• Instgram
  • LinkeIn
  • Lexologoy
トップページ
2022年07月05日(火)3:26 PM

中国個人情報保護法Q&A(第6回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第6回)

 

 

2022 年7月5日
One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A(第6回)

2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q:個人情報を第三者に開示することはできるのでしょうか?できる場合,どの様な義務があるのでしょうか。

狭義における第三者への開示とは,ある個人情報処理者が,他の個人情報処理者にその取り扱う個人情報を開示することを指す。これについて「個人情報保護法」は,個人情報処理者が法定条件を満たす前提のもと,他の個人情報処理者に個人情報を開示することを認めている。具体的には,以下の二つの状況である。

1.他の個人情報処理者に個人情報を提供する一般的な状況(23条)

「個人情報保護法」23条によれば,「個人情報処理者が他の個人情報処理者に自身が取り扱う個人情報を提供する場合,個人に受領者の名称又は氏名,連絡先,取扱い目的,取扱い方式及び個人情報の種類を通知しなければならず,かつ,個人の単独の同意を取得しなければならない。受領者は,前述の取扱い目的,取扱い方法及び個人情報の種類等の範囲内にて個人情報を取扱うものとする。受領者が元の取扱い目的,取扱い方法を変更する場合,本法の規定に基づき,改めて個人の同意を取得しなければならない。」

ここから分かるとおり,「個人情報保護法」は,他の個人情報処理者に個人情報を提供する一般的な状況において,なおも「通知・同意」のルールを遵守するよう明確に定めており,個人に受領者の名称又は氏名,連絡先,取扱い目的,取扱い方法及び個人情報の種類を通知し,かつ,個人の「単独」の同意を取得しなければならない。

受領者にとっては,前述の個人の単独の同意を取得した目的,方法及び種類に基づき個人情報を取り扱わなければならず,個人からの同意を取得せずにいかなる変更もしてはならない。

注意を要するのは,「サイバーセキュリティ法」42条及び「民法典」1038条も個人の同意を取得せずに他人に個人情報を不法に提供してはならないと規定しているが,そこでは「加工を通じて特定個人を識別不可能にし,かつ,復原不可能にした場合は除外する」,すなわち,匿名化された個人情報は除外すると強調している点である。「個人情報保護法」は,これらの法律のようにこの例外状況を強調してはいないが,「個人情報保護法」は匿名化処理された情報は個人情報に該当しないと明記している(第2回記事を参照)。よって,「個人情報保護法」施行下においても,その他の個人情報処理者に匿名化処理された個人情報を提供することは本条の規制を受けないと言え,上記の各法律からの実質的な変更はしていない。

このほか,受領者が中国国外の第三者である場合,個人情報の越境提供にかかわることになる。そこで,本法23条のほか,個人情報越境提供に関連する規定も遵守しなければならない。この点については,具体的には次回以降記事を参照されたい。

2.合併,分割,解散,破産宣告を受けた等の原因により個人情報を移転する特殊な状況(22条)

「個人情報保護法」22条によれば,「個人情報処理者が合併,分割,解散,破産宣告を受けた等の原因により個人情報を移転する必要があるとき,個人に受領者の名称又は氏名及び連絡先を通知しなければならない。受領者は引続き個人情報処理者の義務を履行するものとする。受領者が元の取扱い目的,取扱い方法を変更する場合,本法の規定に従い改めて個人の同意を取得しなければならない。」すなわち,

(1) 個人情報処理者に合併,分割,解散,破産宣告を受ける等の法定状況が発生し,個人情報を移転せざるを得ない場合のみ本条が適用される。これらの状況を除き,原則として他の個人情報処理者に個人情報を移転するときは,1.で論じた一般状況が適用される。

(2) 元の個人情報処理者は個人に対し通知義務を負うのみで,個人の同意を取得する必要はない。通知すべき内容は,受領者の名称又は氏名及び連絡先である。

(3) 個人情報を受領する個人情報処理者は,受領者として元の個人情報処理者の権利と義務を承継する。「個人情報保護法」14条2項に基づき一般の個人情報処理者が個人情報取扱いについて変更しようとするときの条件と同じく,受領者が元の個人情報処理者から取得した個人情報の取扱い目的,取扱い方法の変更を希望する場合,改めて個人の同意を取得しなければならない。

広義の第三者への開示は,個人情報処理者以外の第三者に開示する状況も含まれ,個人情報の公開,及び受託者への個人情報の委託を含む。前者について,「個人情報保護法」25条は,個人の単独の同意を取得した場合を除き,個人情報処理者は個人情報を公開してはならないと明確に定めている。後者については,「個人情報保護法」の規定に適合すれば,第三者に個人情報の取扱いを委託することができる。具体的には次回以降記事を参照されたい。

また、狭義の第三者への開示か広義の第三者への開示かにかかわらず,「個人情報保護法」55条によれば,個人情報処理者が個人情報の取扱いを第三者に委託する場合,他の個人情報処理者に個人情報を提供する場合、又は個人情報を公開する場合には,個人情報処理者は事前に個人情報保護に及ぼす影響を評価する義務を負う。具体的には第3回記事を参照されたい。

Q:個人情報を保管するにあたって,どのような義務があるでしょうか。また,保管期間についての制限はあるのでしょうか。

 個人情報の保管にあたって,個人情報処理者は,大きく分けて,1.セキュリティ保護義務及び2.保管期間に関する制限を受ける。

1.個人情報に対するセキュリティ保護義務(51条)

個人情報処理者は個人情報を保管するとき,セキュリティ保護義務を負わなければならない。個人情報処理者は個人情報を保護する第一の責任者である。個人情報処理者はその個人情報処理活動に対し責任を負い,かつ,その取り扱う個人情報の安全を保護するために必要な措置を講じる必要がある。

「個人情報保護法」51条によれば,「個人情報処理者は個人情報の取扱い目的,取扱い方法,個人情報の種類及び個人の権益に与える影響,存在しうるセキュリティリスク等に基づき,以下に掲げる措置を講じて個人情報取扱い活動が法律,行政法規の規定に適合することを確保し,かつ,未授権のアクセス及び個人情報の漏洩,改竄,逸失を防止する。」とされる。同条は,具体的に以下の措置を明記している。

(1) 内部管理制度及びそのオペレーション規程を制定する。

(2) 個人情報に対し分類管理を実施する。

(3) 相応の暗号化,非識別化等の安全技術措置を講じる。

(4) 個人情報取扱いの操作権限を合理的に確定し,従事者に対するセキュリティ教育と研修を定期的に実施する。

(5) 個人情報セキュリティ事件の応急対策案を制定し実施を手配する。

(6) 法律,行政法規が規定するその他の措置

「個人情報保護法」が発布されるまで,実務において比較的高い参考価値があった「個人情報安全規範」も個人情報の保管に対する要求を定めている。同規範6.2条は個人情報処理者が個人情報を収集した後,直ちに非識別化処理を行い,かつ,技術的措置及び管理面の措置を講じて個人情報の安全を保障することを要求した。同6.3条は,敏感個人情報について,暗号化等のセキュリティ措置を講じ,かつ,個人生体識別情報と個人身分情報は分けて保管することを要求した。これらの要求と「個人情報保護法」が要求する措置は矛盾せず,かつ,個人情報に対し分類管理を実施するという措置は細分化されたと言える。

「法律,行政法規が規定するその他の措置」については,今後,個人情報保護領域の法規,規則が発布される可能性があるほか,サイバーセキュリティ,データセキュリティ等その他の領域の立法における措置,要求にも注意する必要がある。例えば,「サイバーセキュリティ法」21条は,ネットワーク運営者はサイバーセキュリティ等級保護制度の要求に基づき,「コンピュータウィルス及びサイバー攻撃,ネットワーク侵入等サイバーセキュリティに危害を及ぼす行為から防御する技術的措置」,「ネットワーク運行状況,ネットワークセキュリティ事件をモニタリング,記録する技術的措置を講じ,かつ規定に基づき関連するネットログを6ヶ月以上保管する」等を含む法定のセキュリティ保護義務を履行し,ネットワークが干渉,破壊又は未授権のアクセスを受けることがないよう保障し,ネットワークデータの漏洩,窃取,改竄されることを防止するよう規定する。個人情報処理者がネットワークを通じて個人情報を保管するとき,「サイバーセキュリティ法」及び関連する規則,標準の要求する措置を講じなければならない。

セキュリティ保護義務のほか,保管する個人情報に漏洩,改竄又は逸失が生じたとき,個人情報処理者は,救済措置,個人への通知,個人情報保護職責履行部門への通知等を含む応急対応義務を負わなければならない(詳細は次回以降記事を参照されたい)。

2.保管期間に関する制限

「個人情報保護法」は必要最小限度の原則を適用し,6条1項は「個人情報の取扱いは,明確,合理的な目的を備えなければならず,かつ,取扱い目的と直接関係し,個人の権益に及ぼす影響が最小の方法を採用しなければならない。」と規定する。個人情報の保管期間にもこの原則が適用される。

「個人情報保護法」19条は,「法律,行政法規に特段の規定がある場合を除き,個人情報の保管期間は取扱い目的を実現するために必要な最短時間とする。」と規定している。「取扱い目的を実現するために必要な最短時間」を判断する要素は,目下のところ不明確である。

上記「法律,行政法規に特段の規定がある場合」については,各種の法律法規に散見される。例えば,「労働契約法50条」は,解除又は終了した労働契約書本文を少なくとも2年保存して照会に備えることを雇用主に要求しており,当該契約には必然的に労働者個人の個人情報が含まれる。よって,このとき労働関係が終了していても,雇用主である個人情報処理者は,労働者の個人情報を取扱う必要性はほぼないが,法律上はなおも労働者の関連個人情報を少なくとも2年間は保管することが雇用主に要求される。また,業界及び領域によっては,個人情報保管期間について特殊な要求が設けられることもある。例えば「電子商取引法」31条は,電子商取引プラットフォーム経営者に対し,取引完了日から起算して3年間は取引情報を保管することを要求している。また「与信業管理条例」16条は,与信機構による個人不良情報の保管期間は不良行為又は事件が終了した日から起算して5年とし,5年を超過したときは削除することを明確に規定している。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2022年05月26日(木)3:02 PM

中国個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第5回)

 

 

2022 年5月26日
One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A(第5回)

2022年夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q:個人情報を本人からではなく,第三者等から間接的に取得することはできるのでしょうか。できる場合はどのような義務を負うのでしょうか。

個人情報を第三者等から間接的に取得することは可能であるが,個人情報の受領者としては,以下1ないし3の義務を負わなければならない。

1.情報源の合法性の確認

個人情報の受領者として,間接的に個人情報を受領したときは,「個人情報安全規範」5.4条e)の要求に基づき,次のような取扱いをしなければならない。

(1)     個人情報提供者に個人情報の情報源の説明を求め,個人情報の情報源の合法性について確認を行わなければならない。

ここにいう確認を必要とする情報源の説明とは,個人の「通知・同意」を経たか否か,または公開情報に対する合理的な範囲内の取扱い等の個人の同意を取得する必要のない行為に属するか否か等,個人情報が適法に取得できる状況において取得されたか否かに関する説明であると考えるべきである。

(2)     個人情報の提供者は,取得した個人情報の取扱いの授権・同意の範囲を確認しなければならず,これには使用目的,個人が第三者へ提供する方法と範囲を授権・同意したか等を含む。

第三者に個人情報を提供する必要のある個別の状況において,具体的に取得すべき同意の内容は,次回以降記事に述べる個人情報処理者が第三者に個人情報を開示する際の義務を参考にすることができる。

(3)     業務を展開するために必要な個人情報の取扱い活動が授権・同意の範囲を超えるとき,個人情報を取得してから合理的な期限内,又は個人情報を取り扱う前に,個人の明確な同意を取得するか,又は個人情報の提供者を通じて個人の明確な同意を取得しなければならない。

2.個人が授権に同意する範囲と提供者が約定する範囲内に限り,個人情報を取り扱うこと。

「個人情報保護法」の規定によれば、具体的に以下を含む。

(1)     個人情報処理者の委託を受けて,個人情報の取扱いを受託する受託者(受領者)は,双方の約定に基づき個人情報を取り扱わなければならず,約定された取扱目的,取扱方法等を超えて個人情報を取扱ってはならない。(21条)

(2)     個人情報処理者の合併・分割・解散・破産宣告等により個人情報を移転するときは,受領者は元の個人情報処理者が負う義務を引続き履行しなければならない。(22条)

(3)     個人情報処理者がその他の個人情報処理者に,取り扱った個人情報を提供するときは,受領者は個人が単独で授権・同意した範囲内(取扱目的,取扱方法,個人情報の種類等)においてのみ,個人情報を取り扱うものとする。(23条)

3.法に従い個人情報を保護する措置を講じること。

「個人情報保護法」51条は,個人情報処理者が指定された措置を講じて個人情報の取扱活動が法律・行政法規の規定に合致するよう確保し,授権を得ずに個人情報にアクセスし,又は個人情報が漏洩・改竄・逸失することを防止するよう定めている。

個人情報取扱いの受託について,個人情報の取扱活動に関して自主的に取扱目的,方法を決定しない受託者に対し[1],「個人情報保護法」59条は,必要な措置を講じて取扱う個人情報の安全を保障するとともに,個人情報処理者の法定義務の履行に協力する義務を定めた。よって,間接的に個人情報を取得した受領者はいずれも,個人情報を保護する措置を講じる義務を負う。措置の詳細は第3回記事を参照されたい。

Q:個人の同意なく個人情報を取得できる場合はありますか。

「個人情報保護法」13条第1項2号から7号[2]においては,個人の同意を取得することなく[3],個人情報を直ちに取り扱うことが可能な状況を規定している。

1.個人を当事者の一方とする契約に必要であり,又は法により制定された労働規則制度及び法により締結された集団契約に基づき人事管理を実施するために必要な場合(2号)

2.法定の職責又は法定の義務を履行するために必要な場合(3号)

3.突発的な公共衛生事件に対応するため,又は緊急事態において自然人の生命・健康,財産の安全を保護するために必要な場合(4号)

なお,後者については,同意は必要ないものの,「個人情報保護法」18条2項によれば,「緊急事態のもと,自然人の生命・健康及び財産の安全を保護するため,速やかに個人に通知することができないときは,個人情報の処理者は緊急事態が解消された後,速やかに通知しなければならない。」

4.公共利益のためニュース報道,世論監督等の行為を実施し,合理的な範囲内において個人情報を取り扱う場合(5号)

この点,中国「民法典」999条も,「公共利益のためニュース報道,世論監督等の行為を行うとき,民事主体の氏名,名称,肖像,個人情報等を合理的に使用することができる。不合理な使用により民事主体の人格権を侵害したとき,法により民事責任を負わなければならない。」と規定している。

5.本法の規定する合理的な範囲内において個人が自ら公開し,又はその他の既に合法的に公開された個人情報を取扱う場合(6号)

「個人情報保護法」27条[4]は,同意を取得せずに「公開」の個人情報を取り扱うことができる二つの例外状況として,個人がその個人情報の取扱いを明確に拒絶した場合,及び当該公開された個人情報を取扱うことが個人の権益に重大な影響を与える場合,を規定している。これらの場合,なお法により個人の同意を取得しなければならない。

6.法律,行政法規の規定するその他の状況(7号)

Q:個人情報を,処理・加工するに際して,どのような義務があるでしょうか。

「個人情報保護法」においては,「加工」[5]は個人情報の取扱い行為の一つとして明確に列記されているが,「加工」自体について詳細に定めた規定は存在しない。

この点に関し,中国における学術上の見解によれば,データに対する加工処理行為には,データ集積処理とデータ分析処理が含まれるとするものがある[6]。データ集積処理とは,特定の目的に基づきデータを収集,整理,分類し,生のデータを加工して使用価値を有するデータセット(datasets)にすることである。一方,データ分析処理とは,データに対し深い加工処理を施し,分析対象の規律を発見又は将来的な趨勢を予想し,データから新たな知識,新たな発見をし,予測判断又は解決案を導き出すことである。自動化された意思決定は,典型的なデータ分析処理行為である。

「個人情報保護法」24条は,個人情報処理者が個人情報を利用して自動化された意思決定を行う際の義務も規定している。具体的には以下の義務を含む。

1.意思決定が明確であり,結果が公平,公正で,個人の取引価格等,取引条件に対し不合理な差別待遇をしてはならない。

2.個人に対し情報のプッシュ送信,商業マーケティング活動を行うとき,その個人的特徴に基づかない選択項目を同時に提供し,又は個人が簡便に拒絶しうる手段を提供しなければならない。

3.自動化された意思決定[7]の方法を通じて個人の権益に重大な影響を与える決定をするとき,個人は個人情報処理者に説明を要求する権利を有し,個人情報処理者が自動化された意思決定の方法のみを通じて決定を下すことを拒絶するための方法が提供されるべきである。

なお,当然ながら,個人情報処理者が加工行為に従事するときは,個人情報にかかるセキュリティ保護義務等を遵守し,個人情報処理者としての日常管理義務を貫かなければならない。詳細は第3回記事を参照されたい。

[1] なお,「個人情報保護法」73条によれば,個人情報処理者とは,個人情報を取り扱う活動において処理目的,取扱方法を自主的に決定する組織,個人を指す。よって,個人情報処理者の委託を受けて,その要求に基づき個人情報を取扱うのみの受託者は,本法の定義する個人情報処理者には該当しないと理解すべきである。

[2] 「個人情報安全規範」5.6条も,個人の同意を取得する必要なく直ちに個人情報を取り扱うことができる状況を規定しており,「個人情報保護法」第13条と矛盾しない。但し,分類にはいくらかの相違がある。例えば,b)~d)にて,「国家安全,国防安全」「公共安全,公共衛生,重大な公共の利益」「刑事捜査,起訴,裁判及び判決執行等」と直接関係する状況としているが,「個人情報保護法」では第3号と第4号によりこれらの内容が網羅されている。

[3] 「個人情報保護法」4条2項によれば,個人情報の取扱には,個人情報の収集,保存,使用,加工,伝送,提供,公開,削除等が含まれる。

[4]「個人情報保護法」27条によれば,「個人情報処理者は,合理的な範囲内において個人が自ら公開した,又はその他のすでに合法的に公開された個人情報を取扱うことができるが,個人が明確に拒絶する場合はこの限りでない。個人情報処理者が公開された個人情報を取扱うことで,個人の権益に重大な影響を与える場合,本法規定に基づき個人の同意を取得しなければならない。」

[5]「個人情報保護法」の中の“処理(漢字)”は,本Q&Aにおける“取扱い”に相当し,その概念は“加工”より広く,本Q&Aにおける“処理”は狭義の“加工”の理解に近い。

[6] 高富平「データ生産理論——データリソース権利配置の基礎理論」,「交大法学」2019年第4期,第12~14頁。

[7] 自動化された意思決定とは,コンピュータプログラムにより個人の行動習慣,趣味・趣向又は経済,健康,信用状況等の評価を行い,自動的に意思決定がなされる活動を指す。ビッグデータの分析により関連行為について意思決定することであり,例えば,ビッグデータの分析に基づき個人に向けて商業情報、販促情報等をプッシュ送信すること等である。実務において多くみられる「ビッグデータを活用した価格差別」は,典型的な自動化された意思決定の方法である。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2022年05月05日(木)8:11 PM

中国個人情報保護法Q&A(第4回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第4回)

 

 

2022 年5月5日

One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A(第4回)

2022年初夏、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q:個人情報を取得するに際して,通知または同意取得の義務はありますでしょうか。通知または同意取得の義務があった場合,どのような形式で通知または同意取得をしなければならないでしょうか。また,未成年者からの個人データの取得に関する規制があれば教えてください。

1.法定の例外事由を除き,原則として「通知・同意」の義務がある。

GDPR及び他の国際的なルールと同じく,中国の個人情報の取扱いも「通知・同意」によることを原則としている。

すなわち,「個人情報保護法」17条は,個人情報処理者は個人情報を取り扱う前に通知する義務があると明確に規定した。一方で,「個人情報保護法」はいくつかの例外事由を規定し,通知義務を履行しなくても良い場合を定めている。具体的には次の通りである。

(1)法律,行政法規により秘密保持又は通知不要と定められている場合(18条1項)

(2)通知すると国家機関の法定職責の履行を妨げるとき(35条)

(3)緊急事態において自然人の生命・健康と財産の安全を保護するため,速やかに個人に通知することができないとき。但しこの場合,事前に通知しなくてよいが,緊急事態が解消されてから速やかに通知しなければならない。(18条2項)

また,「個人情報保護法」13条は,「個人の同意を取得」することを,個人情報取扱いの合法性の基礎の一つとしており,個人情報処理者は,所定の例外事由(次回以降記事を参照)がある場合を除き,個人の同意を取得しなければならない。なお,個人の同意を取得する必要のない個人情報の取扱いの際に事前通知を必要とするか否かについては,「個人情報保護法」は言及しておらず,今後,立法による明確化が待たれる。

原則として,前述の法定事由を除き,個人情報処理者は個人情報を取得又は個人情報を取扱う前に,法により個人に通知し,個人の同意を取得しなければならない。

2.「通知・同意」の形式

第1回記事のとおり,中国において「サイバーセキュリティ法」「データセキュリティ法」と「個人情報保護法」は個人情報保護領域における最も重要な三つの法律である。但し,これらの法律は主に枠組みとしての役割を果たすものにすぎず,個人情報保護全体に関する法令スキームにはその他の法規,部門規章及び標凖が数多く存在する。なお,目下のところ,政府の監督管理部門は法執行の際の実務において,通常は国家推薦標凖である「個人情報安全規範」を参考にしている[1]

(1)通知の内容

「個人情報保護法」17条によれば,個人情報処理者は,個人情報を取扱う前に,目立つ方法,明瞭かつ分かりやすい言葉で,真実に基づき,正確,完全に,以下の事項を個人に通知しなければならない。関連事項に変更が発生したときは,変更後の内容を通知しなければならない。

①個人情報処理者の身分と連絡先

②個人情報を取り扱う目的,取扱い方法,取り扱う個人情報の種類,保管期間

③個人が「個人情報保護法」所定の権利を行使する方法と手続き

④法律,行政法規が定める通知すべきその他の事項

なお,「敏感個人情報」(定義は第2回記事を参照)については,「個人情報保護法」30条に基づき,前記の事項のほか,個人に敏感個人情報を取扱う必要性及び個人権益に対する影響を通知しなければならない。

(2)通知の方法

「個人情報保護法」17条に基づき,前記の通知内容は目立つ方法にて,明瞭かつ分かりやすい言葉で,真実に基づき,正確,完全に通知しなければならないとされている。「個人情報安全規範」5.4条を参照すると,通知方法は主に以下の二種類がある。

①個人情報保護ポリシー(すなわち「個人情報保護法」17条2項の取扱規則)による方法

「個人情報安全規範」5.4条a)の注1は,製品又はサービスが個人情報を収集・使用する機能を一つのみ提供するとき,個人情報処理者[2]は個人情報保護ポリシーの形式を通じて,個人情報主体への通知を実現することができる。

②特定の個人情報の収集を実際に開始するとき,単独で通知する方法

ポップアップウィンドウ等による通知は,よく見られる単独の通知(及び同意取得)の方法である。「個人情報安全規範」5.4条a)注1によると,製品又はサービスが個人情報を収集・使用する複数の機能を提供するとき,個人情報保護ポリシーのほか,個人情報処理者は,実際に特定の個人情報の収集を実際に開始する時点で,個人情報主体に個人情報を収集,使用する目的,方法および範囲を通知し,個人情報主体が具体的な授権・同意をする前に,その具体的な影響を十分に考慮できるようにしなければならない。

このほか,一部の法律,行政法規又は標凖により,単独での通知を要求される個人情報については,単独で通知しなければならない。例えば,「個人情報安全規範」5.4条c)は,「個人生体識別情報[3]を収集する前に,個人情報主体に単独で,個人生体識別情報を収集,使用する目的,方法と範囲,保存期間等の規則を通知し,個人情報主体の明示的な同意を得なければならない。」と規定する。

(3)同意の要求

①原則的要求

「個人情報保護法」14条によれば,個人の同意に基づき個人情報を取り扱うとき,かかる同意は個人が十分に内容を知ったうえで,自発的かつ明確に同意したものでなければならない(1項)。また,個人情報の取扱目的・取扱方法・取扱う個人情報の種類に変更が生じたときは,個人の同意を改めて取得しなければならない(2項)。

②特別な要求

「個人情報保護法」14条1項は,法律,行政法規において,個人情報を取扱うにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき,その規定に従うと定める。本条に列記される単独の同意と書面による同意という二つの特別な同意形式のほか,実務上は,明示的な同意が要求される場合がある。これらは,主に以下の状況において適用される。

・敏感個人情報を取扱うとき

「個人情報保護法」29条及び「個人情報安全規範」5.4条b)[4]を総合的に考えると,敏感個人情報については,「単独の同意+明示的な同意」を取得し,かつ,法律,行政法規に特段の要求があるときは,書面の同意も取得しなければならない。

このうち,「明示的な同意」とは,「個人情報安全規範」において提起された概念であり,同規範3.6条の定義によれば,明示的な同意(explicit consent)とは,個人が書面,口頭等の方法を通じて主体的に紙面又は電子形式にて声明を発し,又は自主的に肯定的な動作をし,その個人情報に対して特定の取扱いをすることを明確に授権する行為を指す。肯定的な動作には,個人情報主体が主体的に,「同意」,「登録」,「送信」,「電話をかける」等をチェック,クリックする,主体的に記入又は提供すること等を含む。「個人情報保護法」は,「明示的な同意」という要求を明確には提起していないが,個人が「自発的かつ明確」に同意することを要求しており,今後の法律,行政法規等に明確に規定される場合を除き,なお「明示的な同意」の要求が適用される。

・個人情報を特定の用途に使用するとき

「個人情報保護法」には,以下の方法により個人情報を取り扱う場合には,個人の単独の同意を取得しなければならないと規定されている。

a)取り扱う個人情報を公開する必要があるとき(25条)

b)公共の場所に画像を採集し,個人の身分を識別する設備を設置し,かつ,その収集した個人の画像,身分の識別情報を公共の安全を維持する目的以外の目的に使用するとき(26条)

c) 取り扱っていた個人情報を,その他の個人情報処理者に提供する必要があるとき(23条)

d)国外に向けて個人情報を提供する必要があるとき(39条)

3.未成年者の個人情報取得に関する特別規定

中国の未成年者に対する一般法「未成年者保護法」においては,「未成年者」は「18歳未満の公民」と定義されている。但し,個人情報保護の問題にかかるときは,法律上「14歳未満」のみを特殊な保護を受ける未成年者として規定している。

(1)適用法律の枠組み

未成年者の個人情報保護特別規定は,主に以下の法律又は部門規章により規定されている。

①「未成年者保護法」

「未成年者保護法」の最新の改正(2021年6月1日発効)においては,「ネットワーク保護」の章が設けられ,その72条は,ネットワークを通じて未成年者の個人情報を取り扱う行為を規制し,後見人の知悉及び同意を取得すべき未成年者の年齢基準を14歳に設定し,かつ,未成年者及びその父母,その他の後見人が個人情報処理者に個人情報を是正,削除を要求する権利を有することを明確にした。

②「個人情報保護法」

「個人情報保護法」28条は,「14歳未満の未成年者の個人情報」は敏感個人情報に属すると規定し,31条において,未成年者の父母又はその他の後見人の同意を取得し,専門の個人情報取扱規則を制定する要求を規定した。

③「児童個人情報ネットワーク保護規定」

①②の法律は主に原則的な規定であるが,具体的な要求としては「児童個人情報ネットワーク保護規定」(2019年8月22日発布,2019年10月1日発効)により規制される。本規定は中国初の児童個人情報のネットワーク保護に対する専門の法規である。同規定にいう「児童」とは14歳未満の未成年を指す。

曖昧さを避けるため,本書において「児童」とは,特殊な保護を受ける14歳未満の未成年を指すものとする。

(2)児童個人情報の「通知・同意」

児童の特殊性により,児童本人ではなく,その後見人に対し「通知・-同意」を実施する。

「児童個人情報ネットワーク保護規定」8条から10条は,児童の特殊性により,ネットワーク運営者(個人情報処理者)は,専用の児童個人情報保護規則及びユーザー合意書を設置しなければならず,明瞭かつ目立つ方法で,その個人情報の取扱いを児童の後見人に通知し,児童の後見人の同意を取得しなければならない。児童の後見人の同意を求めるとき,同時に拒否する選択を与え,以下の事項を明確に通知しなければならない。

①児童の個人情報を収集,保存,使用,移転,開示する目的,方法及び範囲

②児童の個人情報の保存場所,期間,期間満了後の取扱方法

③児童の個人情報のセキュリティ保護措置

④拒絶することによる結果

⑤クレーム,通報のルートと方法

⑥児童の個人情報を是正,削除する経路と方法

⑦その他の通知すべき事項

これと同時に,「個人情報保護法」が,児童の個人情報は敏感個人情報に属すると明確に規定したことに鑑み,個人情報処理者は,上記の規定と同時に,敏感個人情報の「通知・同意」の要求も遵守しなければならない。

このほか,「児童個人情報ネットワーク保護規定」2条は,同規定が,中国国内においてネットワーク媒体を通じて児童の個人情報を収集,保存,使用,移転,開示する活動に従事する場合のみに適用される旨を明確に規定した。但し,「個人情報保護法」は国外における効力を明確にしたため,国外での行為が本規定の明確な適用範囲内に属さないとしても,国外における行為の関連規定が発布されるまでは,中国の児童を対象として個人情報を取扱う国外企業も,当該規定を参照した上でコンプライアンスに関する対処を行うほうが無難であると思われる。

4.「通知・同意」以外の制限

敏感個人情報について,「個人情報保護法」は個人の「通知・同意」の取得のほか,その他の要求も規定している。

すなわち,「個人情報保護法」28条2項は,「特定の目的と十分な必要性があり,かつ,厳格な保護措置を講じた場合にのみ,個人情報処理者は敏感個人情報を取扱うことができる。」と規定している。つまり,個人情報処理者が不必要な敏感個人情報を収集した場合には,当該敏感個人情報の取扱いにおいて法により「通知・同意」の義務を履行したとしても,「個人情報保護法」に違反する恐れがあるため特に注意が必要である。

また,児童の個人情報について,「児童個人情報ネットワーク保護規定」11条も,個人情報処理者は,「提供するサービスに関係のない児童の個人情報を収集してはならない」と規定しており,「個人情報保護法」の必要性の原則と同様の定めとなっている。

 

[1]「個人情報安全規範」の最新版は2020年の制定であり,かつその中の要求と「個人情報保護法」は(矛盾がないが)完全には一致しないことに鑑み,今後更に改正「個人情報安全規範」又は具体的な実施細則が発布される可能性がある。

[2]「個人情報安全規範」における原文は,「個人情報支配者」(controller)であり,定義はGDPRにおける「管理者」(controller)及び「個人情報保護法」における「個人情報処理者」と同じである。用語統一のため,ここでは「個人情報保護法」における表現に改める。

[3]「個人情報安全規範」5.4条c)注3の規定によれば,個人生体識別情報には,個人の遺伝子,指紋,声紋,掌紋,耳殻,網膜,顔識別特徴等が含まれる。

[4] そのうち,「個人情報保護法」29条は,「敏感個人情報を処理するにあたり個人の単独の同意を取得しなければならない。法律,行政法規において,個人情報を処理するにあたり個人の単独の同意又は書面による同意を取得しなければならないと規定されるとき,その規定に従う。」と規定し,「単独の同意」と特別要求時の「書面による同意」を要求する。「個人情報息安全規範」5.4条b)は,明示的な同意を要求することを提起したのみである。c)は,個人生体識別情報について「単独の通知+明示的な同意」の要求を提起し,実際の操作を結びつけると「単独+明示的」な同意を要求すると理解すべきである。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2022年02月02日(水)3:08 PM

シンガポール個人情報保護法Q&A(第16回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第16回)

 

2022年2月2日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第16回)

2022年春、弊所からは、本稿や中国の個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 違反事例通知義務(Data Breach Notification Obligation)が生じる場合の通知にあたっては、他にどのような点に留意すべきですか。

(1)通知の際のタイムフレーム

ガイドラインによると、万が一、個人情報に関する漏洩事故が発生し、通知が必要と判断された場合の通知に関するタイムフレームは次の通りです。

(a) PDPCに対しては、可能な限り速やかに、ただし、いかなる場合でも、通知が必要と判断された日の翌日から3日以内[1]

(b) 個人に対する通知も必要と判断された場合、可能な限り速やかかつPDPCへの通知と同時、又は通知後

上記の通り、PDPC及び/又は影響を受ける個人への通知のためのこれらの期限は、その漏洩事故が通知可能であると事業者が判断した時点から開始されます。この通知が不当に遅れた場合には、違反事例通知義務違反となり、また事業者は、通知が遅れた理由を証拠とともに明示することが求められます。通知が遅れた理由は、事業者の違反事例通知義務違反の重大性に関係し、その結果、事業者に課される罰則の内容や厳格性に関係する可能性があるため注意が必要です。

 ただし、漏洩事故の発生後、事業者が適切なタイミングで是正措置を講じた結果、その事故が影響を受ける個人に重大な損害を与える可能性が低くなった場合等には、個人に対する通知義務は不要となり得ます。また、ガイドライン上、漏洩事故が発生した場合でも、個人情報保護の暗号化、パスワード保護等、技術的はセキュリティ対策を適切に行っていたことにより、一般的に無権限者がそれらの個人情報にアクセスできない状態になっていたような場合でも、個人に対する通知義務は不要となり得るとされています[2]

一方で、上記のような場合でも、PDPCに対する通知義務は免れません。

(2)PDPCへの通知に含まれるべき内容

 PDPC及び/又は影響を受ける個人に対して通知を行う場合、事業者は、知りうる限りできるだけ詳細な情報を提供すべきことが求められています。また、通知には、事業者の個人情報管理及び是正計画に関する情報も含める必要があります[3]。PDPCに対する具体的な通知先としては、PDPCウェブサイト(https://eservice.pdpc.gov.sg/case/db)であり、また重大なケースの緊急通知については、営業時間内であれば、PDPC窓口(+65 6377 3131)に直接に連絡することも可能です。

 PDPCに対して通知すべき内容に関する具体的な事項は、次の通りです。

(a) 漏洩事故に関する事実状況

(i) 当該事故が発生したことを事業者が初めて認識した日及びその状況

 (ii) 当該事故が発生した経緯

 (iii) 当該事故により影響を受けた個人の数

 (iv) 当該事故により影響を受けた個人情報の内容、又はその類型

 (v) 当該事故害の結果、影響を受ける個人に対する潜在的な損害

(b) 当該事故への対応

 (i) 事故の発生を認識した後に事業者がとった措置の時系列的説明(通知が必要であると判断するに至ったセルフアセスメントの内容を含む)

 (ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報(影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等)

 (iii) 当該事故の発生及び影響を受ける個人に対してあり得る損害をどのように除去又は軽減するかに関する計画(一般用語による表現で足りる)

(c) 事業者の連絡先情報

 (i) 事業者の少なくとも1名の正式な代表者の連絡先(代表者がDPOである必要はない)

以上のほか、事業者が影響を受ける個人に通知する必要がないと判断した場合には、PDPCへの通知にあたり、その理由も明示する必要があります。

(3)影響を受ける個人への通知に含まれるべき内容

事業者は、影響を受ける個人への通知にあたっては、以下の情報を含めるべきとされています。

(a) 漏洩事故に関する事実状況

 (i) 当該事故が発生したことを事業者が最初に認識した状況

 (ii) 当該事故の影響を受けた、又は影響を受ける個人に関する個人情報の内容、又はその類型

(b) 当該事故への対応

(i) 当該事故により影響を受ける個人が被る可能性のある損害

(ii) 通知の前後を問わず、事業者が当該事故の発生後に事業者がとった行動に関する情報(影響を受ける個人に対する潜在的損害を除去又は軽減するための行動、当該事故の原因と考えられる障害・欠陥に対する対処又は是正内容等)

 (iii) 事故により生じる潜在的損害を除去又は軽減するため、当該影響を受ける個人が取り得る措置

(c) 事業者の連絡先情報

 (i) 事業者の少なくとも1名の正式な代表者の連絡先(代表者がDPOである必要はなく、PDPCへの通知の際に記載した代表者と同じでなくても良い)

影響を受ける個人への通知は、明確かつ容易に理解できるものでなければなりません。また、これには、漏洩事故により生じ得る潜在的損害から自身を保護するため、影響を受ける個人が取るべき手段についてのガイダンスも含まれていなければなりません。個人が幼少な場合等においては、事業者は、漏洩事故の対象となった個人の両親又は保護者に通知する必要があります。

また、漏洩された個人情報がセンシティブな内容を含み、個人の特定がなされることが不都合と考えられる場合、事業者はまずPDPCに通知し、影響を受ける個人への通知に関する指導を仰ぐべきであるとされます。

もっとも、事業者は、影響を受ける個人に送られるべき通知内容をPDPCに提供する必要はないとされています。

[1] 例えば、1月1日に通知が必要と判断された場合には、1月4日までにPDPCに通知しなければなりません。

[2] このようなセキュリティ対策が十分か否かの判断にあたっては、事業者の属する業界の一般的な慣行に照らして商業的に妥当と言えるか否か、セキュリティ対策の選択肢の利用可能性及び費用水準等も考慮することができるとされています。

[3] 詳細については、Personal Data Protection (Notification of Data Breaches) Regulations 2021(https://sso.agc.gov.sg/SL-Supp/S64-2021/Published/20210129?DocDate=20210129)をご参照ください。

                                                                                                                      以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2022年01月11日(火)11:44 AM

中国個人情報保護法Q&A(第3回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第3回)

 

 

2022 年1月11日

One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A(第3回)

2022年春、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q:個人情報保護法の適用が免除される個人・法人等があるのであれば,教えてください。政府関係の機関(公立学校,公立病院)や政府系企業が保有する個人情報の取扱いに関しても個人情報保護法が適用されるのですか。 

「個人情報保護法」上,同法3条の規定する活動を行っているにも関わらず同法の適用を免除されるような類型の個人・法人は存在しない。但し,「個人情報保護法」72条では,「自然人が個人的な,または家庭にかかわる都合で個人情報を取り扱う場合には,本法を適用しない。」と規定され,これが唯一の適用外の規定となっている。

国家機関については,「個人情報保護法」2章3節に単独で「国家機関の個人情報取扱いの特別規定」の章節が設けられている。本章節は,国家機関が個人情報を取扱う際にも「個人情報保護法」が適用されることを明確にすると同時に,次のような,国家機関に対する特別規定も規定している。

1.個人情報を法定手続きに従って取扱わなければならず,かつ,その取扱いが法定職責に必須の範囲と限度を超えてはならない。(34条)

「個人情報保護法」34条は,「国家機関が法定職責を履行するため個人情報を取扱うとき,法律・行政法規の規定する権限・手続きに従わなければならず,法定職責の履行に必要な範囲と限度を超えてはならない。」と規定した。つまり,国家機関が法定職責に必須の範囲と限度を超えて個人情報を取扱うとき,たとえ「通知・同意」のステップを履行していても,違法な取扱いとなる可能性がある。

2.第18条の状況のほか,個人に対する通知が国家機関の法定職責の履行の妨げとなる場合には,通知義務を履行しなくてよい。(35条)「個人情報保護法」35条は,国家機関も通知義務を履行すべきことを明確にしたが,通知義務を行使する必要のない状況も列記している。「個人情報保護法」
(1)18条1項の状況があるとき。すなわち,「法律,行政法規に秘密を保持するものと定められており,又は通知する必要がない」とき,通知義務を履行しなくても良いとされている。なお,この条項の適用は国家機関に限定されない。
(2)通知することで国家機関の法定職責の履行の妨げとなるとき。これは,国家機関が通知義務を履行しなくてもよい特別な事由であり,刑事事件の捜査過程での個人情報の収集・使用等が典型的な適用例である。

3.国家機関が取扱う個人情報は,中国国内に保存しなければならない。(36条)

4.個人情報を国外に提供する必要があるとき,安全評価を行わなければならない。(36条)

「個人情報保護法」38条は,個人情報処理者が国外に個人情報を提供する数種類の方法を規定しているが,その一つが、国家インターネット通信部門が手配する安全評価である(具体的には,次回以降の記事を参照されたい。)。これにより,国家機関は,40条の規定する重要情報インフラ運営者と個人情報の取扱いが国家インターネット通信部門の定める数量に達する個人情報処理者と同じく,安全評価を通過する方式のみにより国外に情報を提供することができる。

政府関係機関(公立学校,公立病院を含む)および国有企業について,「個人情報保護法」37条は,「法律,法規の授権する公共の事務を管理する職能を有する組織が法定の職責を履行するために個人情報を取扱う場合には,本法の国家機関の個人情報取扱いに関する規定を適用する。」と規定している。よって,公立学校,公立病院,国有企業等が特定の法律,法規の授権を経て公共の事務を管理する職能を有し,法定の職責の履行として個人情報を取扱うとき,「個人情報保護法」の原則規定が適用されるほか,前述の国家機関に対する特別規定も適用される。

Q:個人情報保護法に基づき,事業者が遵守すべき義務にはどのようなものがありますか。 その義務を履行したといえるためには,具体的にどのような手続きを行わなければならないのでしょうか。

1.概要

「個人情報保護法」は,第五章(51条から59条)を「個人情報処理者の義務」として,個人情報処理者の義務につき特に規定した。但し,本章のほかにも個人情報処理者の義務は,個人情報処理者の特定の取扱い行為の規定の中に散見される。

すなわち,「個人情報保護法」における個人情報処理者の義務は,おおむね三つの類型に分類することができる。一つ目の類型は,第五章に規定される「日常管理義務」であり,セキュリティ保護義務等すべての個人情報処理者が遵守すべき義務が含まれるとともに,特定の標準を満たす個人情報処理者が遵守すべき義務も含まれている。二つ目の類型は,「特定の行為に従事する際に課せられる義務」で,主に法定の行為に従事する前に,個人情報保護影響評価を行う義務である。三つ目の類型は,個人情報の収集,保存,使用等の取扱い行為において遵守すべき「特定処理行為の義務」である。「個人情報保護法」第五章に規定されているのは,前二つの類型の義務である。

類型ごとに整理した個人情報処理者の義務の概略を樹形図にすると,概ね以下のとおりとなる。

※樹形図はPDFをご覧ください。

 本記事の他の質問において一部の義務が詳細に説明される予定であることに鑑み,本問では,一つ目及び二つ目の類型に関する義務のみ整理し,他の質問にて論じられている部分については,簡略的な紹介に留める。

2.日常管理義務(一般的義務)

(1)セキュリティ保護義務

個人情報を保護する第一の責任者として,個人情報処理者は,個人情報に対し必要なセキュリティ保護措置及び内部管理措置を講じる義務(本記事では「セキュリティ保護義務」と呼称する。)を負う。「個人情報保護法」51条は,個人情報処理者が講じるべき措置として,制度制定,分類管理,技術的措置,従業員管理,応急対応案等を列記している。詳細は,次回以降の記事を参照されたい。

(2)応急対応義務

セキュリティ保護義務が個人情報の漏洩,改竄,逸失等,個人情報セキュリティ事件の発生を未然に防止するための予防的義務であるならば,応急対応義務は,個人情報セキュリティ事件が発生した場合に,その発生中又は発生後に講じる保護義務である。この点,「個人情報保護法」27条によれば,個人情報の漏洩,改竄,逸失が発生した場合,個人情報処理者は主に二つの義務を負い,その一つ目は,救済措置を講じることであり,二つ目は通知義務を履行し,個人情報セキュリティ事件による損失を減少させることである。詳細は,次回以降の記事を参照されたい。

(3)定期的なコンプライアンス監査義務

「個人情報保護法」54条は,個人情報処理者に,個人情報の取扱いにかかる法律,行政法規の遵守状況について定期的なコンプライアンス監査を行うことを要求する。但し,「個人情報保護法」には原則的な条項が設けられたのみで,今後具体的な詳細を定めた細則が発布されることが予想される。

3.日常管理義務(特殊な要求を満たす個人情報処理者又は特殊な行為に従事する個人情報処理者の義務)

(1)個人情報保護責任者を設置する(取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者)

「個人情報保護法」52条は,取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者は,個人情報保護責任者を指定するよう規定した。規定の数量に達する個人情報処理者は,個人情報保護責任者の連絡先を公開し,かつ,個人情報保護責任者の氏名,連絡先等を個人情報保護職責の履行部門に届出なければならない。但し,目下,国家インターネット情報部門は規定の数量につき明確な数を示す明文を発布していない。詳細は,次回以降の記事を参照されたい。

(2)専門機構又は指定代表の設置(国外機構)

「個人情報保護法」は国外においても効力を有し,国外機構が中国国内の個人情報を取扱う活動が指定の状況に合致する場合にも,「個人情報保護法」が適用される。中国国内の個人の個人情報に関わる権益を確実に保護するため,「個人情報保護法」は本法が適用される国外の個人情報処理者に,中華人民共和国国内に専門機構又は指定代表を設置し,個人情報保護に関連する事務を担わせ,かつ,関連機構の名称又は代表の氏名,連絡先等を個人情報保護職責の履行部門に届出ることを要求している。詳細は,次回以降の記事を参照されたい。

(3)大型インターネットプラットフォームの特殊な義務

「個人情報保護法」58条は専門の規定を設けて,重要インターネットプラットフォームサービスであり,ユーザー数が膨大であり,業務類型が複雑な個人情報処理者に対し,以下の義務を履行するよう規定した。

①国の規定に基づき個人情報保護コンプライアンス制度体系を構築・健全化し,主に外部の人員から構成される独立機構を設置し,個人情報保護を監督させる。

②公開,公平,公正の原則を遵守し,プラットフォーム規則を制定し,プラットフォーム内の商品又はサービス提供者の個人情報取扱いの規範と個人情報保護の義務を明確にする。

③法律,行政法規に重大な違反をして個人情報を取扱うプラットフォーム内の商品又はサービス提供者に対し,サービスの提供を停止する。

④個人情報保護の社会責任報告を定期的に発行し,社会的監督を受ける。

この点に関し,市場監督管理総局は2021年10月29日に「インターネットプラットフォーム分類分級ガイドライン(意見募集稿)」及び「インターネットプラットフォームの主体責任実現ガイドライン(意見募集稿)」を公表した。これらのガイドラインは,大型インターネットプラットフォーム認定の参考になり得ると考えられる。

4.特定の取扱い行為に従事する前の義務 個人情報保護への影響評価

(1)定義

「個人情報保護法」が発布される以前には,「個人情報安全規範」及び「情報安全技術個人情報安全影響評価指南」(GB/T 39335-2020,以下「個人情報安全影響評価指南」という。)において,個人情報安全影響評価[1]に対する要求が提起されていた。そして,「個人情報保護法」は,55条と56条において,初めて法律レベルで個人情報保護影響評価の義務を明確にした。

なお,「個人情報保護法」は,個人情報保護影響評価が適用される状況と内容について直接規定しているものの,個人情報保護影響評価の定義は示していない。これに対し,「個人情報安全影響評価指南」3.4条は,個人情報安全影響評価を定義しており,これに基づくと,個人情報保護影響評価とは,「個人情報を取扱う活動について,その適法性,コンプライアンス性を検査し,その個人情報主体の合法的な権益を損ねる各種リスクを判断し,個人情報主体を保護する各種措置の有効性を評価する過程」であると理解すべきである。

(2)適用される取扱い行為

「個人情報保護法」は,個人情報処理者に以下に掲げる状況のひとつがあるとき,事前に個人情報保護影響評価を行い,かつ,取扱い状況を記録しなければならないと規定している。個人情報保護影響評価報告と取扱い状況の記録は,少なくとも三年間保管しなければならない。

①敏感個人情報を取扱う場合

②個人情報を利用して自動化された意思決定を行う場合

③個人情報の取扱いを委託し,その他の個人情報処理者に個人情報を提供し,又は個人情報を公開する場合

④国外に個人情報を提供する場合

⑤その他個人の権益に重大な影響を与える個人情報の取扱い

このうち,“⑤その他個人の権益に重大な影響を与える個人情報の取扱い”の具体的な内容については,「個人情報安全規範」11.4条に規定された個人情報安全評価の義務を負う状況を参考にすることができる。すなわち,同条のc)は,「製品又はサービスを発布する前,又は業務に重大な変化が生じるとき」,d)は,「法律法規に新たな要求があるとき,又は業務モデル,情報システム,運用環境に重大な変更が発生したとき,又は重大な個人情報安全事件が発生したとき」に安全評価を行うべきとされている。

(3)評価内容

「個人情報保護法」56条は,個人情報保護影響評価は以下を含むものと規定している。

①個人情報の取扱い目的,取扱い方式等が合法,正当,必要であるか否か

②個人権益への影響とセキュリティリスクの有無

③採られた保護措置が合法,有効であるか,リスク程度に適するか否か

個人情報保護への影響評価の具体的な内容については,個人情報保護に対する影響評価に関する法律法規が発布されるまでは,「個人情報保護法」と「個人情報安全影響評価指南」等の国家標凖を参考にすることができる。

[1]「個人情報安全規範」及び「個人情報安全影響評価指南」の中で用いられるのは“個人情報安全影響評価”であり,「個人情報保護法」にて規定されるのは“個人情報保護影響評価”で,表現は一致していないが,主旨は同じである。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年12月03日(金)6:59 PM

シンガポール個人情報保護法Q&A(第15回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第15回)

 

2021年12月3日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第15回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 違反事例通知義務(Data Breach Notification Obligation)とは、どのような義務ですか。

 PDPAの2021年2月における改正により、Part 6Aが新設され、同Partにおいて、事業者は、何らかの個人情報漏洩事故等の違反事例(data breach)が発生した場合に、それが通知すべきものであるかどうかを自己評価し、通知すべきと評価された場合には影響を受ける個人及び/又はPDPCに通知すべきものとされており、また、公的機関を含む他の事業者のためにデータを処理するデータ仲介者においても、発見された違反事例について他の事業者又は公的機関に速やかに通知すべきものとされています。この義務を、ガイドライン上、違反事例通知違反と呼んでいます。

事業者は、(自己発見、一般市民からの通報、データ仲介者からの通知等に基づき)違反事例が発生したと信ずるに足る十分な根拠を得た場合には、その違反事例がPDPAに基づき通知すべきか否かを評価するため、合理的かつ迅速な手順を踏むことが要求されます。また、影響を受ける個人への重大な損害の可能性は時間とともに増加する可能性があるため、評価は迅速に行われるべきであり、事業者は、一般にこれを30日(暦日)以内にこれを行うことが求められ、遅延は違反事例通知義務の違反となり得るため注意が必要です。この点、ガイドラインにおいては、違反事例に関する事実を立証し、それが通知すべきものかどうかを判断するために時間を要する様々な状況があり得るかもしれないことに鑑み、事業者が30日以内に自己評価を完了できない場合には、その評価の実施に要した時間についてPDPCに説明する準備をしておくべきことが示唆されています。また、この自己評価を行うために合理的かつ迅速な手段を講じたことを証明するため、事業者は、その違反事例の評価に要した全ての手順を文書化しなければならず、更にそれに関する証拠資料も準備しておかなければならない可能性もあります。

なお、この違反事例通知義務は、データ仲介者が違反事例を発見した場合にそれを依頼者である事業者に対して速やかに通知すべきことも含みますが、データ仲介者に対しては、上記のような自己評価やその後の通知までを求めるものではなく、それらの義務・責任は、あくまで事業者自身が負うものとなります。そこで、ガイドライン上は、事業者がデータ仲介者との間でサービス契約等締結する際に、違反事例通知義務を遵守するための明確な手順(事例の連絡方法、確認プロセス、その後の回復措置等)についても約定することが推奨されています。

また、違反事例が、複数の事業者が所有ないし管理している個人情報を含む場合には、各事業者が、それぞれその違反事例に関する通知義務を負うことになります。

Q. 具体的には、どのような場合に違反事例通知義務(Data Breach Notification Obligation)を果たすべきことになるのですか。

 事業者が違反事例通知義務を負う際の要素としては、(a)違反により影響を受ける個人にもたらす害悪が重大な場合、又は(b)違反の規模が重大な場合、の2つが挙げられます。

(a)「重大な害悪(significant harm)」

事業者は、違反により影響を受ける個人に対して「重大な害悪(significant harm)」をもたらす可能性があるため、違反事例を通知すべきか否かにつき自己評価を行うことが求められます。この通知により、影響を受ける個人がその事実(自己の個人情報の漏洩等)を認識し、自己を保護するための手段(パスワードの変更、クレジットカードの解約、アカウントに異常な活動がないか等を監視する等)を取ることができるようになります。

そして、この「重大な害悪」には、身体的、心理的、感情的、経済的、金銭的な損害のほか、レピュテーションの毀損、合理的な人物であればその違反事例の結果として認識するであろうその他の形態の害悪が含まれ得ます。

この点、Personal Data Protection (Notification of Data Breaches) Regulations 2021[1]においては、漏洩した場合に影響を受ける個人に重大な害悪をもたらすとみなされる個人情報の類型として、次のようなものを挙げています。

(a) 個人のフルネーム[2]若しくは通称、又は完全な国民識別番号[3]及び次の類型のいずれかの個人情報との組み合わせ[4]

・公開されていない財務情報(賃金・報酬等の収入、クレジットカード情報、その他資産、負債、信用に関する情報等)

・児童・未成年、保護が必要な成年に関する識別情報・経歴(非行歴)等

・公開されていない生命保険・健康保険等に関する情報

・特定の医療・健康関連情報

・養子縁組に関する情報

・何らかの暗証番号・プライベートキー

(b) 銀行口座の特定に関する個人情報

 逆に言えば、上記の類型に属さない個人情報の組み合わせ、例えば氏名と電話番号等の連絡先のみが漏洩した場合であれば、必ずしも上記のような「重大な害悪」が生ずる場合に該当せず、通知を要しないと判断され得ることになるため、実際に漏洩事故が発生した場合でも、冷静な対応により、この判断を行っていくことが肝要になると思われます。

(b)「重大な規模の違反(Significant scale of breach)」

 違反の規模が重大となる場合、それは事業者内部におけるシステム上の問題が存在している可能性があるため、その違反についてPDPCに対する報告義務を課すことにより、是正や予防のための措置を講じるよう促すことが期待されるとされます。

 この点、違反の規模が重大と言えるための具体的な数値としては、ガイドライン上、500名以上の個人情報に関わるものであるか否かにより判断されます。違反により500名以上の個人に影響を与える場合、その違反事例が上記(a)所定の類型の個人情報に関連しない場合でも、事業者は、PDPCに対して通知すべきことになります。

 また、事業者が違反の規模を確定できない場合でも、それが500名以上の個人に関わると信ずる理由があるときは、PDPCに報告すべきであり、これは事前評価による推定数に基づいていてもよいとされます。

 上記に関連し、ガイドライン上、いくつかの事例がアドバイスとともに掲載されているため、ご参考までに次の表の通り紹介させていただきます。

No.

事例

概要

ガイドライン上のアドバイス

1

ホテル宿泊客1,000名のデータベースドライブの盗難

宿泊客のフルネーム、パスポートの詳細、フライト情報、ホテル滞在期間、クレジットカード情報の漏洩

PDPC及び影響を受けた個人に通知すべき。

2

診療所患者50名のデータベースの不正改ざん

患者のフルネーム、シンガポール国民登録識別カード(NRIC)番号、居住地の住所、アレルギー、健康歴等への不正アクセス

PDPC及び影響を受けた個人に通知すべき。

3

福祉施設利用者の個人情報(人数未記載)の不適切な廃棄

利用者の金融・医療・家族に関する来歴等が、適切な処理がなされないまま廃棄された。

影響を受けた個人に通知すべき。

4

オンライン小売店の顧客情報データベース(700名)への不正アクセス

データベース内の氏名・メールアドレス等への不正アクセス

PDPCには通知すべき。

5

学生の図書館貸出履歴の不正開示

学生250名の氏名、入学番号、過去1年間の図書館貸出履歴等の漏洩

この規模である限りは、PDPC及び影響を受けた個人に通知しないことを選択できる。

6

保険契約の詳細が記載された暗号化されたUSBの紛失

契約者の氏名、契約番号、契約名、保険料の金額等、300件の保険契約の詳細が入った暗号化されたUSBの紛失

暗号化により外部から容易に確認できないため、この規模である限りは,PDPC及び影響を受けた個人に通知しないことを選択できる。

[1] 2021年10月1日より、改正版が施行されています。

[2] 公的資料に記載されるフルネームを指し、イニシャルのみは含まないとされます。

[3] 国民識別番号とは、NRIC番号、出生証明書番号、FIN、ワークパーミット番号、パスポート番号、外国人の国民識別番号など、政府から発行されるあらゆる識別番号を指すとされます。

[4] 詳細は、ガイドライン20.15項をご参照下さい。

https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Key-Concepts/Advisory-Guidelines-on-Key-Concepts-in-the-PDPA-1-Oct-2021.pdf?la=en

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年11月16日(火)2:11 PM

中国個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第2回)

 

 

2021 年11月16日

One Asia Lawyers中国大湾区プラクティスチーム

中国個人情報保護法Q&A(第2回)

 本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q:個人情報保護法に関連する問題を担当する当局はどこになりますでしょうか。その組織はどのように構成されているでしょうか。

「個人情報保護法」60条と「サイバーセキュリティ法」8条によれば,中国の個人情報保護および関連する監督管理の問題は,国家インターネット情報部門が統括調整を担当し,国務院の電信主管部門,公安部門およびその他の関連部門が法に従いそれぞれの職責範囲内にて個人情報保護と監督管理業務を担う。

現行の行政機関体系に具体的にあてはめると,個人情報保護の統括調整を担う国家インターネット通信部門は国家インターネット情報弁公室(以下「網信弁」という。)で,個人情報保護の監督管理に実際に携わる国務院の部門は工信部,公安部および市場監督管理総局(以下「市監総局」という。)である。上記4つの部門(以下「四部門」と総称する。)はいずれも国務院の構成部門もしくは配下機構である。

上記の行政機関は個人情報保護に関して次のように担当する。

 

部門

具体的に執行を担う配下機構

個人情報保護に関する担当内容

網信弁

/

個人情報保護業務の統括調整を担う

工信部

信息通信管理局

ユーザーの権利・利益および個人情報保護の監督管理を担い,業界サイバーデータセキュリティ標準構築指南,データ等級分類等の業界標準の推進,経営者の規則違反行為に対する処罰等[1]を含む

公安部

/

公民個人情報侵害の違法犯罪行為の取締り

市監総局

インターネット取引監督管理司

インターネット商品取引および関連サービスの監督管理,消費者の個人情報保護の法執行を担う

 

  個人情報保護に関する特定課題について,四部門による法執行の共同展開を基礎として,業界協会またはその他の組織にも協力を求めている。例えば,スマートフォンアプリによる個人情報の違法収集行為に対し,四部門は2019年1月25日付で,「アプリによる個人情報の違法違反収集使用の専門取締に関する公告」を共同で発布し,全国情報安全標凖化技術委員会,中国消費者協会,中国インターネット協会,中国サイバースペース安全協会に委託し,アプリによる個人情報の違法違反収集使用の専門取締業務班(以下「アプリ取締業務班」という。)を結成した。実際のアプリ取締業務[2]において,アプリ取締業務班は四部門と協力し,技術規範の制定,通報の受理,専門機構の検査評価,問題の是正督促および処置等をとり行う。

Q:個人情報保護法でいう個人情報とは,具体的にはどのような情報を指すのでしょうか。また,個人情報のほかの情報(日本法でいう「要配慮個人情報」,「匿名加工情報」など)の定義はありますでしょうか。また,ウェブサイト上のCookieの取扱いはどのようになっていますでしょうか。

  • 1.個人情報の定義

従前の法律においては,「民法典」1034条2項および「サイバーセキュリティ法」76条第1項5号において,個人情報は「電子又はその他の方式で記録され,単独でもしくはその他の情報と合わせて特定な自然人を識別できる各種な情報,自然人の氏名,生年月日,身分証明番号,生物識別情報,住所,電話番号,健康情報,行動追跡情報を含む。」と定義されていた。

一方,「個人情報保護法」においては,上記の各法律とは異なる定義を置いている。すなわち,「個人情報保護法」4条1項においては,個人情報を「電子又はその他の方式で記録され,識別された自然人又は識別可能な自然人に関する各種な情報であって,匿名化処理後の情報を含まない」と定義している。これは,GDPRと基本的に歩調を合わせた定義となっていると言える。

  • 2.敏感個人情報[3]

第1回記事で紹介したとおり,中国法上では,「要配慮個人情報」ではなく,「敏感個人情報」(または「個人敏感情報」)という概念を使用している。

2017年に発布され,2020年に改正された「情報安全技術 個人情報安全規範」(GB/T 35273-2020)(以下「個人情報安全規範」という)において,「個人敏感情報」は「一度漏洩,違法提供または濫用された場合,個人の人身・財産の安全が危害を及ぼし,個人の名誉・心身健康に損もしくは差別的な待遇をもたらす個人情報。身分証明番号,個人生物識別情報,銀行口座,通信記録と内容,財産情報,信用調査情報,行動追跡情報,宿泊情報,健康生理情報,取引情報,14歳以下の児童の個人情報等を含む」と定義されていた。

一方,「個人情報保護法」28条では,「敏感個人情報」を「一度漏洩され,又は違法使用された場合,自然人の人格尊厳が侵害され易くなり,または人身・財産の安全に危害を及ぼす個人情報。生物識別,宗教的信仰,特定身分,医療健康,金融口座,行動追跡等,および14歳未満の未成年者の個人情報を含む」と定義されており,これは個人情報安全規範上の定義から実質的な変更がないと言える。

  • 3.非特定化処理と匿名化処理

「匿名加工情報」に関し,中国法では個人情報に対する「非特定化処理」(中国語では「去標識化」)と「匿名化処理」(中国語では「匿名化」)の二種類の処理方法が存在している。これらの処理方法は,個人情報安全規範において既に定義づけられ,「個人情報保護法」にもほぼそのまま踏襲されている。

このうち「非特定化処理」とは,個人情報が,処理を経た後,他の追加情報に頼らなければ特定の個人が識別できない程度まで行う処理である(「個人情報保護法」73条第1項3号)。

一方,「匿名化処理」とは,個人情報が,処理を経た後,特定の個人が識別できず,かつ,復元できない程度まで行う処理のことを言う(「個人情報保護法」73条第1項4号)。

この点,「個人情報保護法」および「個人情報安全規範」は,匿名化処理を経た個人情報が個人情報に該当しないことを明記した。他方,非特定化処理は,個人情報を保護するためにとりうる技術措置の1つであり,非特定化処理を経たのみの個人情報は,なお個人情報に該当する。

なお,非特定化処理については,「情報安全技術 個人情報非特定化ガイドライン」(GB/T 37964-2019)という国家推薦標準が存在しており,具体的な取扱い方法は当該国家標準を参考にすることができる。

  • 4.Cookie

中国においては,「個人情報保護法」その他関連法律・法規において,Cookieに対する特別規定は存在していない。Cookieの取扱いが個人情報の収集に関わる場合には,他の個人情報と同様,実際に収集する個人情報の種類に基づいて,関連規定を適用することになる。

Q:個人情報保護法が適用される対象の個人・法人は何でしょうか。また,個人情報保護法は海外の企業にも適用されるのでしょうか。

第1回記事で述べたとおり,「個人情報保護法」3条が個人情報保護法の適用範囲を規定している。同条は,「個人情報保護法」を適用する行為を明確に規定し,以下に掲げる行為に従事する主体は,自然人であるかにかかわらず,その組織形式にかかわらず(法人,非法人組織,国家機関を含むがこれらに限らない),その国籍にかかわらず,いずれも「個人情報保護法」の規定を遵守しなければならない。

「個人情報保護法」が適用される行為は,簡単に以下のように分類できる。

  • 1.属地適用。すなわち,中国国内において自然人の個人情報を取扱う活動(「個人情報保護法」3条1号)。
  • 2.保護適用。すなわち,中国国外において,中国国内の自然人の個人情報を取り扱う以下の活動(「個人情報保護法」3条2号)。
  • (1)国内の自然人に製品又はサービスを提供することを目的とするもの
  • (2)国内の自然人を分析・評価する行為
  • (3)法律,行政法規の規定するその他の状況

「個人情報保護法」4条2項に基づき,個人情報の取扱いには個人情報の収集,保存,使用,加工,伝送,提供,公開,削除等が含まれ,通常の理解における収集,使用,公開又は加工のみに限らない点には留意が必要である。

また,国外企業が上記2.(2)に規定する行為に従事するときも,「個人情報保護法」が適用される。

[1] 例えば,アプリによりユーザー個人情報等ユーザーの権利・利益を侵害する行為について,工信部は8カ所の通信管理局に対し抜取検査を行い, 2021年7月16日までに,6回の集中抜取検査を実施し,76万個のアプリを検査し,748個の違法アプリを摘発し,是正を拒否するアプリ245個をダウンロード不可とした。「国新弁の上半期工業情報化発展状況発表会 図文実録」http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/44687/46299/wz46301/Document/1708802/1708802.htm

[2] 2020年9月20日の国家サイバーセキュリティ宣伝週間の個人情報保護テーマ「アプリによる個人情報保護」テーマ発布活動において,四部門とアプリ取締業務班が担当業務について紹介した。参考:http://www.cesi.cn/202009/6836.html

[3] いわゆる機微(センシティブ)な個人情報に相当するものである。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年10月29日(金)8:47 PM

中国個人情報保護法Q&A(第1回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

中国個人情報保護法Q&A(第1回)

 

 

2021 年10月29日

One Asia Lawyers中国大湾区プラクティスチーム

 

中国個人情報保護法Q&A(第1回)

 

背景

近年、アジアにおいては、2019年におけるタイ個人情報保護法採択、2021年におけるシンガポール個人情報保護法の改正等、各国において個人情報保護に関する法制度の整備、アップデートが相次いでいます。中国においては、従前は民法(典)・刑法等の一般法律、及びインターネット上の個人情報保護に関する部門規則などを中心とした個別規定により規律されていたのが、2017年にはインターネット安全法(サイバーセキュリティ法)が採択され、政府や関連事業者による個人情報の取扱いに関する意識が高まっていました。

このような背景のもと、今般、中国においても個人情報保護に関する一般的・包括的な法律と言える「個人情報保護法」が採択され、2021年11月より施行予定となっています。そこで、本稿では、この中国個人情報保護法に関する主要なポイントについて、Q&Aによる連載方式で、簡潔に情報提供させていただくことと致しました。本稿が、中国その他アジア地域に関わるビジネスを行う各位のご参考に、少しでも資するところがありましたら幸甚です。

Q:中国における個人情報保護に関連する法律・ガイドラインはどのようなものがあるでしょうか。また,それらの法律・ガイドラインの成立・改正の概要,国際標準的な個人情報保護法(EU一般データ保護規則(GDPRGeneral Data Protection Regulation))などとの違い・特徴について教えてもらえますでしょうか。

1.個人情報保護に関する法令スキーム

中国の個人情報保護について,法律レベルで最も重要なのは「サイバーセキュリティ法」(漢字は「網絡安全法」,2016年11月7日頒布,2017年6月1日発効),「データセキュリティ法」(漢字は「数拠安全法」,2021年6月1日頒布,2021年9月1日発効)及び「個人情報保護法」(漢字は「個人信息保護法」,2021年8月20日頒布, 2021年11月1日発効)の3つの法律である。

3つの法律の中,「サイバーセキュリティ法」はインターネット安全を全面的に規制する法律であり,個人情報保護に関しては,原則的な内容のみを置いているが,最も早期に頒布された関連法律であるため,目下,ほとんどの下位法令の立法根拠に該当する。「データセキュリティ法」は,データ取扱いの全プロセスと安全保護を規制していて,データ化された個人情報の保護の根拠となる。そして「個人情報保護法」は,個人情報保護に対する特別法であって,個人情報の取扱い及び保護に対する規定を明確にし,中国個人情報保護の基本法になる法律である。

この3つの法律の他,個人情報保護に関する規定が他の法律・行政法規・部門規章・地方法規・標準など,様々な法規範中に見えており,より詳細な規定が置かれている。

図で中国の個人情報保護スキームを表現すれば,次のとおりとなる[1]
※図はPDF版をご覧ください。

  • 2.中国における個人情報保護法制についての変遷

中国の個人情報保護についての変遷は,1つの法律の改正のみに留まらず,複数の法規定の立法に関わる。時間軸に沿って整理すれば,次の通りとなる。

  • (1)2009年2月28日,「刑法修正案(七)」に253条の1が追加され,個人情報を販売・違法提供する罪名が設定された。これにより,個人情報が初めて中国法における保護対象となった。
  • (2)2009年12月26日,「権利侵害責任法」が頒布され,プライバシーが自然人の民事上の権利であることが明確化された。その後,民事法の領域において,主にプライバシーとして個人情報が保護されている。
  • (3)2012年12月28日,全国人民代表大会常務委員会が「全国人民代表大会常務委員会によるインターネット情報保護の強化に関する決定」を頒布した。これは,個人情報の一般的な種類・範囲,保護方法等に関する原則的規定を置き,後続の立法に対する指導的な意義を有する。上記決定が頒布された後,個人情報に関する法令が徐々に作成されている。2013年7月16日に工業情報化部(以下「工信部」という。)により頒布された「電信及びインターネットユーザー個人情報保護規定」2013年9月1日発効)はその典型例である。
  • (4)2016年11月7日,「サイバーセキュリティ法」が頒布された(2017年6月1日発効)。このうち同法40条から45条までは個人情報保護に関する専門規定であり,その後の個人情報関連法令の立法根拠である。
  • (5)2020年5月28日,「民法典」が頒布された(2021年1月1日発効)。民法典は第四編「人格権編」に第六章「プライバシーと個人情報保護」を追加し,個人情報をプライバシーと異なる人格権として保護することとなった。
  • (6)2021年6月10日,「データセキュリティ法」が頒布された2021年9月1日発効)。同法53条2項によれば,個人情報にかかるデータの取扱いに関する活動は,同法と同時に,個人情報に関する他の法令にも従う必要がある。
  • (7)「個人情報保護法」の立法化に関しては,2020年10月21日に「個人情報保護法(草案)」,2021年4月29日に「個人情報保護法(草案二次審議稿)」がそれぞれ公開され,最終的に,全国人民代表大会常務委員会により2021年8月20日に採択された(同年11月1日施行)。
  • 3.GDPRとの相違点

「個人情報保護法」は,今後の中国における個人情報保護に関する基本法となる。本稿においては,GDPR[2]と「個人情報保護法」との相違点[3]を簡単に紹介する。

(1)適用範囲

最も大きな相違点は,属地主義の適用基準である。

  • ①属地主義

中国「個人情報保護法」においては,「国内において自然人の個人情報を取扱う活動」(「個人情報保護法」3条1項)が同法の適用対象となる。

これに対して,GDPRにおいては,個人情報の取扱い場所を問わず,「EU域内の管理者又は処理者の拠点の活動の過程における個人情報の取扱い」(GDPR3条1項)が適用対象となる。EDPBのガイドライン[4]によれば,EU域内に安定的な仕組みを通じて行われる実効的かつ現実の活動を実施する拠点(支店・子会社などの法的形式の有無を問わない。)さえあれば,当該拠点の経営のために行われる個人情報の取扱いは,GDPRの適用対象となる。

  • ②保護主義

いわば,国内(域内)の個人を保護するため,国内(域内)の個人に対する行為を管轄できる域外管轄効力である。

個人に商品・サービスを提供する行為が規制対象になることは同じだが,国内個人の行為に対して,GDPRは「監視する行為」(GDPR3条第2項b号),「個人情報保護法」は「分析・評価する行為」(「個人情報保護法」3条第2項2号)を規制する。

なお,「個人情報保護法」には「法律・行政法規により規定するその他の場合」というキャッチオール規定もある。

(2)個人情報「処理者」の定義

GDPRには,「管理者」(controller)と「処理者」(processor)という2つの概念がある。前者は「個人情報の取扱いの目的及び方法を決定する」者(GDPR4条第1項7号)であり,後者は「管理者の代わりに個人情報を取扱う」者(GDPR4条第1項8号)である。

これに対して,「個人情報保護法」には,「個人情報処理者」という概念のみが存在する。その定義は「個人情報取扱活動において,取扱目的,取扱方法を自主的に決定する」者(「個人情報保護法」73条第1項1号)であり,これは,GDPRの「管理者」と基本的に同一である。

一方,「個人情報保護法」には,第三者に個人情報の取扱いを委託する場合の受託者に関する条文(「個人情報保護法」21条)があるが,GDPRにおける「処理者」には同様の定義がない。

(3)個人情報の取扱いの適法性

個人情報を事業者が適法に取り扱うことができる場合として,GDPR6条1項においては,6つの状況が規定されている[5]。これに対して,「個人情報保護法」13条1項においては,7つの状況が規定されている[6]。GDPRのa,b,c,d,e号は「個人情報保護法」の1,2,3,4,5にそれぞれ対応している。完全一致ではないものの,相当程度類似した内容となっていると言える。

相違点としては,まず,GDPRのf号「管理者又は第三者によって求められる正当な利益の目的のために取扱いが必要となる場面」(但書省略)は「個人情報保護法」には存在しない。

次に,「個人情報保護法」の6号においては「本法に規定した合理な範囲内にて個人が自ら公開またはその他すでに合法的に公開された個人情報を取り扱うこと」という規定があるところ,個人情報の公開は特別な種類の個人データから除外される条件の1つ(GDPR9条第2項e号)ではあるが,GDPR6条1項所定の状況ではない。つまり,GDPRではすでに公開したことを根拠に勝手に個人情報を処理できないが,「個人情報保護法」では合理な範囲であれば合法的に公開された個人情報を処理することが可能となる。

最後に,「個人情報保護法」の7号に「法律・行政法規により規定するその他の場合」というキャッチオール条項があり,今後,適法となる状況がさらに追加される可能性もある。

(4)要配慮個人情報の定義と取扱いについて

  • ①定義

GDPRの「特別な種類の個人情報」(special categories of personal data)とは「人種的若しくは民族的な出自,政治的な意見,宗教上若しくは思想上の信条,又は,労働組合への加入を明らかにする個人情報の取扱い,並びに,遺伝子情報,自然人を一意に識別することを目的とする生体情報,健康に関する情報,又は,自然人の性生活若しくは性的指向に関する情報」を指す(GDPR9条1項)。

これに対して,中国法上では「敏感個人情報」という概念を使用している。「個人情報保護法」における「敏感個人情報」とは,「一旦,漏洩又は違法使用が生じた場合には,容易に自然人の人格尊厳の侵害を引き起こし,又は人身・財産の安全に対する危害を及ぼす個人情報であり,生物識別,宗教的信仰,特定身分,医療健康,金融口座,行動追跡等,及び14歳未満の未成年者の個人情報を含む。」とされている(「個人情報保護法」28条)。

上記定義から見れば,GDPRは明示的に列挙されている政治・宗教と生物の観点からの個人情報を特別な要配慮情報として扱うが,「個人情報保護法」における敏感個人情報の範囲は広く,定義に当てはまれば敏感個人情報として扱えることになり,更には財産関連の情報も含むことも明確にした。

  • ②取扱い

その取扱いについて,GDPRは原則的に禁止とされているが,同条では,個人が「明確な同意を与えた」こと(GDPR9条第2項a号)のほか,複雑な例外状況が列挙されている。

これに対して,「個人情報保護法」においては,32条において法律・行政法規により敏感個人情報の取扱いに対する別途の制限が可能というキャッチオール条項があるが,通常,「個人の単独同意,法律・行政法規に別途規定ある場合は書面による合意」(「個人情報保護法」29条)及び「個人に対する敏感個人情報の取扱いの必要性と個人権益に対する影響の説明義務(但し本法に個人に告知しなくてよいと規定される場合は例外とされる)」(「個人情報保護法」30条)という2つの条件を同時に満たせば取扱い可能になる。

(5)国外移転ルール

GDPRと「個人情報保護法」における個人情報の国外移転について,GDPR5章及び「個人情報保護法」3章において詳細な規定が置かれている。大きな相違点としては,主に以下の通りである。

  • ①個人に対する告知と同意の必要性

GDPR及び「個人情報保護法」は,それぞれの環境に基づいて,個人情報の国外移転の安全性を認定する手続き・条件(例えば各自の標準契約(standard contract clauses),GDPR上の十分性認定(adequacy decision)と拘束的企業準則(binding corporate rules),「個人情報保護法」上の当局の安全評価及び専門機構の個人情報保護認証等)を設定した。しかし,「個人情報保護法」によれば,上記手続き・条件と共に,個人情報の国外移転を個人に告知して「独立した同意」を取得する必要があり,上記告知及び「独立した同意」の双方が国外移転の前提条件となる。一方,GDPRにおいては,告知と個人による明確な同意の存在は並列的な要件であり,告知と明確な同意の双方がなくても,GDPRに規定される他の条件を満たせば,個人情報の国外移転が可能となりうる。

  • ②保存場所

GDPRにおいては個人情報の保存場所に対する要求は存在しないが,国家機関,中国の重要情報インフラ運営者[7],及び,取り扱う個人情報が国家ネットワーク情報部門が規定する一定の数量に達する個人情報処理者は,原則的に中国国内に収集・発生する個人情報を国内に保存する義務を負う。その個人情報を国外に提供する場合には,別途法律・法令がある場合を除き,国家ネットワーク情報部門の安全評価を通じなければならない。

  • ③国外の司法機関・法執行機関による個人情報提供要求

GDPR48条において,第三国の裁判所又は行政機関による個人情報の移転と公開が国際条約に基づいて行われうる旨を規定している。

一方,「個人情報保護法」41条によれば,中国の主管機関の審査承認がない限り,中国の個人情報処理者は国外の司法機関・執行機関に中国国内で保存している個人情報を提供してはならない。なお,上記手続きは「提供」に対する要求であり,「公開」は含まれていない。

(6)死後の近親族の権利行使

GDPRにおいては,個人が死亡した場合の個人情報の取扱い関する規定がないが,「個人情報保護法」には存在している。「個人情報保護法」49条によれば,個人が死亡した場合,死者が生前に別途手配がない限り,その近親族[8]である個人が自らの合法・正当な利益のため,死者の関連個人情報に対して閲覧・複製・改正・削除等の権利を行使することができる。

(7)大手オンライン・プラットフォーム企業の特別義務

「個人情報保護法」58条では,「重要なオンライン・プラットフォーム・サービスを提供し,巨大な数のユーザーを持ち,且つ,業務類型が複雑な個人情報処理者」に特別な義務を設定した。その義務には,個人情報処理を監督する外部な独立機構の設立,定期的に個人情報保護の社会責任報告を公開する等を含む。一方,GDPRには,同様の規定は見当たらない。

 

 

[1] 中国の「立法法」によれば,全国人民代表大会及びその常務委員会が頒布するのが一番位階の高い法律,次の位階にあるのは国務院が頒布する法規である。国務院の下位部門が頒布する部門規章,各地の人民代表大会及びその常務委員会が頒布する地方法規は同じ位階にあり,更にその下位に各地の政府が頒布する地方規章が位置付けられる(個人情報に関連するものもあるが,上記の図では省略する。)。法源になるものは以上の法令である。

司法解釈は厳密的に言えば法源ではないが,裁判所(法院)・検察庁(検察院)による法律に対する解釈であるため,行政法規より強い効力を有すると言っても過言ではない。一方,標準も同じく法源ではなく,特に,個人情報に関する標準は主に強制力がない推薦性標準である。しかし,実際に法を執行する際には,当局は当該標準に従って是正することを命じるため,事実上(実務上)の影響力が高い。

[2] GDPRおよびガイドラインの和文仮訳(https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/)を参照した。

[3]例えば未成年者の年齢,罰金の計算方法等の細かい相違点は省略する。

[4] 欧州データ保護委員会(European Data Protection Board)「GDPRの地理的適用範囲(3条)に関するガイドライン3/2018-バージョン2.1(Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)- Version 2.1)」https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en

[5] 具体的には次の通りである。

(a) データ主体が,一つ又は複数の特定の目的のための自己の個人データの取扱いに関し,同意を与えた 場合

(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合,又は,契約締結 の前に,データ主体の要求に際して手段を講ずるために取扱いが必要となる場合

(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合

(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合

(e) 公共の利益において,又は,管理者に与えられた公的な権限の行使において行われる職務の遂行のた めに取扱いが必要となる場合

(f) 管理者によって,又は,第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし,その利益よりも,個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由 のほうが優先する場合,特に,そのデータ主体が子どもである場合を除く。

第1 項(f)は,公的機関によってその職務の遂行のために行われる取扱いには適用されない。

(1) 個人の同意を取得した場合

(2)個人を当事者の一方とする契約に必要な場合,又は法により制定された労働規則制度及び法により締結された集団契約に基づき人事管理を実施するために必要な場合

(3)法定の職責又は法定の義務を履行するために必要な場合

(4)突発的な公共衛生事件に対応するため,又は緊急事態において自然人の生命・健康、財産の安全を保護するために必要な場合

(5)公共の利益のためニュース報道、世論による監督等の行為を実施し、合理的な範囲内にて個人情報を処理するとき。

(6)本法の規定する合理的な範囲内において個人が自ら公開又はその他のすでに合法的に公開された個人情報を処理するとき。

(7) 法律、行政法規の規定するその他の状況

[7]「サイバーセキュリティ法」31条によれば,重要情報インフラ運営者とは「公共通信及び情報サービス,エネルギー,交通,水利,金融,公共サービス,電子行政サービス等の重要業界及び分野や,一旦機能の破壊若しくは喪失又はデータ漏えいに遭遇すると,国の安全,国民の経済・生活及び公共の利益に重大な危害を及ぼす恐れおそれのある」ものをいう。

[8] 配偶者・父母・子・兄弟姉妹・祖父母・孫,すなわち2親等以内の親族。

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年10月18日(月)8:44 AM

シンガポール個人情報保護法Q&A(第14回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第14回)

 

2021年10月18日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第14回)

Q. 任命されたDPOは、どのような役割や責任を負いますか。

PDPA第11条第5項においては、事業者は、第11条第3項に基づき任命した個人のうち少なくとも1名の連絡先(business contact information)を公開しなければならないとしています。一方、第20条第1項(c)及び第20条第4項(b)においては、事業者は、個人情報の収集、使用又は開示に関する質問に事業者を代表して回答できる人物の連絡先を公開することが求められています。これら連絡先が公開されるの担当者は同一人物でなくても良いとされていますが、一般には、DPOがこの役割を担うことになると思われます。

 そして、この公開すべき連絡先(business contact information)には、氏名、役職名、業務上の住所・電話番号・電子メールアドレス等が含まれますが、常にこれら情報の全てを公開しない限り違法である、とまでは言えないと考えられます。もっとも、例えば、個人からの(本人が提供した個人情報に対する)アクセスや訂正の請求が書面でなされる場合には、住所又は電子メールアドレスの少なくとも1つは公開すべきであると言えます。また、これらの連絡先は、シンガポールから容易にアクセスでき、シンガポールの営業時間内は受付が可能である必要はあり、更に電話番号については、シンガポールの電話番号でなければならないとされている点には注意が必要です。

 このほか、ガイドライン上、DPOには次のような役割が期待されているとされています。

・事業者のマネジメント、セキュリティ部門その他関連する事業部門と協力して、社内の適切な個人情報保護ポリシーや実務慣行を策定・実施すること。

・個人情報目録(personal data inventory)の作成(又は作成の指導)

・個人情報保護影響評価(アセスメント)の実施

・個人情報保護に関するリスクの監視・報告

・社内における個人情報保護関連コンプライアンス研修の実施

・個人情報保護に関する各種関係者との連携・連絡

・その他、社内における個人情報保護に関する専門家としての活動 等

Q. DPOの任命以外に、事業者が説明責任義務(Accountability Obligation)として果たすべき事項にはどのようなものがありますか。

DPOの選任等に関するほか、PDPA第12条は、説明責任義務の主な内容として、次のような事項を定めています。

(a) 個人情報保護ポリシーの策定・運用。事業者は、収集する個人情報の種類や分量、目的等を考慮し、(必要に応じて)社内向け・外部向けの個人情報保護ポリシー(プライバシーポリシー)を策定・運用する必要があり、かつ、そのポリシーの対象者が、その内容を容易に確認できるようにしておく必要があります。更に、これらのポリシーの実効性を確保するため、モニタリングやプロセス管理も行うべきとされています。

(b) 苦情対応プロセスの確立。事業者は、PDPA の適用に関して発生しうる個人からの苦情の受理、対応に関するプロセスを確立し、コンプライアンス貫徹に資するものとすべきこととされます。

(c) 個人情報保護ポリシー及びその実務慣行に関するスタッフ・従業員とのコミュニケーション。事業者がスタッフ・従業員に対する研修等を通じたコミュニケーションをとることにより、その意識向上に努め、事業者における内部的な個人情報保護体制の強化に資することが期待されます。

(d) 上記(a)(b)に関する情報提供。事業者は、個人の要求に応じ、個人情報保護ポリシー及びその運用、並びに苦情対応プロセスに関する情報を提供することが求められています。これにより、個人が必要な情報を認知し、個人情報に関する懸念や苦情を必要に応じて直接事業者に提起し得ることが期待されています。

以上のほか、説明責任義務に関しては、PDPA上は必須ではないものの、ガイドライン上、奨励されるべき実務慣行として次のような措置も記載されています。

・個人情報保護影響評価(Data Protection Impact Assessments (“DPIA”))

・設計による個人情報保護(Data Protection by Design (“DPbD”))

・個人情報保護管理プログラム(Data Protection Management Programme (“DPMP”))

 これら措置に関する詳細については、PDPCにより個別のガイドライン[1]が出されているため、ご参照ください。

ガイドラインによると、このような対策を行わないこと自体はPDPAの違反ではないものの、例えば個人情報保護影響評価(DPIA)を実施していない組織は、自社のITインフラで取り扱っている個人情報のリスクを十分に認識しておらず、必要十分なセキュリティ措置を講じていないものとして、結果的に保護義務(第24条)を果たしていないとみなされるおそれもある等、状況によっては事業者がPDPAの他の義務を果たしていないとされる可能性もあることが指摘されている点、注意が必要と言えます。

前回も言及した通り、この説明責任義務(Accountability Obligation)は、従前は公開義務(Openness Obligation)と呼ばれていたものが改称されたという経緯もあり、現在のPDPCにおいては、各事業者に対して、単に自社のポリシー等を公開するのみことならず、各個人に対して説明責任を果たすことを強く求める傾向にあると言え、今後はプライバシーポリシーの策定・公開に止まらず、各事業者において、個人やPDPCから何らかの照会があった際には、自社における個人情報の取扱い方針や個人情報保護に対する取り組み等につき、直ちに回答が可能となるよう、常日頃から体制整備を含めた準備を行っておくことが、実務上極めて重要となってきている点には、改めてご留意いただければと考えております。

[1] DPIA: https://www.pdpc.gov.sg/help-and-resources/2017/11/guide-to-data-protection-impact-assessments

DPbD: https://www.pdpc.gov.sg/help-and-resources/2019/05/guide-to-data-protection-by-design-for-ict-systems

DPMP: https://www.pdpc.gov.sg/help-and-resources/2019/07/guide-to-developing-a-data-protection-management-programme / https://www.pdpc.gov.sg/help-and-resources/2020/09/guide-to-managing-data-intermediaries

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年09月27日(月)10:11 AM

シンガポール個人情報保護法Q&A(第13回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第13回)

 

2021年9月27日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第13回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 移転制限義務を遵守するために契約を締結する場合、「シンガポールPDPAと同等の保護水準」を設定したと言えるためには、具体的にどのような条項を盛り込む必要がありますか。

ガイドライン上、国外移転先に移転された個人情報に関して、少なくとも PDPAと同等の保護水準を遵守することに関する契約条項を定める際には、次の表[1]の該当する各点につき、最低限の保護を定めるべきであるとされています。

S/N

保護領域

国外受領者の種類

データ仲介者[2]

データ仲介者以外の事業者

1

国外受領者による個人情報の収集・使用・開示の目的

N/A

2

正確性

N/A

3

保護措置

4

保有制限

5

個人情報保護方針

N/A

6

アクセス

N/A

7

訂正

N/A

8

漏洩時における通知

事業者に対して遅滞なく通知しなければならない。

セルフアセスメントを行い、必要に応じてPDPC及び/又は影響を受ける個人に通知しなければならない。

 上記の通り、データ仲介者が書面による契約に基づき、(移転元)事業者に代わり、その目的のために、個人情報を処理することに関しては、一定の保護規定は適用されません。しかしながら、このようなデータ仲介者は、一般には、その個人情報の処理に関する契約において、必要な情報について適切な保護を図るべき義務を課されていることが往々にしてあります。また、PDPCは、移転制限義務を果たすために、基本的な責任、必要な個人情報保護措置、当事者の関連する義務等を定めた契約条項として、ASEANモデル契約条項(「MCC」)の使用を奨励しています。[3]

Q. 説明責任義務(Accountability Obligation)とは、どのような義務ですか。

個人情報保護の分野において、説明責任(Accountability)とは、事業者が収集し、処理のために入手し、又は管理する個人情報に対する責任を、どのように果たすかということを意味します。このような説明責任にかかる一般的な概念は、PDPA上、Part 3「個人情報の保護及び説明責任に関する一般ルール(General Rules with Respect to Protection of and Accountability for Personal Data)」に含まれており、第11条(2)の「事業者は、その所有又は管理下にある個人情報に対して責任を負う。」との規定に表れています[4]

 この説明責任義務は、従前は「公開義務(Openness Obligation)」と呼ばれていましたが、各事業者における個人情報の取扱い対応、及び上記のような説明責任の概念に関する個人情報保護の進展を反映し、変更されました。

PDPAにおける説明責任を果たすためには、事業者が PDPAに基づく各義務を確実に履行するための措置を講じることが必要となり、また、必要な場合にはそのような措置が可能であることを示すことが重要になります。この点、事業者においてPDPA遵守のための責任者(データ保護責任者、DPO)を1人以上任命すること(第11条第3項)、事業者がPDPA上の義務を果たすために必要な方針や実務慣行(data protection policies and practice)を策定・実施すること(第12条(a))、それらに関する情報を公開すること(第12条(d))等は、上記の措置の例としてPDPAにおいて具体的に規定されていると言えます。

Q.  シンガポールにおける事業者データ保護責任者(DPO)を任命することは必須ですか。また、どのような人材をDPOとして任命すべきですか。

PDPA 第11条第3項においては、事業者が、PDPAを遵守するための責任者を1名以上指名することが求められており、この責任者を通常、データ保護責任者(Data Protection Officer、以下「DPO」)と呼びます[5]。つまり、全てのシンガポールにおける事業者が、PDPA上、DPOを指名(任命)する義務を負っていることになります。

但し、第11条第6項においては、事業者は、DPOの指名(任命)により、その事業者がPDPAに基づく義務を免除されるわけではないことも明確にしています。すなわち、DPOの指名によっても、PDPAを遵守する法的責任がDPOに移るわけではなく、事業者はなおPDPAを遵守する責任を負うということになります。

全体として、第11条のこれらの規定は、事業者が適切な個人を指名し、その個人が他の役員に一定の責任を委任することで、事業者がPDPAを遵守するように協力することを求めていると言えます。

また、第11条第3項に基づき事業者が指名するDPOは、その事業者の従業員である必要はないものの、(a) 十分な技能と知識を持ち、かつ、(b) DPOとしての職務を遂行する権限を十分に与えられていなければならないとされます。しかしながら、要件としては抽象的であり、実際には特に明確な必須の資格を求められているわけではないことから、各企業においては、人事・総務部門、法務部門等の一定の地位にある人材が指名されているケースが多いと思われます。外部専門家等の第三者に委託しているケースも少なくありません。

このほか、PDPCは、国際プライバシー専門家協会(International Association for Privacy Professionals、IAPP)と共同で個人情報保護に関する専門家としての認証[6]を発行しており、DPOとしてはそのような認証を受けていることが望ましいとされますが、実際にそのような人材を確保している事業者は多くないと思われます。

 なお、PDPAは、データ保護責任者(DPO)がどこに拠点を置くべきかを規定しておらず、例えば事業者の日本本社の管理部門の人材をDPOに任命する等といったことも可能ではありますが、シンガポールの一般市民が連絡を取ろうとしたときに連絡が取れる必要があるため、事実上、可能な限りシンガポール所在の人材をDPOとすべきことになると思われます。

[1] PDPCによる「Advisory Guidelines on Key Concepts in the PDPA (1 February 2021)」に基づき筆者作成。

[2] ここでいう「データ仲介者」とは、書面による契約に基づき、移転元事業者に代わり、その目的のために、個人情報を処理するデータ仲介者を言います。

[3] この点に関するPDPCのスタンスに関する詳細については、次のページをご参照ください。

https://www.pdpc.gov.sg/help-and-resources/2021/01/asean-data-management-framework-and-model-contractual-clauses-on-cross-border-data-flows

[4] この説明義務の概念に関する詳細は、次のページをご参照ください。

https://www.pdpc.gov.sg/help-and-resources/2019/07/guide-to-accountability-under-the-personal-data-protection-act

[5] 第11条第4項においては、更に、事業者が指定した個人(DPO)は、その指定により与えられた責任を他の個人に委任することができると規定されています。

[6] Practitioner Certificate for Personal Data Protection (Singapore)

                                          以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

Older Posts »