「シンガポール最新法令情報‐(2019年12月号) 個人情報保護法ガイドラインの改正」

1.はじめに

2019年10月9日、シンガポールの個人情報保護委員会(Personal Data Protection Commission)は、個人情報保護法(Personal Data Protection Act 2012(以下「PDPA」という))にかかるAdvisory Guidelines on Key Concepts in the PDPA(以下「Key Conceptsガイドライン」という)を改正し、個人情報をシンガポール国外に移転する際の事業者及び情報受託者(Data Intermediary)の義務を明確化するとともに、データ主体からの情報開示請求に対する事業者による対応のルールを詳細に規定した。また、クラウドサービスの利用増加に対応するため、Advisory Guidelines On The Personal Data Protection Act For Selected Topics(以下「Selected Topicsガイドライン」という)に第8章を追加し、クラウドサービスを介して個人情報を取扱う場合における、クラウドサービスを利用する事業者及びクラウドサービスプロバイダー(以下「CSP」という)の責任を明確化した。

PDPAに違反した場合には、10,000シンガポールドル(約80万円)以下の罰金や禁固刑に処されるだけでなく、インターネット上で違反した企業名、違反の概要や罰金の額等が開示される。シンガポール政府は、他のASEAN諸国と比較して、より積極的に違反を摘発しており、シンガポールで事業を行うに際しては個人情報保護法遵守につき慎重に対応する必要がある。ガイドライン自体に法的拘束力があるわけではないものの、個人情報委員会が個々の事例にPDPAを適用する際に指針とされるものであるため、度々更新されるガイドラインの内容に留意しておくべきである。

2.Key Conceptsガイドラインの改正

(1) 国外移転の際の事業者及び情報受託者の義務(第6章の改正)

PDPA上、事業者は、当該事業者に代わって情報受託者(例えば、市場調査会社、給与計算受託会社、データサーバー会社等)が処理した個人情報について、事業者自身が処理した場合と同様の義務を負うとされている。

今回のKey Conceptsガイドライン第6章の改正により、個人情報を国外移転する場面における事業者の責任が明確化された。すなわち、事業者が情報受託者を起用して個人情報を処理させる場合、事業者自身がシンガポール国外の情報受託者に個人情報を移転するか、それとも事業者が起用したシンガポール国内の情報受託者が処理の一環として個人情報を国外へ移転するかを問わず、情報受託者を起用した事業者がPDPA上の国外移転規制を遵守する責任を負うことが明記された。

PDPA上の国外移転規制により、事業者は、国外に移転された個人情報が、PDPAの規定と同水準で保護されることを確保することを求められる。したがって、事業者は、情報受託者を起用する際に、当該情報受託者がPDPAと同水準で個人情報を保護することができることを確認するために、適切なデューデリジェンスを実施して確証を得る責任を負う。デューデリジェンスを実施するにあたっては、事業者は、情報受託者の情報保護ポリシーや慣行(業界基準への適合証明や遵守確約等)に依拠することが考えられる。

(2) 情報開示請求に対する対応(第15章の改正)

PDPA上、個人は、事業者が保有する自身の個人情報にアクセスしたり訂正を求めたりする権利が定められており、事業者はそのようなアクセスを提供したり訂正に応じたりする義務を負うとされている。

そして、Key Conceptsガイドラインは、個人情報へのアクセスや訂正に関する具体的な手続を規定しており、今般のガイドラインの改訂によって、さらに手続が明確化された。

例えば、事業者が開示要求に従う必要がない場合に関するルールや、個人情報へのアクセスにかかる手数料に関するルール等がより詳細に規定された。

3.Selected Topicsガイドラインの改正

Selected Topicsガイドラインに新たに第8章が追加され、個人情報の処理にあたりクラウドサービスを利用する事業者の責任や、事業者に代わって個人情報を処理するCSPの責任が明確化された。

(1) クラウドサービスを利用する事業者の責任

事業者は、クラウドサービスを利用する場合、CSPによって処理される個人情報につき、PDPA上の全ての義務を遵守する責任を負う。

したがって、事業者が、CSP(シンガポール国内外を問わない)のクラウドサービスの利用を通じて個人情報を国外へ移転する場合には、事業者自身が、国外移転に関するPDPA上の義務が遵守されることにつき責任を負う。

そこで、事業者は、CSPが国外移転に関する義務を遵守すること、すなわち、CSPが、PDPAと同等の個人情報保護制度を備えている場所、又は、移転された個人情報をPDPAと同等の水準で保護する法的な義務を負う者にのみ、個人情報を移転することを確保しなければならない。このような法令遵守の問題については、事業者とCSPとの間で締結する契約書に定め、情報保護の水準や国外移転先について明記しておくべきである。

なお、シンガポールのCSPは、情報受託者として個人情報を処理するにあたり、PDPAの情報保護規定の保護水準を満たさなければならない。ISO27001やMTCS(Multi-Tiered Cloud Security)認証スキームのTier 3のような業界基準は、CSPがPDPAの保護義務を遵守する能力を持つことの保証になり得る。

事業者とCSPとの間の契約書において、CSPが個人情報を移転できる場所(国)が特定されておらずCSPの裁量に委ねられている場合には、シンガポールに拠点を置くCSPが業界基準(例えば、ISO27001)に適合していることの証明等を受けており、かつ、CSPが、国外の全てのデータセンターや再委託先がその基準を遵守することの保証を提供すれば、事業者は、国外移転に関する義務を遵守するために適切な手段を講じたと考えられる。

(2) CSPの責任

CSPは、事業者に代わって個人情報を処理する場合、情報受託者に該当し、PDPA上の個人情報保護義務及び保有制限義務に服する。この義務は、クラウドサービスプロバイダーがシンガポール国外のデータセンターで処理又は保有する個人情報にも及ぶ。

なお、CSPは、事業者との契約に基づく個人情報の処理にあたらない独自の活動については、事業者としてPDPA上の全ての義務を負う。

以上

TMI総合法律事務所 シンガポールオフィス

下野健/永津隆子

——————————————————————————–

本稿は一般的な法令情報を提供するものであり、シンガポール法に関するアドバイスや法的意見を提供するものではありません。

ページの先頭へ