否定し、又は調査若しくは手続における同意なく個人情報を使用することを拒否することができます[5]

さらに、事業者は、アクセス請求に回答するためのコスト(コピー代等)を見積もり、それに関する費用を事前に定めて通知することにより、請求者がその費用の支払いに同意しない限り、回答を拒絶することもできます。なお、この費用の適否については、PDPCが必要に応じて審査をし、減額の指示などをすることもできます(第28条第1項(b)、第2項(b))。

一方で、事業者は、アクセス請求に応じて個人情報等を提供することにより、次のことが合理的に予想される場合には、その請求に応じて個人情報を提供してはならないとされます(第21条第3項)。

(a) アクセス請求者以外の者の安全又は身体的若しくは精神的健康を脅かすこと。

(b) アクセス請求者自身の安全又は身体的・精神的健康に対し、差し迫った若しくは重大な危害を及ぼすこと。

(c) 他人の個人情報が明らかになる場合[6]

(d) 他の個人に関する個人情報を提供した個人の身元を明らかにする場合であって、その個人情報を提供した個人がその身元の開示に同意していない場合

(e) 国益に反する場合

この点に関し、事業者が個人情報の定期的な廃棄又は削除を予定している場合(例:CCTV システムは X 日ごとに映像を削除する、又は個人情報を含む物理的な文書を X 日ごとにシュレッダー処理する、等)には、その事業者は、アクセス請求を受けた後、合理的に可能な限り速やかに請求された個人情報を特定し、アクセス請求への対応のために必要な個人情報が保存されているようにしなければなりません。

ただし、事業者は、アクセス請求があるかもしれないからといって、「念のため」個人情報を不必要に保存しないように注意しなければならず、また、そうするための事業上又は法的目的がない場合には、個人情報を無期限に保有し続けてはならない(保有制限義務)点には注意が必要です。

Q.事業者が、(正当な理由により)アクセス請求を拒否した場合には、その後にどのような対応をとる必要がありますか。

事業者が、第21条及び下位規則の規定に基づき、本人からのアクセス請求のあった個人情報の一部又は全部を提供しないことが適切であると判断した場合には、対象となった個人情報(以下、「保留個人情報」)については、本人が事業者による不開示の決定の見直しを求める可能性があるため、その(不開示の)通知を送付した後、少なくとも 30 日間、保留個人情報のコピーを保存しておかなければならないとされます。

そもそも、事業者による不開示決定に対しては、PDPCが、その決定に対する審査権限を有するため(第28条第1項)、本人がPDPCに対してその審査申請を提出し、PDPCがそれを受理すると判断した場合には、事業者は、PDPCからの審査申請の通知を受領した時点で、その審査が終了し、本人が上訴等を申請する権利がなくなるまで、保有する個人情報を保存しなければならないことになります。

そして、PDPCが、当該事業者が対象となる個人情報へのアクセスを拒否する適切な理由がなく、第21条に違反していると判断した場合には、第29条に基づく強制措置を受ける可能性があるため注意が必要です。

なお、実務上、事業者は、受信した全てのアクセス請求と処理の記録を保持し、 請求されたアクセスが提供されたか拒否されたかを明確に文書化しておかなければならないとされます。

以上

[1] 「評価目的」については、第2条第1項において次の通り定義されています。

(a) データが関係する個人の適性、能力又は資格を決定する目的:(i) 雇用又は役職への任命、(ii) 雇用又は役職における昇進、継続、(iii)解雇、(iv) 教育機関への入学、(v) 契約、賞、奨学金、名誉、又はその他の類似の給付の授与、(vi) 運動又は芸術に関する選考、又は (vii) 公的機関が管理するスキームの下での財政的若しくは社会的援助の付与、又は適切な保健サービスの提供のため

(b) 契約、賞、奨学金、名誉、又はその他の同様の給付を継続、修正又は取消すべきかどうかを決定する目的

(c) 個人若しくは財産に保険をかけるかどうか、又は、保険を継続若しくは更新するかどうかを決定する目的

(d) その他これに類する目的で大臣が定めるもの

[2] 例えば、雇用主が保管する従業員の業績評価記録に関する情報がこれに該当します。

[3] 例えば、ショッピングセンターに対し、過去1年間に同センターで録画された個人のCCTV映像を全て見たいというリクエストを受けたような場合には、同ショッピングセンターが過去1年間の全てのCCTV映像を見直し、リクエストした個人の記録を発見するためにかなりの時間と労力が必要になるため、負担が不合理に大きく、かつ、個人の利益に不釣り合いであり、ショッピングセンターはこの請求に応じる必要がないと説明されています。

[4] 例えば、アクセス請求者の氏名や電話番号といった、本人が明らかに知っているであろうと思われる情報を敢えてリクエストする場合等が該当するとされています。

[5] なお、例えば捜査や起訴の開始前に個人情報が収集されたが、その後手続きが係属した場合には、個人は、PDPAに基づくアクセス請求ではなく、刑事・民事のディスカバリー制度を通じてアクセスを図るべきであると説明されています。

[6] 但し、その他人が同意している場合や、PDPA上、同意が不要な場合を除きます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年03月15日(月)10:45 AM

シンガポール個人情報保護法Q&A(第6回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第6回)

 

2021年3月15日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第6回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.事業者は、個人情報に対して、どのようなアクセスを提供しなければなりませんか。

PDPA第21条第1項においては、個人は、事業者に対して次の情報にアクセスすることを求めることができ、事業者は、本人の請求があった場合には、合理的に可能な限り速やかにこれらの情報を本人に提供しなければならないと規定されています。

(a) その事業者が保有し、又は管理している、本人に関する個人情報の一部又は全部

(b) 本人の請求日から1年以内に、当該個人情報が事業者によって使用され、又は開示された(若しくはその可能性があった)方法に関する情報

 事業者は、原則として、請求を受けた全ての個人情報に対するアクセスを認めなければなりませんが、附則5(Fifth Schedule)において、アクセス義務が免除されうる場合が列挙されています。

また、個人からアクセス請求を受けた場合でも、その時点で保有しておらず、又は管理下にはなくなっていた個人情報に対するアクセスを実現させる必要はなく、事業者は、その個人情報を保有等していないことを理由にアクセス請求に応じることができない旨を、請求者に通知することができます。また、個人情報の出所に関する情報を提供する必要もないと説明されています。

一方で、個人情報へのアクセスを請求する個人は、状況に応じて、書面による当該個人情報の写しを求めることができますが、この場合、事業者は、写し作成のための一定の費用を請求できるとされています[1]。また、対象となる個人情報の文書化が現実的に困難な場合(例えば、事業者が所有するデバイスから対象となる個人情報を抽出することができない場合等)、事業者は、対象となる個人情報を直接確認する合理的な機会を提供すべきとされます。

すなわち、事業者によるアクセス提供義務は、このように独立して抽出・提供することが困難な個人情報にも同様に適用されることになりますので、留意が必要と言えます。その保管の形式を問わず、管理下にあるすべての個人情報の収集、使用、及び開示を追跡するためのプロセスを実施することが、事業者には求められていることになります。

もっとも、アクセスを提供することによる負担や費用が事業者にとって不合理であったり、個人の利益に不釣り合いであったり、請求が軽薄であったり煩わしいと言える場合には、アクセスを提供する必要はありません[2]

一方で、事業者は、個人からのアクセス請求に対応する前に、その請求者について適切な検証を行う等して、身元確認の適切な手段を講じるべきであるとされています。この点について、PDPCにおいては、どのように本人確認を得るべきかについての具体的方法を示していませんが、無用の事後的な紛争を避けるため、その対応がPDPAに準拠していることを証明するための証拠となりうるような何らかの書類を用意しておくことが奨励されています。また、アクセス請求を処理する際の検証の実施に関する標準的な運用手順を定めたポリシーを定めることも考えられます(例えば、アクセス請求を処理する従業員が、本人確認のために申請者に質問することができるとする等)。また、アクセスの請求者が代理人であった場合には、有効な代理権の有無を確認すべきとされています。

Q.事業者が、個人情報の利用又は開示の方法に関する情報を提供する際の留意点はありますか。

第21条第1項のとおり、個人情報の利用又は開示に関する情報の提供が求められた場合、事業者は、過去1年間に個人情報がどのように利用・開示されたか、又はそれらの可能性があるかに関する情報を提供しなければなりません。ただ、この点については、多くの場合、このようなアクセス請求への対応の一環として、個人情報が開示された先(特定の第三者)のリストを提供するのではなく、開示基準に関するリストを提供することで代えることができるとされています。また、このようなリストは定期的にアップデートされる必要があるとされます。

なお、一般的には、個人情報が開示された第三者に関する情報の請求に応じる際には、個人情報の開示先の一般的なカテゴリー(例:「製薬会社」のみを提供するのではなく、具体的な名称(例:「製薬会社ABC」)を個別に特定するべきであり、これにより、個人情報が開示された第三者機関に個人が直接アプローチできるようにすべきとされている点、注意が必要です。

このほか、過去 1 年間に個人情報がどのように利用されたか、又は利用された可能性があるかを特定する際に、事業者は、個人情報が利用された(又はその可能性のある)具体的な目的そのものではなく、その目的の概要を説明することで足りるとされます。例えば、ある事業者が、アクセス要請前の1年間に、外部の監査人に個人情報を複数回開示していた可能性があるとする場合、アクセス要請に応じる際には、個人情報が開示された全ての事例を記載するのではなく、監査目的で開示されたとのみ回答することが可能であるとされています。

なお、事業者がとるべき実際の対応は、具体的なアクセスの要請内容によって異なりますが、事業者が責任を果たしたと言えるためには、合理的な人物が状況に応じて適切と考える程度にまで行う必要がある点には留意が必要です。

また、事業者は、個人からのアクセス請求を受け取った時点から合理的に可能な限り速やかに対応しなければなりません。アクセス請求を受けてから 30 日以内に回答できない場合には、原則として、30日経過前に回答可能な期間を書面で本人に通知しなければなりません。

 

[1] 詳細については、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。

[2] この点の詳細についても、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年01月25日(月)11:43 PM

シンガポール個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第5回)

 

2021 年1月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第5回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.事業者が目的を記載する際には、どの程度詳細な情報まで含める必要がありますか。

 

事業者は、個人情報の収集、利用又は開示を行う理由や方法を、その情報を提供する本人が判断できるように、目的について適切なレベルで詳細に記載しなければなりません。ただし、事業者は、個人情報の収集、利用又は開示に関連して行う全ての活動を明示する必要はないとされます。

 この点に関し、記載が「適切なレベル」かどうかを判断するにあたっての考慮要素として、PDPCは次のような事項を挙げています。

(a) 目的が明確かつ簡潔に記載されているか。

(b) 製品やサービスを提供するために主に必要な目的かどうか(付随的な目的とは異なる)。

(c) 個人情報を第三者に開示する場合には、開示先の第三者をどのように本人に周知させるべきか。

(d) 目的をより具体的に記載することにより、本人によるその目的の理解を促進するか、妨げになるか。

(e) 事業者のビジネス上、どの程度の具体性が適切か。

PDPCが挙げている例としては、電機店がウェブサイトを通じて商品をオンラインで販売している場合に、そのウェブサイトを通じて商品を購入した個人顧客に対して、顧客から提供された連絡先を、電機店のグループ内他社や委託先であるマーケティング会社に開示し、同社グループ内の様々な企業の商品を随時マーケティングする目的で開示することを含めて目的を通知している場合には、この電機店は十分に具体的な目的を述べていると考えられる反面、その電機店が、個人情報の利用・開示目的として「有効な事業目的のため」に使用され、開示される可能性があることのみを通知しているとすれば、この電機店は十分に具体的な目的を述べていないとされます。

 

Q.事業者が目的を個人に通知するにあたっては、どのような方法によることが推奨されますか。

 

個人情報が収集、使用又は開示される目的を本人に知らせることは、データ保護規定の目的のために同意を得るための重要な側面です。したがって、組織は、通知が明確でわかりやすく、適切な情報を提供し、容易にアクセスできるように努めなければなりません。

この点に関し、PDPCによれば、個人に対する目的の通知方法を検討する際には、事業者は以下のような点を考慮すべきであるとされます。

(a) 目的を確認するために、個人がどの記載に注意を向ければよいのかについて、見出しを明確に示し、個人を混乱させたり誤解させたりするような法律的又は難解な用語や表現を避け、理解しやすく、対象者に適した通知を作成すること。

(b) 最も重要な情報(目的の要約等)又は基本的な情報(事業者のデータ保護責任者(DPO)の連絡先等)をできるだけ目立つように、契約書の最初のページ等に掲載し、より詳細な情報を別の場所(事業者のウェブサイト等)に提供することで、階層ごとに記載すること。

(c) 目的に特別な事項が含まれていないかどうか、通常の取引当事者から見て予想外のものが含まれていないかどうかを考慮し、そのような目的が含まれている場合には、それらが適切な方法で強調されるべきかどうかを検討すること。

(d) 通知を提供するための最も適切なチャネルを選択すること(例えば、フォーマット書面、ウェブサイト上における書面、対面での口頭による通知等)。

(e) 通知の方針と実践の有効性と妥当性を定期的に見直すこと。

 

Q.個人情報の収集目的とは異なる目的での利用や開示は認められますか。

 

PDPCにおいても、事業者が本人に通知していない、又は本人の同意を得ていない目的のために個人情報を使用又は開示したい場合がありうることは否定していません。

この点、事業者がまだ本人に通知していない、若しくは本人の同意を得ていない目的で個人情報を利用又は開示しようとする場合には、事業者は、目的通知義務及び同意取得義務に基づき、その時点で目的を本人に通知し、同意を得る必要があります。

一方、新たな同意を得ることなく、特定の目的のために個人情報を利用又は開示することができるかどうかを判断する際には、以下の点を判断しなければならないとされています。

(a) その目的が、本人に通知した目的の範囲内であるかどうか、例えば、本人との既存の取引関係を事業者が処理するために必要な範囲内であるかどうか。

(b) 当該目的のための利用又は開示について、本人の同意があったとみなすことができるかどうか。

(c) 目的が PDPA第3条及び第4条の同意の例外に該当するかどうか。

目的が上記(a)から(c)のいずれにも該当しない場合は、新たな目的での利用・開示について、本人の再同意を得る必要があるということになります。

例えば、マッサージ店の顧客となっている個人に対し、そのメンバーシップの有効期間中に、グリーティングカードや店舗の年間ニュースレターを郵送する目的でその顧客の個人情報を使用することは、上記(a)項に該当して認められうると説明されています。これは、事業者が個人との既存の取引関係を維持するためのサービスの一環として、事前に同意を得ているはずであるためです。

一方で、そのマッサージ店の関連会社であるヘアサロンのプロモーションに関する情報を送信する場合には、上記顧客が契約していない新しいサービスを宣伝する情報を送信することになるため、上記(a)ないし(c)のいずれにも該当せず、事前に顧客の同意を得る必要がある可能性が高いと考えられます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

Older Posts »