トップページ
2021年07月19日(月)12:13 PM

シンガポール個人情報保護法Q&A(第11回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第11回)

 

2021年7月19日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第11回)

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 保有制限期間内の保管に際しては、どのような点に注意する必要がありますか。

保有制限義務に関し、ガイドラインにおいては、事業者は、保有する個人情報を定期的に見直し、その個人情報がまだ必要かどうかを判断しなければならないとされています。大量の異なる種類の個人情報を保有している事業者は、個人情報の種類に応じた適切な保有期間を設定しなければならない場合もあると考えられます。

そして、PDPCからは、PDPA上の保有制限義務の要件に従った個人情報保有期間に関するルールを含む個人情報保有ポリシーを作成することが推奨されています。また、個人情報が比較的長期間にわたり、保有される場合には、そのポリシー中に、その保有の理由を明記すべきであるとされます。また、個人情報の種類に応じて適用されるポリシーを分けたり、保有制限義務の遵守を容易ならしめるような方法で個人情報が記録・保存されるよう、社内プロセスを開発又は調整すべきであるとされています。

Q. 個人情報を保有する必要がなくなった場合には、どのような対応をとるべきですか。

個人情報を保有する必要がなくなった場合には、事業者は、PDPA上、個人情報を含む文書の保有を停止するか、又はその個人情報を特定の個人と関連付ける手段を削除する(データの匿名化)により対応することができるとされます。

 このうち、「保有の停止」には、本人への情報(書類等)の返却、本人の指示に基づく第三者への譲渡、シュレッダーその他の適切な方法による廃棄が含まれます。

 この点、保有を停止したと言えるためには、事業者が可能な限り、個人情報を含む文書を完全に回収不能にしたり、アクセス不能となる方法で、保有を終了する必要がありますが、一方で、シュレッダーにかけられた書類が残っていたり、PC上から削除された個人情報が削除済みのフォルダに入っているだけのケースもあり得ます。このように、事業者が個人情報の保有を停止したかどうかについて疑わしい場合について、次のような要素が考慮されることになります。

(a) 事業者が、その(削除された)個人情報を再度利用したり、アクセスしたりする意図があるかどうか。

(b) 個人情報を再び利用又はアクセスするために、どれだけの労力や資源が必要となるか。

(c) 第三者がその個人情報へのアクセス権を有しているかどうか。

(d) 個人情報を恒久的かつ完全な方法で破棄、廃棄又は削除するための合理的な試みを行っているかどうか。

Q. 個人情報の「匿名化」に関しては、どのように理解すればよいですか。

上記の通り、事業者は、個人情報が匿名化された場合にも、個人情報の保有を停止したものとみなされます。一般に、匿名化とは、残ったデータから特定の個人を識別できないように、個人の識別情報を削除するプロセスと理解されます。

 この点、匿名化プロセスの理解については、法域や分野によって異なる可能性があります。例えば、「匿名化」と「非識別化」とを区別し、個人情報を、単独で他の情報と組み合わせても個人を識別できないデータに変換するプロセスのみを「匿名化」と理解する場合もあります。また、「匿名化」を不可逆的な非識別化を意味する言葉として使用する場合もあります。

一方で、PDPCガイドラインにおいては、「匿名化」を可逆的な場合及び不可逆的な場合の双方を含むものとして使用されています。もっとも、使用される特定のプロセスが可逆的であることは、事業者が再識別のリスクを管理する際の考慮要素となります。

 ガイドラインによると、「匿名化」の例としては次のようなものが挙げられます。[1]

(a) 偽名化:個人識別情報を、他の参照情報で置き換えること。例えば、個人の名前を、ランダムに生成されるタグや参照番号で置き換えること。

(b) 集計:個人を特定できるような個々の値が表示されないように、値を合計で表示すること。例えば、8人の年齢(33歳,35歳,34歳,37歳,42歳,45歳,37歳,40歳)のデータセットにつき、年齢を表示するのではなく、グループに含まれる個人の年齢の合計(303歳)を表示すること。

(c) 置換:値又は値の一部を、計算された平均値又は値から得られた数値に置き換えること。例えば、目的のために正確な年齢を必要としない場合において、年齢が15歳、18歳、20歳の人を17歳の値に置き換えて、区別を曖昧にすること。

(d) データの圧縮:目的に必要のない値を削除すること。例えば、個人の属性のデータセットから「民族」を削除すること。

(e) データの再コード化又は一般化:ある個人情報のカテゴリをより広範なカテゴリにグループ化等すること。例えば、正確な教育レベル(K1、Primary 3、Secondary 2等)をより広いカテゴリ(Pre-primary、Primary、Secondary等)にグループ化したり、与えられた範囲内の値を隠したりすること(例:年齢「43」を範囲「40-50」に置き換える等)。

(f) データのシャッフル:個人情報の値を同じ種類のものと混ぜ合わせたり、置き換えたりすることにより、情報が似ているように見えても実際の詳細とは無関係なものとすること。例えば、顧客データベースの名字を、別のデータベースから抽出した名字に置き換えることによるサニタイズ

(g) マスキング:データの見た目を維持したまま、特定の詳細を削除すること。例えば、NRIC番号の完全な文字列を「S1234567A」ではなく「#####567A」と表現すること。

また、この「匿名化」にあたっては、それぞれ匿名化されたデータセットを組み合わせることにより、個人が再識別されるリスクについても留意が必要とされます。各事業者においては、個人情報の匿名化を行う場合には、この再識別のリスクも勘案することが求められています。[2]

[1] 但し、PDPCは、特定の方法を推奨又は支援するものではなく、各事業者において、それぞれの状況や業務上の背景等に基づき、独自に方法を判断することが求められています。

[2] 以上につき、詳細は、Advisory Guidelines on the PDPA for Selected Topics(https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/AG-on-Selected-Topics/Advisory-Guidelines-on-PDPA-for-Selected-Topics-9-Oct-2019.pdf?la=en)の「匿名化」(Anonymisation)の項をご参照ください。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年06月14日(月)2:56 PM

シンガポール個人情報保護法Q&A(第10回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第10回)

 

2021年6月14日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第10回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.保護義務の遵守のために推奨されるセキュリティアレンジメントとして、もう少し具体的な対応例があれば教えてください。

 第9回で述べた通り、保護義務の遵守のための具体的な措置については、各事業者が個々の状況に応じて自ら検討・対応すべきことになりますが、ガイドラインにおいても、いくつかの具体的な措置の例が示されています。具体的なセキュリティアレンジメントとしては、管理上の措置(administrative measures)、物理的な措置(physical measures)、技術的な措置(technical measures)、又はこれらの組み合わせ等、次のようなものが挙げられています。

(1) 管理上の措置(administrative measures)の例

(a) 従業員との間で、雇用契約上の守秘義務を確実に規定し、その拘束、遵守を求めること。

(b) また、守秘義務に関し、違反時における懲戒等の結果を伴い得る強固な方針と手順を実施すること。

(c) 定期的な研修を実施し、個人情報の取り扱いに関するベストプラクティスを周知させるとともに、個人情報の安全性に対する脅威に対する認識を強化すること。

(d) 適切な量の個人情報のみを保有するようにし、不必要な個人情報を保有しないようにすること。

(2) 物理的な措置(physical measures)の例

(a) その情報が機密文書であることを明確かつ目立つように明記すること。

(b) 施錠されたキャビネット等で機密文書を保管すること。

(c) 従業員による機密文書へのアクセス権限を、必要な人員・場合のみに制限すること。

(d) のぞき見防止フィルタ等を使用し、無関係者によるPC上の個人情報の閲覧を最小限に抑えること。

(e) 不要になった機密文書は、シュレッダー等で適切に処分すること。

(f) 適切なレベルのセキュリティが確保された個人情報の伝達又は送信方法を実施すること(例:必要な場合には、通常の郵便物ではなく、書留郵便物を使用する)。

(g) 個人情報が必要な場合にのみアクセスできるように、保管されている個人情報のサマリーを提供すること。

(h) 個人情報の漏洩を防ぐために、個人情報の受取人が本人であることを確認すること。

(3) 技術的な措置(technical measures)の例

(a) コンピュータネットワークの安全性を確保すること。

(b) 適切なアクセスコントロール措置を採用すること(例:場合によっては、より強力な認証手段を検討する等)。

(c) 個人情報の暗号化による不正アクセスの防止

(d) コンピュータ画面が一定期間無操作である場合のセルフロック機能の設定

(e) 適切なセキュリティソフトをインストールし、コンピュータのセキュリティ設定を常にアップデートすること。

(f) 再利用、販売、廃棄されるIT機器内の個人情報を廃棄すること。

(g) 機密性の高い電子メールを送信及び/又は受信する際に、適切なレベルの電子メールセキュリティ設定を使用すること。

(h) ITサービスプロバイダが必要な水準のITセキュリティを提供できることを確認しておくこと。

 以上のとおり、これらの措置の一つ一つを見ると、ごく一般的に考えられる対応であると思われるため、従前より意識的に対応されている事業者各位におかれては、新たに特段の対応を取る必要は必ずしもないと考えられます。一方で、実際にはこれらの措置がとられていないことで外部からの不正アクセスを許し、個人情報の漏洩事故が発生して処分に繋がるというケースも少なくないため、留意が必要とも言えます。

 また、ご案内の通り、PDPAの違反事例(処分事例)はPDPCのウェブサイト[1]で実名公表されるため、実際の処罰による罰金等の負担のほか、違反企業として実名が掲載されてしまうこと自体によるレピュテーションリスクも無しとは言えませんが、これらの公表されている事例としては、保護義務違反による処分が最も多くの割合を占めています[2]。一方で、実際に漏洩事故が発生した場合でも、調査の結果、相応の適切な対策がとられていたことが認定された場合には、「違反無し」との判断となっているケースも複数みられています(その場合でも実名公表はなされているのが現状ではあります。)。

PDPCにおいても、漏洩事故を100%防ぐことはできない旨は認めているところであり、その意味でも「予防的措置」として、上記の各種セキュリティアレンジメントを可能な限り整備していただければと考えております。

Q. 保有制限義務(Retention Limitation Obligation)とは、どのような義務ですか。

 保有制限義務(第25条)とは、事業者が、個人情報を収集した目的が既に達成され(更なる保有によっても達成されなくなり)、法律上又は事業上の目的のために保有する必要がなくなったと考えるのが妥当であると判断された時点で、個人情報を含む文書の保持を中止し、又は個人情報と特定の個人との関連付けを可能にする手段を削除すべき義務を言います。

この点、保持制限義務により、各事業者が必要もないのに個人情報を永続的に保有することを防ぐことができる一方で、各事業者にもそれぞれ異なる業務上のニーズがありうるため、保持制限義務においては、明確かつ画一的な個人情報の保有可能期間を定めていません。その代わり、事業者が個人情報を適法に保有しうる期間は、その個人情報の収集目的や、個人情報の保有が必要となりうる他の法的又は事業上の目的を考慮して、その保有が合理的であるか否かにより決せられるものとされています。

他方、PDPA以外に適用される可能性のある法律や業界標準の要件等がある場合には、別途それを遵守すべきことには注意が必要です。

Q. 保有制限期間の判断にあたっては、どのような点に注意する必要がありますか。

 上述のとおり、PDPAにおいては、個人情報の保有可能期間については明確に定めていません。しかしながら、ガイドラインにおいては、実務上の注意点として次のような観点が紹介されています。

(1) 個人情報の収集目的に関して

(a) その個人情報の収集目的として有効とされた目的のうち少なくとも1つ以上が有効である限り、保有可能である。[3]

(b) 一方で、個人情報は、事業者が「他の目的で必要となるかもしれない」といった理由で「念のため」に保有し続けることはできない。

(2) 「法律上又は事業上の目的がある場合」に関して

(a) 事業者が関与する継続的な法的措置のために個人情報が必要な場合[4]

(b) その個人情報を必要とするその他の適用法令、規制、国際的・地域的・二国間の基準に基づく組織の義務を遵守するため

(c) 年次報告書の作成や業績予測等、事業者が業務を遂行するために必要な場合

[1] https://www.pdpc.gov.sg/all-commissions-decisions

[2] 過去の弊所集計に基づくと、概ね次の状況となっています。
※集計表は、PDFをご覧ください。

[3] 例えば、講師や生徒の個人情報を収集しているダンススクールにおいて、講師や生徒が退会したような場合でも、個人情報の収集・使用目的として「同窓生のネットワークを維持する目的」が含まれることにつき本人の同意を得ていた場合には、そのダンススクールは、正当な目的のために個人情報を保有しているものであり、保有制限義務に基づく保有停止の必要はないとされています。また、小売業者が商品の販売のために取得した個人情報について、会計及び請求管理の目的で、販売時点を超えて顧客から収集した個人情報を含む請求情報を保有することも認められます。

[4] 例えば、シンガポールにおいて一般的な時効期間を定めるLimitation Act (Cap. 163)によると、ある契約に基づく訴訟は、訴訟原因が発生した日から6年以内に提起されなければならないため、それが事業者が保有する個人情報にも関わる場合には、契約終了日から7年間は契約に関する記録を保持し、その期間内に調査や法的手続きが開始された場合には、さらに長い期間保有することが正当化されることも考えられます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年05月25日(火)9:38 PM

シンガポール個人情報保護法Q&A(第9回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第9回)

 

2021年5月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第9回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q. 正確性義務(Accuracy Obligation)とは、どのような義務ですか。

正確性義務(第23条)とは、収集された個人情報が正確かつ完全なものである場合において、それが本人に影響を与える決定をするためにその事業者により使用される可能性がある場合、又は他の事業者に開示される可能性がある場合には、事業者が、その正確性・完全性を保証するための合理的な努力をすべき義務を言います。

このような正確性義務を履行し、個人情報の正確性と完全性を保証するために、事業者は、以下のような事項が確保されるよう合理的な努力をしなければなりません。

(a) 収集した個人情報が正確に記録されること。

(b) 収集する個人情報に、関連する全ての部分が含まれること。

(c) 個人情報の正確性と正確性を確保するために、状況に応じた適切な(合理的な)措置が講じられていること。

(d) 情報更新の必要性が検討されること。

 この点、何をもって「合理的な努力」と言えるかについてはケースバイケースであり、実際の状況により異なりますが、一般には、次のような要素を考慮すべきとされています。

(a) 個人情報の性質及び当該個人にとっての重要性(例えば、個人情報が健康状態等、個人の重要な側面に関連しているかどうか)

(b) 個人情報が収集、使用又は開示される目的

(c) 個人情報の信頼性(信頼できる情報源・手段から得られたか等)

(d) 個人情報の新規性(その個人情報が最近のものなのか、それとも少し前のものなのか等)

(e) 個人情報が不正確又は不完全であった場合の本人への影響(当該個人情報を開示された相手の事業者がその情報をどのように利用するか等を考慮)

 また、収集した個人情報の正確性・完全性の確認については、その情報の出所の信頼性に応じて異なるアプローチをとることができます。例えば、個人から直接提供された個人情報については、基本的に正確であると想定されますが、この正確性に疑義がある場合、又は高度の確実性が必要な場合等には、事業者は、提供された個人情報の正確性・完全性についての確認を、その提供者である個人に求めることができます。また、個人情報の新規性が重要な場合には、事業者は、個人から提供された個人情報が最新のものであることを確認するための措置を講じる必要があります(例えば、本人に大きな影響を与えるような判断をする前に、個人情報の最新のコピーを要求する等)。

 これは、例えば銀行のローンを借り入れる際に、個人が、申込書に記載した個人情報(を含む必要事項)の真実性・正確性を認める欄にチェックを付けたり、提供された情報が最新のものであることについて保証する欄にチェックしたりすることを求めることにより担保することが考えられます。

 一方で、本人以外の情報源から個人情報を収集する場合には、事業者は、より注意を払わなければならず、例えば、個人情報の提供元から、その個人情報の正確性と完全性を検証したという確認を求め、さらに独自に検証を行う等して対応することが考えられます。

更に、個人情報を更新すべきか否かの判断にあたっても、同様の考慮事項が適用されます。全ての個人情報が更新を必要とするわけではないものの(例えば、過去の事実や履歴に関する情報等)、意思決定の過程で古い個人情報を使用することが相応しくない場合には、事業者はそのような個人情報を更新することが必要であると考えられます。この点に関して、ガイドラインでは、例えば会社主催のアクティビティに参加する従業員に対して健康診断の記録を求める場合、それは最新の情報である必要があり、入社時のものから更新されているべき必要性が高いと言えます。また、特定部門への異動の際に必要とされる資格や専門的スキル等についても、過去のものでは不十分であり、現時点で有効なものである必要があると説明されています。

Q.  保護義務(Protection Obligation)とは、どのような義務ですか。

保護義務(第24条)とは、事業者が、不正アクセス、収集、使用、開示、複写、変更、廃棄又はこれらに類似のリスクを防止するため、合理的な安全対策を講じることにより、その保有し、又は管理下にある個人情報を保護すべき義務を言います。

 ガイドラインによると、事業者が保護義務を遵守するための「決定版」と言える解決策(‘one size fits all’ solution)は存在せず、各事業者は、個人情報の性質、個人情報が収集された形態(物理的な資料か、電子版か、等)、及び、無権限の者が個人情報を取得、修正、又は廃棄した場合の関係者への影響等を考慮して、状況に応じて合理的かつ適切なセキュリティ対策を採用することを検討する必要があるとされています。例えば、雇用の場面においては、従業員の「評価」に関する情報のような機密性の高いものについては、他の従業員に関する一般的な情報と比較して、より高いレベルのセキュリティを期待するのが合理的と言えます。

Q.  保護義務(Protection Obligation)を順守するためには、具体的にはどのような措置を講じる必要がありますか。

 ガイドラインにおいては、保護義務を順守するために事業者が講じるべき実務上の措置(セキュリティアレンジメント)として、次のような事項が挙げられています。

(a) 事業者が保有する個人情報の性質やセキュリティ違反から生じ得る損害を考慮した上で、 セキュリティ対策を設計し、組織化すること。

(b) 信頼性が高く、十分な訓練を受けた情報セキュリティ要員を確保すること。

(c) 個人情報の重要性(sensitivity)に応じた様々なレベルの個人情報について、それぞれ適切なレベルのセキュリティを確保するためのポリシーを策定すること。

(d) 情報セキュリティ侵害行為に迅速かつ効果的に対応するための準備と能力を具備させること。

 また、上記のようなセキュリティアレンジメントが適切であるか否かを確認するために、(a) 事業者の規模、保有する個人情報の量や種類、(b) 事業者内において個人情報にアクセスできるか人員の範囲、(c) 個人情報が事業者以外の第三者により保有されたり、使用される予定があるか否か、といった要素を考慮し、事業者におけるリスクアセスメントを実施することが有益であると紹介されています。

 このように、保護義務の遵守のための具体的な措置については各事業者が個々の状況に応じて自ら検討・対応すべきことになるため、実際の日常業務の状況を踏まえたセルフ・アセスメントが重要となってくるものと思われます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年05月03日(月)10:50 AM

シンガポール個人情報保護法Q&A(第8回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第8回)

 

2021年5月3日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第8回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.訂正義務(Correction Obligation)の具体的な内容は、どのようなものですか。

PDPA第22条第1項においては、個人は、事業者が保有し、又はその管理下にある個人情報の誤りや脱落の訂正をその事業者に求めること(以下、「訂正要請」)ができることが規定されています。

訂正要請を受けた事業者は、要請通りに訂正を行うべきかどうかを検討する義務を負います。この点について、第22条第2項に基づき、事業者は、合理的な理由により訂正を行うべきではないと判断した場合を除き、次のことを行わなければなりません。

  1. a) 実務上可能な限り、速やかに個人情報を訂正すること。
  2. b) 個人情報の訂正を求められた日から1年以内に、その対象となる個人情報を開示した他の全ての事業者に訂正後の個人情報を送付すること。但し、当該他の事業者が何らかの法律上又は事業上の目的のために、その訂正後の個人情報が不要な場合を除く。

なお、事業者は、第22条に基づく個人情報の訂正を要請された場合には、訂正料を請求することはできません。

Q.事業者が訂正義務を履行しなくても良い場合はありますか。

この訂正義務(第22条第1項)には、第22条第6項及び第7項に基づき、いくつかの例外が存在しています。

第22条第2項に基づく訂正にかかる他の事業者への通知義務に関して、第22条第3項においては、信用情報機関以外の事業者は、本人の同意を得た上で、訂正後の個人情報の送付先につき、当該事業者が開示した特定の組織に限定することができるとされています。

そして、この通知を受けた他の事業者は、訂正を行うべきではないという合理的な理由がある場合を除き、第22条第4項に基づき、その事業者が保有し、又はその管理下にある個人情報を同様に訂正することが求められています。

このような義務については、次のような事例をもとに理解することができると思われます。すなわち、あるオンライン小売業者が、顧客から住所(顧客の個人情報の一部)のアップデートを求められた場合には、その小売業者は、通常は顧客の訂正要請を拒否する合理的な理由がないため、データベースにおける顧客の住所を訂正(アップデート)することになります。そして、その小売業者は、訂正後の住所を、顧客に対するアフターサービスを提供する関連会社に送信します。しかし、顧客の保証期間が既に終了している場合には、その関連会社は、法律上又はビジネス上の目的で訂正された住所を必要としないと考えられるため、特段の訂正を行わないことになります。更に、この小売業者は、顧客が小売業者から購入した特定の製品の配送を行った宅配業者には、既に法律上又は事業上の目的で顧客の更新された住所を必要としないため、訂正された住所を送る必要はないと考えられます。

なお、訂正を行わない合理的な理由がある場合であっても、事業者は第22条第5項に基づき、訂正を求められたにもかかわらず訂正を行わなかったことを示す注釈(メモ)を、対象となった個人情報に記載すべきことになる点には注意が必要です。実務上は、更に、訂正を行わないことを決定した理由を本人に説明することが推奨されると説明されています。

このほか、第22条第7項においては、附則6(Sixth Schedule)で定められた事項については、訂正を行う必要はないと規定されています。これには次のようなものがあります。

(a) 評価目的[1]のみのために保管されている意見にかかる情報[2]

(b) 教育機関が実施する試験、試験のスクリプト、試験結果の公表前の試験結果

(c) 私的信託の受益者の個人情報であって、信託の管理のみを目的として保管されるもの

(d) 仲裁・調停機関が管理する仲裁・調停手続の目的のみのために、その機関が保管するもの

(e) 手続が完了していない刑事手続に係る文書

 また、第22条第6項に基づき、事業者は、専門家意見に関するものについても訂正が不要ということになっています。

上記にかかわらず、事業者は、第21条第1項に基づき、合理的に可能な限り速やかにアクセスを提供し、第22条第2項に基づき、実務上可能な限り速やかに個人情報を修正する責任を負うとされています。

 

以上

[1] 「評価目的」については、第2条第1項において次の通り定義されています。

(a) その個人情報が関係する個人の適性、能力又は資格を決定する目的:(i) 雇用又は役職への任命、(ii) 雇用又は役職における昇進、継続、(iii) 解雇、(iv) 教育機関への入学、(v) 契約、賞、奨学金、名誉、又はその他の類似の給付の授与、(vi) 運動又は芸術に関する選考、又は (vii) 公的機関が管理するスキームの下での財政的若しくは社会的援助の付与、又は適切な保健サービスの提供のため

(b) 契約、賞、奨学金、名誉、又はその他の同様の給付を継続、修正又は取消すべきかどうかを決定する目的

(c) 個人若しくは財産に保険をかけるかどうか、又は、保険を継続若しくは更新するかどうかを決定する目的

(d) その他これに類する目的で大臣が定めるもの

[2] 例えば、雇用主が保管する従業員の業績評価記録に関する情報がこれに該当します。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年04月05日(月)3:15 PM

シンガポール個人情報保護法Q&A(第7回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第7回)

 

2021年4月5日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第7回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

Q.事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか

前回記事の通り、事業者は、個人からアクセス請求があった場合には、その請求に基づき、対象となる個人情報へのアクセスを認めなければなりません(第21条第1項)。

しかし、同条項は例外を設けており、アクセスを認めないことにつき正当な理由がある場合には、その理由を本人に通知することで、アクセス請求を拒否することができます。

まず、事業者は、前回も述べた通り、附則5(Fifth Schedule)に基づくアクセス要件の例外が適用される場合には、その請求に応じないことができます(第21条第2項)。具体的には、例えば次のような事項が含まれます(詳細は原文をご参照ください。)。

(1) 評価目的[1]のみのために保管されている意見にかかる情報[2]

(2) 教育機関が実施する試験、試験スクリプト及び試験結果の公表前の試験結果

(3) 私的信託の受益者の個人情報であって、信託の管理のみを目的として保有するもの

(4) 仲裁・調停機関が管理する仲裁・調停手続の目的のみのためにその機関が保管する個人情報

(5) 起訴に関連する全ての手続が完了していない場合の起訴に関連する文書

(6) 秘匿特権の対象となる個人情報

(7) 開示されると事業者の競争力を損なう可能性があると合理的に考えられる商業上の機密情報が明らかになる個人情報

(8) 請求が反復して行われることにより、事業者の運営に不当に支障を及ぼすおそれがある場合

(9) アクセスを提供するための負担又は費用が事業者にとって不合理であり、又は個人の利益とのバランスが取れていないものである場合[3]

(10) 存在しない情報又は発見できない情報である場合

(11) リクエストが些末であるか、又は煩わしいものである場合[4]

また、事業者は、政府機関などによる調査又は手続のために必要な場合において、その個人情報が所定の法執行機関の権限を有する職員に開示されているときは、個人情報をその法執行機関に開示したことを、いかなる個人又は組織にも通知してはならないことなっています(第21条第4項参照)。この点について、事業者は、その調査若しくは手続及び関連する不服申立てが完了していない場合には、対象となる個人情報の存在を否定し、又は調査若しくは手続における同意なく個人情報を使用することを拒否することができます[5]

さらに、事業者は、アクセス請求に回答するためのコスト(コピー代等)を見積もり、それに関する費用を事前に定めて通知することにより、請求者がその費用の支払いに同意しない限り、回答を拒絶することもできます。なお、この費用の適否については、PDPCが必要に応じて審査をし、減額の指示などをすることもできます(第28条第1項(b)、第2項(b))。

一方で、事業者は、アクセス請求に応じて個人情報等を提供することにより、次のことが合理的に予想される場合には、その請求に応じて個人情報を提供してはならないとされます(第21条第3項)。

(a) アクセス請求者以外の者の安全又は身体的若しくは精神的健康を脅かすこと。

(b) アクセス請求者自身の安全又は身体的・精神的健康に対し、差し迫った若しくは重大な危害を及ぼすこと。

(c) 他人の個人情報が明らかになる場合[6]

(d) 他の個人に関する個人情報を提供した個人の身元を明らかにする場合であって、その個人情報を提供した個人がその身元の開示に同意していない場合

(e) 国益に反する場合

この点に関し、事業者が個人情報の定期的な廃棄又は削除を予定している場合(例:CCTV システムは X 日ごとに映像を削除する、又は個人情報を含む物理的な文書を X 日ごとにシュレッダー処理する、等)には、その事業者は、アクセス請求を受けた後、合理的に可能な限り速やかに請求された個人情報を特定し、アクセス請求への対応のために必要な個人情報が保存されているようにしなければなりません。

ただし、事業者は、アクセス請求があるかもしれないからといって、「念のため」個人情報を不必要に保存しないように注意しなければならず、また、そうするための事業上又は法的目的がない場合には、個人情報を無期限に保有し続けてはならない(保有制限義務)点には注意が必要です。

Q.事業者が、(正当な理由により)アクセス請求を拒否した場合には、その後にどのような対応をとる必要がありますか。

事業者が、第21条及び下位規則の規定に基づき、本人からのアクセス請求のあった個人情報の一部又は全部を提供しないことが適切であると判断した場合には、対象となった個人情報(以下、「保留個人情報」)については、本人が事業者による不開示の決定の見直しを求める可能性があるため、その(不開示の)通知を送付した後、少なくとも 30 日間、保留個人情報のコピーを保存しておかなければならないとされます。

そもそも、事業者による不開示決定に対しては、PDPCが、その決定に対する審査権限を有するため(第28条第1項)、本人がPDPCに対してその審査申請を提出し、PDPCがそれを受理すると判断した場合には、事業者は、PDPCからの審査申請の通知を受領した時点で、その審査が終了し、本人が上訴等を申請する権利がなくなるまで、保有する個人情報を保存しなければならないことになります。

そして、PDPCが、当該事業者が対象となる個人情報へのアクセスを拒否する適切な理由がなく、第21条に違反していると判断した場合には、第29条に基づく強制措置を受ける可能性があるため注意が必要です。

なお、実務上、事業者は、受信した全てのアクセス請求と処理の記録を保持し、 請求されたアクセスが提供されたか拒否されたかを明確に文書化しておかなければならないとされます。

以上

[1] 「評価目的」については、第2条第1項において次の通り定義されています。

(a) データが関係する個人の適性、能力又は資格を決定する目的:(i) 雇用又は役職への任命、(ii) 雇用又は役職における昇進、継続、(iii)解雇、(iv) 教育機関への入学、(v) 契約、賞、奨学金、名誉、又はその他の類似の給付の授与、(vi) 運動又は芸術に関する選考、又は (vii) 公的機関が管理するスキームの下での財政的若しくは社会的援助の付与、又は適切な保健サービスの提供のため

(b) 契約、賞、奨学金、名誉、又はその他の同様の給付を継続、修正又は取消すべきかどうかを決定する目的

(c) 個人若しくは財産に保険をかけるかどうか、又は、保険を継続若しくは更新するかどうかを決定する目的

(d) その他これに類する目的で大臣が定めるもの

[2] 例えば、雇用主が保管する従業員の業績評価記録に関する情報がこれに該当します。

[3] 例えば、ショッピングセンターに対し、過去1年間に同センターで録画された個人のCCTV映像を全て見たいというリクエストを受けたような場合には、同ショッピングセンターが過去1年間の全てのCCTV映像を見直し、リクエストした個人の記録を発見するためにかなりの時間と労力が必要になるため、負担が不合理に大きく、かつ、個人の利益に不釣り合いであり、ショッピングセンターはこの請求に応じる必要がないと説明されています。

[4] 例えば、アクセス請求者の氏名や電話番号といった、本人が明らかに知っているであろうと思われる情報を敢えてリクエストする場合等が該当するとされています。

[5] なお、例えば捜査や起訴の開始前に個人情報が収集されたが、その後手続きが係属した場合には、個人は、PDPAに基づくアクセス請求ではなく、刑事・民事のディスカバリー制度を通じてアクセスを図るべきであると説明されています。

[6] 但し、その他人が同意している場合や、PDPA上、同意が不要な場合を除きます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年03月15日(月)10:45 AM

シンガポール個人情報保護法Q&A(第6回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第6回)

 

2021年3月15日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第6回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.事業者は、個人情報に対して、どのようなアクセスを提供しなければなりませんか。

PDPA第21条第1項においては、個人は、事業者に対して次の情報にアクセスすることを求めることができ、事業者は、本人の請求があった場合には、合理的に可能な限り速やかにこれらの情報を本人に提供しなければならないと規定されています。

(a) その事業者が保有し、又は管理している、本人に関する個人情報の一部又は全部

(b) 本人の請求日から1年以内に、当該個人情報が事業者によって使用され、又は開示された(若しくはその可能性があった)方法に関する情報

 事業者は、原則として、請求を受けた全ての個人情報に対するアクセスを認めなければなりませんが、附則5(Fifth Schedule)において、アクセス義務が免除されうる場合が列挙されています。

また、個人からアクセス請求を受けた場合でも、その時点で保有しておらず、又は管理下にはなくなっていた個人情報に対するアクセスを実現させる必要はなく、事業者は、その個人情報を保有等していないことを理由にアクセス請求に応じることができない旨を、請求者に通知することができます。また、個人情報の出所に関する情報を提供する必要もないと説明されています。

一方で、個人情報へのアクセスを請求する個人は、状況に応じて、書面による当該個人情報の写しを求めることができますが、この場合、事業者は、写し作成のための一定の費用を請求できるとされています[1]。また、対象となる個人情報の文書化が現実的に困難な場合(例えば、事業者が所有するデバイスから対象となる個人情報を抽出することができない場合等)、事業者は、対象となる個人情報を直接確認する合理的な機会を提供すべきとされます。

すなわち、事業者によるアクセス提供義務は、このように独立して抽出・提供することが困難な個人情報にも同様に適用されることになりますので、留意が必要と言えます。その保管の形式を問わず、管理下にあるすべての個人情報の収集、使用、及び開示を追跡するためのプロセスを実施することが、事業者には求められていることになります。

もっとも、アクセスを提供することによる負担や費用が事業者にとって不合理であったり、個人の利益に不釣り合いであったり、請求が軽薄であったり煩わしいと言える場合には、アクセスを提供する必要はありません[2]

一方で、事業者は、個人からのアクセス請求に対応する前に、その請求者について適切な検証を行う等して、身元確認の適切な手段を講じるべきであるとされています。この点について、PDPCにおいては、どのように本人確認を得るべきかについての具体的方法を示していませんが、無用の事後的な紛争を避けるため、その対応がPDPAに準拠していることを証明するための証拠となりうるような何らかの書類を用意しておくことが奨励されています。また、アクセス請求を処理する際の検証の実施に関する標準的な運用手順を定めたポリシーを定めることも考えられます(例えば、アクセス請求を処理する従業員が、本人確認のために申請者に質問することができるとする等)。また、アクセスの請求者が代理人であった場合には、有効な代理権の有無を確認すべきとされています。

Q.事業者が、個人情報の利用又は開示の方法に関する情報を提供する際の留意点はありますか。

第21条第1項のとおり、個人情報の利用又は開示に関する情報の提供が求められた場合、事業者は、過去1年間に個人情報がどのように利用・開示されたか、又はそれらの可能性があるかに関する情報を提供しなければなりません。ただ、この点については、多くの場合、このようなアクセス請求への対応の一環として、個人情報が開示された先(特定の第三者)のリストを提供するのではなく、開示基準に関するリストを提供することで代えることができるとされています。また、このようなリストは定期的にアップデートされる必要があるとされます。

なお、一般的には、個人情報が開示された第三者に関する情報の請求に応じる際には、個人情報の開示先の一般的なカテゴリー(例:「製薬会社」のみを提供するのではなく、具体的な名称(例:「製薬会社ABC」)を個別に特定するべきであり、これにより、個人情報が開示された第三者機関に個人が直接アプローチできるようにすべきとされている点、注意が必要です。

このほか、過去 1 年間に個人情報がどのように利用されたか、又は利用された可能性があるかを特定する際に、事業者は、個人情報が利用された(又はその可能性のある)具体的な目的そのものではなく、その目的の概要を説明することで足りるとされます。例えば、ある事業者が、アクセス要請前の1年間に、外部の監査人に個人情報を複数回開示していた可能性があるとする場合、アクセス要請に応じる際には、個人情報が開示された全ての事例を記載するのではなく、監査目的で開示されたとのみ回答することが可能であるとされています。

なお、事業者がとるべき実際の対応は、具体的なアクセスの要請内容によって異なりますが、事業者が責任を果たしたと言えるためには、合理的な人物が状況に応じて適切と考える程度にまで行う必要がある点には留意が必要です。

また、事業者は、個人からのアクセス請求を受け取った時点から合理的に可能な限り速やかに対応しなければなりません。アクセス請求を受けてから 30 日以内に回答できない場合には、原則として、30日経過前に回答可能な期間を書面で本人に通知しなければなりません。

 

[1] 詳細については、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。

[2] この点の詳細についても、第7回記事Q.「事業者が、個人からのアクセス請求を拒絶でき、又は拒絶すべき場合はありますか。」の項をご参照下さい。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年01月25日(月)11:43 PM

シンガポール個人情報保護法Q&A(第5回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第5回)

 

2021 年1月25日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第5回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.事業者が目的を記載する際には、どの程度詳細な情報まで含める必要がありますか。

 

事業者は、個人情報の収集、利用又は開示を行う理由や方法を、その情報を提供する本人が判断できるように、目的について適切なレベルで詳細に記載しなければなりません。ただし、事業者は、個人情報の収集、利用又は開示に関連して行う全ての活動を明示する必要はないとされます。

 この点に関し、記載が「適切なレベル」かどうかを判断するにあたっての考慮要素として、PDPCは次のような事項を挙げています。

(a) 目的が明確かつ簡潔に記載されているか。

(b) 製品やサービスを提供するために主に必要な目的かどうか(付随的な目的とは異なる)。

(c) 個人情報を第三者に開示する場合には、開示先の第三者をどのように本人に周知させるべきか。

(d) 目的をより具体的に記載することにより、本人によるその目的の理解を促進するか、妨げになるか。

(e) 事業者のビジネス上、どの程度の具体性が適切か。

PDPCが挙げている例としては、電機店がウェブサイトを通じて商品をオンラインで販売している場合に、そのウェブサイトを通じて商品を購入した個人顧客に対して、顧客から提供された連絡先を、電機店のグループ内他社や委託先であるマーケティング会社に開示し、同社グループ内の様々な企業の商品を随時マーケティングする目的で開示することを含めて目的を通知している場合には、この電機店は十分に具体的な目的を述べていると考えられる反面、その電機店が、個人情報の利用・開示目的として「有効な事業目的のため」に使用され、開示される可能性があることのみを通知しているとすれば、この電機店は十分に具体的な目的を述べていないとされます。

 

Q.事業者が目的を個人に通知するにあたっては、どのような方法によることが推奨されますか。

 

個人情報が収集、使用又は開示される目的を本人に知らせることは、データ保護規定の目的のために同意を得るための重要な側面です。したがって、組織は、通知が明確でわかりやすく、適切な情報を提供し、容易にアクセスできるように努めなければなりません。

この点に関し、PDPCによれば、個人に対する目的の通知方法を検討する際には、事業者は以下のような点を考慮すべきであるとされます。

(a) 目的を確認するために、個人がどの記載に注意を向ければよいのかについて、見出しを明確に示し、個人を混乱させたり誤解させたりするような法律的又は難解な用語や表現を避け、理解しやすく、対象者に適した通知を作成すること。

(b) 最も重要な情報(目的の要約等)又は基本的な情報(事業者のデータ保護責任者(DPO)の連絡先等)をできるだけ目立つように、契約書の最初のページ等に掲載し、より詳細な情報を別の場所(事業者のウェブサイト等)に提供することで、階層ごとに記載すること。

(c) 目的に特別な事項が含まれていないかどうか、通常の取引当事者から見て予想外のものが含まれていないかどうかを考慮し、そのような目的が含まれている場合には、それらが適切な方法で強調されるべきかどうかを検討すること。

(d) 通知を提供するための最も適切なチャネルを選択すること(例えば、フォーマット書面、ウェブサイト上における書面、対面での口頭による通知等)。

(e) 通知の方針と実践の有効性と妥当性を定期的に見直すこと。

 

Q.個人情報の収集目的とは異なる目的での利用や開示は認められますか。

 

PDPCにおいても、事業者が本人に通知していない、又は本人の同意を得ていない目的のために個人情報を使用又は開示したい場合がありうることは否定していません。

この点、事業者がまだ本人に通知していない、若しくは本人の同意を得ていない目的で個人情報を利用又は開示しようとする場合には、事業者は、目的通知義務及び同意取得義務に基づき、その時点で目的を本人に通知し、同意を得る必要があります。

一方、新たな同意を得ることなく、特定の目的のために個人情報を利用又は開示することができるかどうかを判断する際には、以下の点を判断しなければならないとされています。

(a) その目的が、本人に通知した目的の範囲内であるかどうか、例えば、本人との既存の取引関係を事業者が処理するために必要な範囲内であるかどうか。

(b) 当該目的のための利用又は開示について、本人の同意があったとみなすことができるかどうか。

(c) 目的が PDPA第3条及び第4条の同意の例外に該当するかどうか。

目的が上記(a)から(c)のいずれにも該当しない場合は、新たな目的での利用・開示について、本人の再同意を得る必要があるということになります。

例えば、マッサージ店の顧客となっている個人に対し、そのメンバーシップの有効期間中に、グリーティングカードや店舗の年間ニュースレターを郵送する目的でその顧客の個人情報を使用することは、上記(a)項に該当して認められうると説明されています。これは、事業者が個人との既存の取引関係を維持するためのサービスの一環として、事前に同意を得ているはずであるためです。

一方で、そのマッサージ店の関連会社であるヘアサロンのプロモーションに関する情報を送信する場合には、上記顧客が契約していない新しいサービスを宣伝する情報を送信することになるため、上記(a)ないし(c)のいずれにも該当せず、事前に顧客の同意を得る必要がある可能性が高いと考えられます。

 

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2021年01月05日(火)9:59 AM

シンガポール個人情報保護法Q&A(第4回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第4回)

 

2021 年1月5日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第4回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q. 目的通知義務(Notification Obligation)とは、どのような義務ですか。

目的通知義務(PDPA第20条)とは、事業者が、個人情報の収集、利用又は開示をしようとするときは、その収集、利用又は開示の時、若しくはその前に、その目的を本人に通知すべき義務を言います。事業者による個人情報の収集、利用、開示は、本人に通知したその目的の範囲内に限定されることになります。また、収集時に通知されていなかった目的による個人情報の利用又は開示についても、その利用又は開示前に目的を通知しなければなりません。よって、本人に通知されていない目的による個人情報の使用(目的外使用)は、違法ということになります。

もっとも、PDPA第15条に基づき「みなし同意」が成立している場合、又は同意取得義務の例外(附則2(Second Schedule)ないし附則4(Fourth Schedule))に該当する場合には、通知は不要となります。

この目的通知義務に関し、PDPCガイドラインにおいては、次の3つの点について言及しています。

(a) 事業者は、どの時点で目的を個人に通知しなければならないか。

(b) 事業者が目的を本人に通知すべき方法と形式

(c) 事業者が目的を記載する際に含まれるべき情報と詳細

 この点に関し、第3回記事にて言及した通り、2020年11月、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになりました。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。

 そして、みなし同意(第2回記事もご参照下さい。)については、上記の改正法案により、新たに次の2つの類型が導入されました。

(i) 契約上の必要性によるみなし同意(第15条第3項、第4項):個人と、その個人情報の提供先である事業者との間の契約の締結や履行のために、その事業者から別の事業者への個人情報の開示について、同意があるとみなされる場合[1]

(ii) 通知によるみなし同意(第15A条):合理的な状況において、かつ、一定のオプトアウト期間が定められている等の条件を具備する場合には、個人に対する通知のみをもってみなし同意の存在が認められる場合[2]

Q.事業者は、いつの時点で目的を個人に通知しなければならないでしょうか。

PDPA第20条第1項及び第4項によれば、事業者は、個人情報の収集、利用又は開示の目的を、その収集、利用又は開示の「その時点」、又は「事前」に本人に通知する必要があります。一般には、事業者が個人と何らかの契約を結ぶ際には、その時点で契約者の個人情報を取得することになると思われますが、例えば保険会社が個人顧客と保険契約を締結する場合には、ブローカー等がその顧客の個人情報を取得する必要があるケースも考えられるため、その場合は、保険契約締結の前の通知が必要となると言えます。

このほか、事業者が個人情報を定期的に収集、使用又は開示をする必要がある場合には、その事業者は、最初の収集行為の前に本人にその目的を通知しなければならないとされています。

Q.事業者は、どのような方法・形式により目的を本人に通知すべきでしょうか。

PDPAには、事業者が個人情報の収集、利用、開示の目的を本人に通知する際の具体的な方法や形式は、特段規定されていません。そのため、各事業者は、個人がその事業者による個人情報の収集、利用又は開示の目的を理解するために必要な情報を提供するための最適な方法を自ら決定しなければならないことになります。

そして、この目的を個人に通知する適切な方法や形式を決定する際には、(a) その個人情報収集時の状況、(b) 収集する個人情報の分量、(c) 個人情報収集の頻度、(d) 通知が提供されるチャネル(対面又は電話での会話等)といった要素を考慮すべきとされます。

また、この点については、当然ではありますが、無用なトラブルの発生を避けるため、可能な限り、個人情報収集の目的を書面又は電子的に記録し、事後的に再現できる形で残しておくことが推奨されます。

このほか、一般には、目的の通知に関しては、個人情報保護ポリシー(プライバシーポリシー等)を通じて行われるケースも少なくないと思われます。この点に関し、PDPA上、事業者は、PDPAが求める義務を果たすために必要な方針や手順を制定・適用し、そのような方針や手順に関する情報を公開することが求められています(説明義務)。そのため、各事業者においては、プライバシーポリシーを作成し、そのウェブサイトや文書の形式で個人に対して公開する等して、この説明義務を果たすことが必要となります。

また、プライバシーポリシーにより個人への通知を行うにあたっては、PDPCから、次のような点に関する注意喚起がなされているため、この点についても念頭に置いていただければと存じます。

(a) そのポリシーが物理的な文書として個人に提供されていない場合、事業者は、その個人に関する情報を収集する前に、ポリシーを確認する機会を与えなければならない。例えば、個人がフィットネスジムでサービスに申し込む場合、当該ジムは、その個人に対して、収集される個人情報について当該ポリシーのうち最も関連性の高い部分を抜粋した文書を提供し、更にポリシー全体が確認できるURLを案内する等しなければならない。

(b) プライバシーポリシー上の目的について、あまりに一般的な用語でしか記述されていない場合には、 例えば特定のサービスに申し込む等といった状況において、特定の個人に対して、その目的をより具体的に説明して、個人情報がどのように収集、使用又は開示されるのかを明確にする必要が生じるケースがある。

 

                                                                                                                                                    以 上

[1] 例としては、GIRO等の定期的な引き落としによる支払いがなされる取引について、顧客である個人の支払い処理に必要な情報について、直接の取引先のみならず、引き落としに関わる銀行等に対するみなし同意が成立しうることが挙げられています。

[2] 例としては、不特定多数の会員が集まる展示会会場にセンサーを設置していることを通知し、各来場者が訪れた展示物や滞在時間を分析するため、来場者の顔画像や動きのデータを収集しようとする場合等が挙げられています。

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年12月07日(月)9:58 AM

シンガポール個人情報保護法Q&A(第3回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第3回)

 

2020 年12月6日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第3回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q. 個人の同意なく個人情報を収集・使用・開示することが可能な場合(同意取得義務の例外)には、どのようなものがありますか。

 

先般述べたような同意取得義務の存在に関わらず、PDPAでは、一定の場合に、個人による同意なく個人情報を収集、使用又は開示することが認められています(附則2(Second Schedule)~附則4(Fourth Schedule))。これらの各附則において共通する項目としては、例えば次のようなものがあります(当然ながら、各附則ごとに異なる項目もありますので、詳細は、実際の各附則をご確認ください。)[1]

(a) その個人情報の収集、使用又は開示が、本人又はその他の個人の生命、健康又は安全に対する差し迫った危険に対応するために必要な場合

(b) その個人情報の収集、使用又は開示が、一般的に利用可能(publicly available)な場合

(c) その個人情報の収集、使用又は開示が、国家の利益のために必要な場合

これらのうち、「一般的に利用可能(publicly available)」とは、第2条第1項で定義されており、公衆において一般的に入手可能な個人情報(個人に関するもの)を指し、その個人が登場する、一般に公開されている場所やイベント[2]において合理的に予想される手段によって取得されうる個人情報を含みます。つまり、個人情報が、一般市民の誰もが、ほとんど又は全く制限を受けずにそのデータを取得又はアクセスできる場合には、一般に利用可能であると言えます。多少の制限があっても、その個人情報が「一般的に利用可能」であることを妨げない場合もありえます。

例えば、個人情報がある特定のオンライングループに開示されているが、そのグループが比較的オープンであり、公衆が最小限の労力で参加できる場合、その開示されている個人情報は「一般的に利用可能」であると言える可能性が高いと考えられます。

逆に、個人情報がその個人の家族や親しい友人のみのグループに開示されている場合や、意図せずにそのグループ外の一人に開示されたような場合には、その開示された個人情報は「一般的に利用可能」とは言えない可能性が高いと言えます。

 よって、例えばフェイスブック等のSNS上のプロフィールであっても、アクセス制限がかかっていない(インターネット上で検索可能)な場合には「一般的に利用可能」であり、開示先が友人のみ等に限定されているような場合にはそうではない、ということになると思われます。

なお、この点で注意が必要なのは、SNS上のプロフィール等については、ユーザーの設定により公開範囲を容易に変更し得ることから、ある時点において「一般的に利用可能」であっても、その後、随時に「一般的に利用可能」ではなくなる可能性があるという点です。この点について、PDPCにおいては、そのような「一般的に利用可能」な個人情報を取得した事業者に対し、その都度、その個人情報の公開範囲を確認したりする義務を課すことは過大な負担となりうるため、取得時において「一般的に利用可能」であった個人情報は、事後的にSNS上では非公開となったとしても、事業者が対応する例外規定の下でその個人の同意なしに個人情報を使用又は開示することができるという立場をとることを明言しています。

 以上のほか、ショッピングモールにセキュリティ目的で設置されたCCTVに撮影された買い物客の画像等も、通常、「一般的に利用可能」な個人情報に該当すると考えられます。

なお、これらの同意取得義務に対する例外は、他の法律の下で生じる権利義務等に影響を与えるものではないため、PDPAに基づき例外が適用された場合でも、事業者は、機密情報の保護やその他の契約上の義務等、その他の法的義務を遵守することが求められる点には注意が必要です。

 

Q. 目的制限義務(Purpose Limitation Obligation)とは、どのような義務ですか。

 

目的制限義務(PDPA第18条)とは、事業者が、合理的な人物がその状況下で適切であると考え、かつ、状況により関係する個人に対して通知がなされている目的(合理的な目的)のためにのみ、本人に関する個人情報を収集、使用、開示すべきであるとする義務を言います。すなわち、事業者が個人情報を収集、利用及び開示できる目的及び範囲が、本条により制限されることになります。

通知された目的が合理的であるかどうかは、合理的な人物がその状況において適切であると考えるかどうかによることになり、その判断にあたっては、関係する諸般の状況を考慮する必要があります。そこで、例えば、違法な目的や、関係者個人にとって有害な目的は、通常、合理的な人が適切であると考える可能性が低いため、目的制限義務に沿わない(よって、その目的で個人情報は使用できない)ことになると考えられます。

 この点に関し、PDPCによれば、例えば、ある洋品店がメンバーシップ制度を導入し、その会員登録フォームに記入された個人情報の利用目的として、「新製品やプロモーションの最新情報の提供、その他同社が適切と考えるその他の目的」と記載した場合、「新製品やプロモーションの最新情報の提供」については合理的でありうるものの、「その洋品店が「適切と考えるその他の目的」については、その範囲が無限定となるため、合理的であるとは考えられないとされている点は注意が必要です。

 なお、この目的制限義務は、第20条に定める目的通知義務と併せて、個人情報が収集、使用又は開示される目的を、この義務に基づき関係者に通知されたものに限定することにもなります。

 

[1] なお、近日、PDPAの改正法案(Personal Data Protection (Amendment) Bill 2020)がシンガポール議会により可決され、今後、その内容が施行されていくことになります。同法案が施行されると、個人情報の収集・使用・開示の各義務の例外は基本的に附則1(First Schedule)に集約され、現在の附則2(Second Schedule)から附則4(Fourth Schedule)は廃止(repeal)されることになります。同法案の基本的な枠組みとしては、現行法と大きく異なるものではありませんが、例外に対する考え方については、現在よりも事業者の実際のビジネス上の都合や、その合法的な利益(経済的な利益を含む)に配慮したものとなっていると言えます。同法案の原文についてはhttps://www.mci.gov.sg/-/media/mcicorp/doc/public-consultations/public-consultation-on-pdp-amendment-bill—14may2020/pdp-amendment-bill.ashx、法案可決についてのプレスリリースはhttps://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2020/11/amendments-to-the-personal-data-protection-act-and-spam-control-act-passed?page=4をご参照下さい。

[2] ある場所やイベントが「一般に公開されている」と言えるか否かについても、ケースバイケースで判断されることになると考えられますが、PDPCによれば、多少の制限が存在したとしても、なお、その場所が「一般に公開されている」と言えるケースがあることが説明されています。例えば、一般市民が有料でなければ入場できないようなイベントであっても、入場料が必要というだけでは、なお「一般に公開されている」とみなされる場合があります。また、小売業者のロイヤリティプログラムの会員向けの特別イベントも、そのイベントが多数の会員に開かれていたかどうか等の関連要因によっては、一般に公開されているとみなされる場合があるとされています。

 逆に、通常は「一般に公開されている」と言えるレストラン等であっても、それが貸し切られている場合には「一般に公開されている」とは言えず、仮に外から覗き込むことができるような状況でも、公開性はないと言えます。

 

以 上

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

2020年11月09日(月)8:37 PM

シンガポール個人情報保護法Q&A(第2回)についてニュースレターを発行いたしました。

PDF版は以下からご確認ください。

シンガポール個人情報保護法Q&A(第2回)

 

2020 年11月9日

One Asia Lawyers シンガポール事務所

 

シンガポール個人情報保護法Q&A(第2回)

 

本稿執筆の背景については、第1回記事の冒頭をご参照ください。

 

Q.みなし同意は、どのような場合に認められますか。

 PDPA第15条は、一定の状況における「みなし同意」、すなわち、個人が実際には同意を与えていないにも関わらず、事業者が同意を取得したとみなすことができる場合を認めています。

 この「みなし同意」の成立には、①個人が自主的にその個人情報を提供したこと、及び②その個人情報の提供が合理的であると考えられること、という2つの要件が必要となっています(同条第1項)。

 ガイドラインによると、例えば、マッサージやスパのサービスを利用した顧客が、その代金支払いのためにマッサージ店にクレジットカードを提示したようなケースで「みなし同意」が成立しうると説明されています。

 一方で、例えば、電話でタクシーを予約する際にタクシー会社に伝えた氏名や電話番号を、その会社のリムジンサービスのためのマーケティングに使用することは、自主的な個人情報の提供が合理的にあったとは言えず、「みなし同意」が成立しないと説明されています。

 更に、第15条第2項に基づき、個人がある目的のために事業者Aから事業者Bへの個人情報の開示に同意し、又は同意したとみなされる場合、その個人は、同じ目的のために事業者Bに対する個人情報の収集にも同意したものとみなされます。

上記のマッサージ店の例で言うと、この場合、「みなし同意」は、そのマッサージ店のみならず、その代金決済のために関与するその他の事業者(クレジットカードを提供している銀行、決済業者、決済システムのプロバイダ等)に対しても適用されることになります。

すなわち、上記の通り、顧客がマッサージサービスの利用代金支払のためにクレジットカードを提示した場合には、その顧客は、クレジットカードの支払い処理のために、自己のクレジットカード情報をマッサージ店が収集、使用、又は開示することに同意したとみなされますが、更に支払い処理の過程では、そのクレジットカード情報が支払いを取り扱う銀行に当然に送信されることになります。そして、顧客は、このこと(取扱銀行への情報送信)を認識していると考えられるため、顧客は、マッサージ店が顧客のクレジットカード情報を銀行に開示することに同意したものとみなされ、更にマッサージ店への支払い処理の目的で銀行が自己のクレジットカード情報を収集することにも同意したものとみなされることになります。

なお、以上は比較的わかりやすい例ですが、必ずしもこのように明確に「みなし同意」が成立するケースばかりではないと思われます。そのような場合には、無用なトラブルを避けるため、当然ながら出来る限り直接明確な(「みなし同意」ではない)同意を取得されることが推奨されます(ガイドラインにおいても、同様の指摘がなされています。)。

 

Q. 個人情報の主体(本人)以外の第三者による同意が認められる場合には、どのようなものがありますか。

 個人情報について、本人以外の第三者による同意が認められる場合には、第14条第4項に基づく代理人による同意が認められる場合、及び、上記の第15条第2項に基づく「みなし同意」が成立する場合が考えられます。

このように第三者から個人情報を取得する事業者は、同意主体となる第三者が、本当に本人に代わって個人情報の収集、使用、及び開示について有効な同意を与えることができる状況であるのか否か(第14条第4項の場合)、第三者が個人情報の開示について同意を得ているか否か(第15条第2項の場合)を、適切に確認しなければなりません。このようなプロセスが十分でなく、実際に本人から有効な同意を得られていなかったような場合には、事業者による何らかのPDPA違反行為があった場合に、PDPCにより処分(加重)要因の一つとして考慮される可能性があると考えられます。

 そして、上記のような確認のプロセスを経たと言えるためには、本人以外の第三者による同意に基づき個人情報を取得する事業者は、その状況に応じて、情報源となる第三者との間で次のような対応をとることが推奨されています。

(a) 事業者と第三者との間の契約において、第三者が特定の目的のために本人の個人情報を事業者に開示することが、本人から第三者に付与された同意の範囲内であることについての承諾を受けること。

(b) 第三者からの書面による確認を得ること。

(c) 第三者から口頭での確認を取得し、適切な形式で文書化すること。

(d) 個人情報を開示するために本人が第三者に同意したことを示す書類の写しを入手すること。

 

Q. 個人による同意の撤回に関するルールは、どのようになっていますか。

PDPA第16条においては、個人がいったん、事業者に与えた同意について、撤回が可能である旨が規定されています。

この同意の撤回に関して、第16条においては、個人又は事業者が遵守すべきものとして、次のようなルールを設けています。

(a) 個人は、事業者に対して合理的な通知をしなければならない(第16条第1項)。

(b) 事業者がその通知を受けた場合には、その個人に同意の撤回の結果を通知しなければならない(第16条第2項)。一般には、この結果の通知は、個人による撤回の通知を受領してから10営業日以内であることが望ましい。

(c) 事業者は、本人が同意を撤回することを禁止してはならない。ただし、同意の撤回により生じうる一定の法的効果の発生は否定されない (第16条第3項) [1]

(d) 同意が撤回された場合、事業者は、原則として、個人情報の収集、使用、又は開示を停止し、かつ、そのデータ仲介業者及び代理人にそれらを停止させなければならない(第16条第4項)。

この点について、PDPCからは、上記のようなルールに則った同意の撤回のため、サンプルフォーマットが公表されていますので、併せてご参照下さい[2]

 なお、同意が撤回された場合でも、事業者は、直ちにその撤回された個人情報を削除する義務までは負わず、必要な限度で保持しておくことが可能とされています。この点についての詳細は、保有制限義務の項をご参照ください。

 

以 上

[1] 例えば、サービス提供目的での氏名、住所等の開示についての同意が撤回された場合、当然ながら、事業者にとってはサービスが提供できなくなるため、そのサービス提供契約は解除されうることになります。

[2] Sample Clauses for Obtaining and Withdrawing Consent(https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/sampleclausesforobtainingandwithdrawingconsent8may2015.pdf

本記事やご相談に関するご照会は以下までお願い致します。

tomoyoshi.ina@oneasia.legal

Older Posts »