Sorry, this entry is only available in JP. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

シンガポールにおける個人情報保護法

 

シンガポールには、Personal Data Protection Act 2012 (PDPA)と呼ばれる個人情報保護法が存在します。PDPAに違反した場合、S$1,000,000以下の過料や禁固刑に処されるだけでなく、インターネット上で違反した企業名、違反の概要や罰金の額等が開示されます。個人情報保護法制の運用状況は国によってまちまちですが、シンガポール政府は他のアセアン諸国と比較して、非常に積極的に違反を摘発しており、シンガポールで事業を行うに際しては個人情報保護法のコンプライアンスについて慎重に対応する必要があります。本稿では、PDPAの概要とそのコンプライアンス上の留意点について説明します。

 

１．適用対象

PDPAは事業者(Organization)に適用されるとされており、ここにいう事業者にはシンガポールで事業を行う個人・シンガポール法人・外国法人が幅広く含まれることとされており、日本の個人情報保護法制のような取扱個人情報数による適用除外が認められていないことも相まって、シンガポールで事業を行なっているほぼ全ての日系企業にPDPAは適用されることになります。

 

２．個人情報の範囲

PDPAでは個人情報(Personal Data)とは、その真偽を問わず、個人を特定できる情報又はその情報と事業者が保有若しくはアクセス可能な情報と合わせて個人を特定できる情報と定義されており、非常に幅広い情報が個人情報に該当することになります。

 

３．事業者に課される義務

PDPAが適用される事業者が個人情報を保有する場合、事業者は以下の義務・制約に服することになります。

(i) 同意取得義務：事業者は個人から得た同意の範囲でのみ、個人情報の収集、使用又は開示が可能であり、個人情報の収集、使用又は開示を行う場合、個人からの同意の取得が義務付けられます。

(ii)目的の制限：事業者は個人に通知した目的の範囲かつその目的が合理的と判断されるであろう場合に限り、その保有する個人情報を収集、使用又は開示することができます。

(iii)通知義務：事業者は、個人に対して、以下の通知義務を負います。

   1.個人情報を収集する際又はその前に、個人情報の利用目的を通知しなければならない

   2.個人情報の使用・開示の際に別の目的がある場合には、使用・開示前に、その目的を通知しなければならない

(iv)個人情報へのアクセスおよびその訂正：事業者は、個人に対して、その求めに対して、以下の情報を開示又は訂正しなければなりません(ただし、一定の例外あり)

   1.事業者が保有・管理する当該個人の個人情報

   2.当該個人情報の利用・開示に関する情報(ただし請求から1年以内の情報に限る)

(v)正確性の確保：事業者は収集した個人情報の正確性を確保しなければなりません。

(vi) 保護義務：事業者は、所有・管理する個人情報を保護するために必要なセキュリティ対策を講じなければなりません。

(vii) 保持制限：事業者は個人情報を取得した目的が達成できない場合又はその保持が必要でなくなった場合、その個人情報の保有を停止しなければなりません。

(viii)国外移転の際に講ずべき措置：収集した個人情報は原則としてシンガポール国外に移転することができず、適法に移転するためには、移転先においてもPDPAと同水準の個人情報の保護が図られることなどガイドライン所定の事項を遵守しなければなりません。

(ix)開示義務：事業者は、PDPAを遵守させるための責任者を1人以上選任しなければならず、その事業上の連絡先に関する情報を公開しなければなりません。

 

４．留意事項

以上のように、シンガポールで事業を行う場合、原則としてPDPAのコンプライアンスを果たす必要がありますが、事業者に課される義務は幅広いものとなっています。ただし、実際に摘発されている事例には一定の傾向があり、個人情報法保護委員会(Personal Data Protection Committee)のWebサイトにおける2019年の公開摘発事例を見ると、80%を超えるケースにおいて(vi)保護義務違反が指摘されており、個人情報のセキュリティ構築が、PDPAコンプライアンス上で重要な課題であるということができます。また、必ずしも流出情報数が多くない件についても摘発事例が見受けられ、日系企業についても実際に摘発例が公表されていることからすると、取り扱い個人情報数の数に関わらず、PDPAのコンプライアンス対応を実施する必要があると言えます。

 

＜お問い合わせ先＞

FAIR CONSULTING SINGAPORE PTE.LTD.
8 Temasek Boulevard, #35-02A Suntec Tower Three,Singapore 038988
TEL：+65 6338 3180 | FAX ：+65 6338 3187
公認会計士 伊藤 潤哉 Junya Ito (C.P.A (JAPAN))
E Mail：ju.ito@faircongrp.com

弁護士 遠藤 衛  Mamoru Endo

E-Mail：m.endo@faircongrp.com