トップページ
2020年11月09日(月)8:37 PM

シンガポール個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第2回)

 

2020 年11月9日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第2回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.みなし同意は、どのような場合に認められますか。

 PDPA第15条は、一定の状況における「みなし同意」、すなわち、個人が実際には同意を与えていないにも関わらず、事業者が同意を取得したとみなすことができる場合を認めています。

 この「みなし同意」の成立には、①個人が自主的にその個人情報を提供したこと、及び②その個人情報の提供が合理的であると考えられること、という2つの要件が必要となっています(同条第1項)。

 ガイドラインによると、例えば、マッサージやスパのサービスを利用した顧客が、その代金支払いのためにマッサージ店にクレジットカードを提示したようなケースで「みなし同意」が成立しうると説明されています。

 一方で、例えば、電話でタクシーを予約する際にタクシー会社に伝えた氏名や電話番号を、その会社のリムジンサービスのためのマーケティングに使用することは、自主的な個人情報の提供が合理的にあったとは言えず、「みなし同意」が成立しないと説明されています。

 更に、第15条第2項に基づき、個人がある目的のために事業者Aから事業者Bへの個人情報の開示に同意し、又は同意したとみなされる場合、その個人は、同じ目的のために事業者Bに対する個人情報の収集にも同意したものとみなされます。

上記のマッサージ店の例で言うと、この場合、「みなし同意」は、そのマッサージ店のみならず、その代金決済のために関与するその他の事業者(クレジットカードを提供している銀行、決済業者、決済システムのプロバイダ等)に対しても適用されることになります。

すなわち、上記の通り、顧客がマッサージサービスの利用代金支払のためにクレジットカードを提示した場合には、その顧客は、クレジットカードの支払い処理のために、自己のクレジットカード情報をマッサージ店が収集、使用、又は開示することに同意したとみなされますが、更に支払い処理の過程では、そのクレジットカード情報が支払いを取り扱う銀行に当然に送信されることになります。そして、顧客は、このこと(取扱銀行への情報送信)を認識していると考えられるため、顧客は、マッサージ店が顧客のクレジットカード情報を銀行に開示することに同意したものとみなされ、更にマッサージ店への支払い処理の目的で銀行が自己のクレジットカード情報を収集することにも同意したものとみなされることになります。

なお、以上は比較的わかりやすい例ですが、必ずしもこのように明確に「みなし同意」が成立するケースばかりではないと思われます。そのような場合には、無用なトラブルを避けるため、当然ながら出来る限り直接明確な(「みなし同意」ではない)同意を取得されることが推奨されます(ガイドラインにおいても、同様の指摘がなされています。)。

 

Q. 個人情報の主体(本人)以外の第三者による同意が認められる場合には、どのようなものがありますか。

 個人情報について、本人以外の第三者による同意が認められる場合には、第14条第4項に基づく代理人による同意が認められる場合、及び、上記の第15条第2項に基づく「みなし同意」が成立する場合が考えられます。

このように第三者から個人情報を取得する事業者は、同意主体となる第三者が、本当に本人に代わって個人情報の収集、使用、及び開示について有効な同意を与えることができる状況であるのか否か(第14条第4項の場合)、第三者が個人情報の開示について同意を得ているか否か(第15条第2項の場合)を、適切に確認しなければなりません。このようなプロセスが十分でなく、実際に本人から有効な同意を得られていなかったような場合には、事業者による何らかのPDPA違反行為があった場合に、PDPCにより処分(加重)要因の一つとして考慮される可能性があると考えられます。

 そして、上記のような確認のプロセスを経たと言えるためには、本人以外の第三者による同意に基づき個人情報を取得する事業者は、その状況に応じて、情報源となる第三者との間で次のような対応をとることが推奨されています。

(a) 事業者と第三者との間の契約において、第三者が特定の目的のために本人の個人情報を事業者に開示することが、本人から第三者に付与された同意の範囲内であることについての承諾を受けること。

(b) 第三者からの書面による確認を得ること。

(c) 第三者から口頭での確認を取得し、適切な形式で文書化すること。

(d) 個人情報を開示するために本人が第三者に同意したことを示す書類の写しを入手すること。

 

Q. 個人による同意の撤回に関するルールは、どのようになっていますか。

PDPA第16条においては、個人がいったん、事業者に与えた同意について、撤回が可能である旨が規定されています。

この同意の撤回に関して、第16条においては、個人又は事業者が遵守すべきものとして、次のようなルールを設けています。

(a) 個人は、事業者に対して合理的な通知をしなければならない(第16条第1項)。

(b) 事業者がその通知を受けた場合には、その個人に同意の撤回の結果を通知しなければならない(第16条第2項)。一般には、この結果の通知は、個人による撤回の通知を受領してから10営業日以内であることが望ましい。

(c) 事業者は、本人が同意を撤回することを禁止してはならない。ただし、同意の撤回により生じうる一定の法的効果の発生は否定されない (第16条第3項) [1]

(d) 同意が撤回された場合、事業者は、原則として、個人情報の収集、使用、又は開示を停止し、かつ、そのデータ仲介業者及び代理人にそれらを停止させなければならない(第16条第4項)。

この点について、PDPCからは、上記のようなルールに則った同意の撤回のため、サンプルフォーマットが公表されていますので、併せてご参照下さい[2]

 なお、同意が撤回された場合でも、事業者は、直ちにその撤回された個人情報を削除する義務までは負わず、必要な限度で保持しておくことが可能とされています。この点についての詳細は、保有制限義務の項をご参照ください。

 

以 上

[1] 例えば、サービス提供目的での氏名、住所等の開示についての同意が撤回された場合、当然ながら、事業者にとってはサービスが提供できなくなるため、そのサービス提供契約は解除されうることになります。

[2] Sample Clauses for Obtaining and Withdrawing Consent(https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/sampleclausesforobtainingandwithdrawingconsent8may2015.pdf

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年10月27日(火)10:04 AM

シンガポール個人情報保護法Q&A(第1回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第1回)

 

2020 年10月26日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第1回)

 

背景について

シンガポールにおいては、新型コロナウイルスの感染状況は相当程度、落ち着きを見せており、近時は新規の市中感染者数がゼロの日も散見されています。そして、このような状況の中、新型コロナウイルス拡大防止のための行動制限措置(サーキットブレイカー)も、フェーズ3を迎えようとしており、経済活動正常化への道筋も出来つつあります。

しかしながら、個々のビジネス活動においてはなお、少なくとも半数の従業員は在宅勤務を維持することが要請されており、オンラインによるコミュニケーションが日常化する等、経済活動におけるデジタル化は益々加速している状況です。そして、このような状況のもと、シンガポール個人情報保護委員会(以下「PDPC」)のマネジメントからは「現在のオンラインを基本とするデジタル経済が大量のデータを生成している中、事業者による情報管理に対する市民の信頼は特に重要になってきている」と述べられる等、各種情報管理の重要性及び配慮の必要性は今までになく高まっていると言えます。

そこで、弊所においては、PDPCの許諾を得て[1]、PDPCが発表している、シンガポール個人情報保護法(以下「PDPA」)に関する各種ガイドラインをベースとして、PDPAの主要な論点について、Q&A形式で、日本語にてご案内させていただくことと致しました。シンガポールに関わるビジネスを行う各位のご参考に、少しでも資するところがありましたら幸甚です。

 

Q. PDPAに基づき、事業者が遵守すべき義務にはどのようなものがありますか。

 

PDPA上、事業者は、自らが保有し、又は自己の管理下にある個人情報について、第III部から第VI部(第11条から第26条。以下、法令名を示さない引用条文は全てPDPAの条文を指します。)に規定される9つのデータ保護規定を遵守することが求められています。この9つの義務及びその概要は次の通りです。

1、同意取得義務(Consent Obligation)

2、利用目的制限義務(Purpose Limitation Obligation)

3、目的通知義務(Notification Obligation)

4、アクセス権限及び訂正義務(Access and Correction Obligations)

5、正確性義務(Accuracy Obligation)

6、保護義務(Protection Obligation)

7、保有制限義務(Retention Limitation Obligation)

8、移転制限義務(Transfer Limitation Obligation)

9、説明義務(Accountability Obligation)

※図は、PDF版をご覧ください。

すなわち、各事業者は、個人情報の収集、使用及び開示に関する活動を行う場合に、これらの9つの義務を順守しなければなりません。

なお、事業者が、その保有する個人情報の処理(processing[2])を第三者に委託して行う場合には、その第三者は「データ仲介業者」(data intermediary[3])と位置付けられますが、この場合でも、その処理を委託した側の事業者が、自ら処理した場合と同様に、PDPA上の義務を負うことになります(第4条第3項参照)。

以下において、PDPCのガイドライン[4](以下「ガイドライン」)をベースとして、これら9つの義務の概要を説明させていただきます。

 

Q. 同意取得義務(Consent Obligation)とは、どのような義務ですか。

 

同意取得義務(第13条~第17条)は、事業者が、ある目的のために個人情報を収集し、利用し、又は開示する前に、本人の同意を得るべき義務を言います。

第13条においては、本人が個人情報の収集、使用、又は開示についての同意を与え、又は同意を与えたとみなされる場合を除き、事業者が個人情報を収集、使用、開示することを禁止しています。ただし、これはPDPA又はその他の成文法に基づいて同意なく個人情報が収集、使用又は開示が可能な場合には適用されません。

第 14 条第1項では、個人が PDPA の下でどのように同意を与えたといえるかが規定されています。この点、個人情報の収集、利用、開示の目的を対象となる個人に通知したうえで、その個人がその目的に同意している場合でなければ、その個人は同意を与えていないことになります。すなわち、事業者がその個人情報の収集、利用、開示の目的を対象となる個人に通知しなかった場合には、如何に本人が同意したとしても、その同意は第14条第1項の同意とはならないことになるため、注意が必要です。この点については、第20条の「利用目的通知義務」と密接にかかわることになります。

PDPA上、(それが合理的と言えるものである限り)同意取得の方法に特段の制限はありませんが、同意を得たことを事後的に証明できるよう、同意がなされた目的・日時等とともに、書面その他記録できる方法での取得が望まれます。この点、電話による場合等、どうしてもその場で書面同意を取得することが困難な場合には、口頭による同意を取得し、それが行われた事実・日時等を書き留め、事後的にEメール等でもその旨を本人に伝えておくことが実務上、推奨されています。

 

Q. 個人から同意を取得するにあたり、どのような点に気を付ける必要がありますか。

 

 事業者が個人情報を収集するためにその個人から同意を取得するにあたっては、次のような点に留意する必要があると考えられます。

1、オプト・アウト方式による同意取得の可否

2、同意の有効性

3、その他の論点

 

1、オプト・アウト方式による同意取得の可否

 まず、同意取得にあたっては、事業者が、個人に対して一方的に通知を行い、一定期間内に反対の意思を表示しない限り同意したものとみなす、といったオプト・アウト方式により同意を取得したとする方法が考えられます。しかしながら、ガイドラインによれば、個人が当該期間内に反対の意思を表示しなかったことは、必ずしも同意の意思を表明したものと同視できるとは限らないため(例えば、そのような通知が何らかの理由でその個人に届いていないために反対の意思を表示する機会がなかったに過ぎないということも考えられます。)、このようなオプト・アウト方式ではPDPA上、有効な同意取得があったとはみなされないことが明確にされています。

 同意取得にあたっては、示された目的に対する個人による能動的なアクション(positive action)が必要であり、上記のようなオプト・アウト方式のみによる場合には、同意取得義務及び目的通知義務違反となるリスクがある点につき注意が必要です。

2、同意の「有効」性

 また、当然ながら、個人から取得する同意は、「有効」(valid)なものである必要があります。事業者は、虚偽の情報等に基づく同意を取得してはならないことは勿論のこと、サービスや商品の提供と引き換えに同意を取得するような方法もvalidではないとされています(第14条2項、3項)。

 例えば、マッサージやスパのサービスの入会にあたり、顧客から取得した個人情報を、マーケティング会社等の第三者への提供目的にも同意しなければ入会できない、との条件の下で同意を取得することはvalidとは言えず、個人は、そのような第三者への提供目的に対する同意なく入会できるようにしなければならないとされています。

 しかしながら、一方で事業者がマーケティング目的での同意を取得することが完全に認められない訳でもなく、ガイドラインによれば、ある目的のために個人情報を収集、使用、又は開示することを求める際に、併せてプロモーション商品の宣伝、ディスカウント、ラッキードロー等の通知を行うことについての同意を取得することも可能であるとされています。このあたりは、個々のケースにおける特定の事情をケースバイケースで検討し、合理的な範囲であるか否かを判断していく必要がある、ということになりそうです[5]

3、その他の論点

 同意取得義務に関するその他の論点としては、次のようなものが挙げられます。

 (1) みなし同意の可否

 (2) 第三者による同意が認められる場合

 (3) 同意の撤回

 (4) 同意取得が不要となる場合(同意取得義務の例外)

 これらについては、次回以降で言及させていただきます。

[1] PDPCウェブサイトのTerms and Conditions(https://www.pdpc.gov.sg/Terms-and-Conditions)に準拠しております。

[2] データの「処理」(processing)とは、PDPA上、対象となる個人情報に関する何らかの操作又は一連の操作を行うことをいい、次を含みます(第2条)。

(a) 記録(recording)

(b) 保持(holding)

(c) 編成、適用又は変更(organisation, adaptation or alteration)

(d) 抽出(retrieval)

(e) 組合せ(combination)

(f) 転送(transmission)

(g) 抹消(erasure or destruction)

[3] データ仲介業者(data intermediary)とは、「他の事業者に代わって個人情報を処理する事業者をいい、当該他の事業者の従業員を含まない。」と定義されており(第2条)、PDPCからは、これに関するガイドラインも近時、出されています。

[4] Advisory Guidelines on Key Concepts in the Personal Data Protection Act (Revised 2 June 2020)https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Key-Concepts/Advisory-Guidelines-on-Key-Concepts-in-the-PDPA-(2-June-2020).pdf?la=en

[5] 詳細は、当該論点に関するガイドライン(Advisory Guidelines on Requiring Consent for Marketing Purposes: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/advisoryguidelinesonrequiringconsentformarketing8may2015.pdf?la=en)をご参照下さい。

以上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2019年08月20日(火)10:16 AM

ASEAN各国のデータ移転規制・データローカライゼーションに関するコラム(全6回)

 

→リンク先

 

2019年01月23日(水)1:02 PM

ASEAN各国の新法状況をご報告いたします。

 

【シンガポール】決算サービス法案
【タイ】労働者保護法・刑事手続法関連の改正及びIBC制度の創設
【マレーシア】外国人社会保険義務・飲食店での喫煙禁止・贈収賄に関する改正法
【ベトナム】サイバーセキュリティー法の施行
【インドネシア】OSSシステムのBKPMへの移管
【フィリピン】外資規制緩和の最新動向
【ミャンマー】競争委員会の設立及び外国銀行の内資企業への融資撤廃
【カンボジア】労働法のアップデート
【ラオス】付加価値税法の改正
【日本】労働基準法の一部改正

 

2019新年版ニューズレター

2018年01月11日(木)4:44 PM

ASEAN各国の新法の状況をご報告いたします。

 

シンガポール→ダウンロード

タイ→ダウンロード

マレーシア→ダウンロード

ベトナム→ダウンロード

インドネシア→ダウンロード

フィリピン→ダウンロード

ミャンマー→ダウンロード

ラオス→ダウンロード

日本→ダウンロード

 

2017年09月07日(木)10:55 PM

シンガポール個人情報保護法に関する新方針について解説いたします。
 →シンガポール個人情報保護法に関する新方針について