© Business & Law LLC.

はじめに

近年、テクノロジーの進化やデータの活用方法の多様化などに伴い、個人情報を含むデータの保護および移転に関する規制が各国・各地域で進められています。シンガポールでは2012年に個人データの収集、使用および開示に関する一般法としてPersonal Data Protection Act 2012(以下、「PDPA」といいます)が成立し、2013年1月2日に施行され、2014年から全面的に適用が開始されました。そして、2020年にはPDPAの改正法注1(以下、「改正法」といいます)が成立し、2021年2月1日から段階的に施行されています。
PDPAは個人情報を含むデータをシンガポール国外に移転することを原則として禁止し、一定の要件を満たした場合にのみ移転を認めるという規制のため、国境を越えてデータをやりとりする場合には、PDPAに従った移転を行う必要があります。
シンガポールでは、個人情報保護委員会 (Personal Data Protection Commission(以下、「PDPC」といいます))がPDPAの監督官庁としてPDPAの下位法令やガイドラインを策定・公表するとともに、PDPA違反の事例についての摘発や公表を積極的に行っています。PDPAの違反は、企業にとっては罰金のリスクのみならず、レピュテーションリスクにもつながります。

そこで、諸外国におけるデータ越境移転規制について解説する本シリーズの第4回・第5回として、本稿ではシンガポールにおける個人情報保護法であるPDPAとその改正法の概要、個人データの国外移転規制、およびPDPA違反に対する摘発状況について、2回に分けて解説します。
前半である今回は、PDPAと、2020年に成立した改正法の概要について解説します。

シンガポール個人情報保護法(PDPA)の概要

個人データ(Personal Data)とは

PDPAは、「個人データ」を「真実かどうかにかかわらず、それ自体で、またはその事業者が利用可能なもしくは利用可能と思われる他の情報と組み合わせることにより、特定可能な個人に関する情報」と定義しています注2
この定義によれば、特定された個人に関する情報であれば、広く個人データに該当することになります。ただし、少なくとも100年以上前から記録されている個人のデータや、死亡してから10年以上経過した個人についてのデータは、個人データから除かれます注3。個人データを、特定の個人を識別することができず、かつ、可逆的または不可逆的なデータに変換するプロセスにより匿名化し、個人が特定できないようにされた情報についてもPDPAの適用はありません注4
また、ビジネス上の目的で提供される個人の氏名、役職、肩書、ビジネス上の電話番号・Eメールアドレス、オフィスの住所など、当該個人がその個人的な目的のためにのみ提供するものではない「ビジネスコンタクト情報」についても、PDPAの適用対象外となります注5。したがって、仕事の関係で取得した名刺に記載されている情報については、原則としてPDPAの適用はないと考えられ、このような情報については収集、使用および開示するために本人の同意を得る必要はなく、その他のPDPA上の義務を遵守する必要もありません注6

PDPAの適用対象

PDPAは、「事業者(Organisation)」に適用されますが、事業者には法人も自然人である個人も含まれ、シンガポール法人か外国法人か、シンガポール居住者か非居住者か、シンガポールにオフィスを有しているか否かにかかわらないと定義されています注7。したがって、日本に所在する日本企業や個人であっても、シンガポールにおいて個人データを収集、使用または開示するのであれば適用対象となり注8、またシンガポールに所在する駐在事務所や支店など、比較的規模が小さい事業者にも適用されます。
個人データがシンガポール国外からシンガポール国内に移転された場合、当該個人データはシンガポール国内に移転された時点で、PDPAの対象となります。このため、シンガポールにおいて当該個人データを保有する事業者は、PDPAに従って個人データを取り扱う必要があります。

主要な義務

PDPAは、事業者が個人データを収集、使用、開示する場合に、主に図表1に示すような10の義務を規定しています注9

図表1 PDPA上の事業者の義務

① 個人の同意を取得する義務
  (PDPA 13条~17条)

事業者は、個人データを収集、使用または開示する前に本人の同意を取得しなければなりません。原則として明示的な同意取得が必要ですが、みなし同意が認められる場合や同意取得を不要とする例外規定があります。改正法により、みなし同意が認められる範囲が拡大されるとともに、同意取得を不要とする例外規定が追加されました。詳細はで解説します。

② 使用の目的を制限する義務
  (PDPA 18条)

事業者は、適切であると合理的に考えられる目的のためにのみ、個人データを収集、使用または開示することができます。目的が適切かどうかは、合理的な人がある状況においてそのような個人データの収集、使用または開示を適切であると考えるかどうかにより決められます。

③ 個人への通知義務
  (PDPA 20条)

事業者は、個人データの収集、使用もしくは開示をするとき、またはその前に、個人データの収集、使用または開示を行う目的を本人に通知しなければなりません。

④ アクセスと訂正の義務
  (PDPA 21条、22条、22 A条)

事業者は、本人から要求があった場合には、❶事業者が保有または管理している個人データおよび過去1年間に個人データが使用または開示された可能性に関する情報を個人に提供し、❷事業者が保有または管理している個人データの誤りまたは欠落を訂正しなければなりません。

⑤ 正確性を確保する義務
 (PDPA 23条)

事業者は、個人データが当該個人に影響を与える意思決定を行うために事業者が使用する可能性がある場合、または事業者が他の事業者に開示する可能性がある場合、収集した個人データが正確かつ完全であることを確保するために合理的な努力をしなければなりません。

⑥ 保護義務
  (PDPA 24条)

事業者は、❶個人データの不正アクセス、収集、使用、開示、複製、訂正または処分、または同様のリスク、および❷個人データが保存されている記録媒体またはデバイスの紛失を防ぐために、合理的な安全措置を講じることにより、保有または管理下にある個人データを保護しなければなりません。

⑦ 保持制限義務
  (PDPA 25条)

事業者は、❶個人データを収集した目的がなくなり、❷法的または業務上の目的のために保持する必要がなくなったとすることが合理的である場合には、ただちに個人データを含む文書の廃棄し、または個人が特定できないように匿名化しなければなりません。

⑧ 国外への移転制限義務
  (PDPA 26条)

事業者は、PDPAの規定に従って移転される場合を除き、原則として個人データをシンガポール国外の国または地域に移転することはできません。詳細は次回解説します。

⑨ 個人データ漏洩時の通知義務
  (PDPA 26 A条~26 E条)

事業者は、個人データの漏洩等が発覚した場合に、通知義務があるかどうかを迅速に検証し、通知義務があると判断した場合にはPDPCおよび当該個人に通知しなければなりません。改正法により新しく追加された義務です。詳細はで解説します。

⑩ 説明責任義務
  (PDPA 11条・12条)

事業者は、PDPAに基づく義務を果たすために、必要な個人データ保護ポリシーや手続を導入し、これらの情報を公開しなければなりません。データ保護責任者(Data Protection Officer)を選任し、その連絡先を公開する必要があります。

PDPAの適用対象となる事業者は、PDPAに従ってこれらの義務を遵守する必要がありますが、個人データを収集、使用および開示する者であっても、他者に代わって個人データを処理(process)する業者(Data Intermediary、以下、「情報処理業者」といいます)については、図表1に示した義務のうち、保護義務、保持制限義務、および個人データ漏洩時の通知義務のみが課され、その他の義務は課されません(PDPA 4条(2))注10。他方で、情報処理業者に対して情報の処理を委託する者(以下、「情報委託者」といいます)は、委託後の情報についても情報処理業者と同等の義務を負い続けます。したがって、情報委託者は、情報処理業者が適切に個人データを処理することができるかどうかを調査し、契約書等により委託の内容や個人データに関する情報処理業者の義務を明確に規定しておく必要があります。

改正法の概要

2021年2月1日から段階的に施行されている改正法によるPDPAの主たる改正点は、以下のとおりです。

個人データ漏洩時の通知義務

(1) 改正前

改正前にも個人データが漏洩した際にはPDPCに通知することがガイドライン上推奨されていましたが、今回の改正により、一定の要件を満たす個人データ漏洩の場合にはPDPCに報告することが法的に義務づけられました。

(2) PDPCへの通知義務

個人データの漏洩等によるデータ侵害(data breach)が、当該個人に重大な損害(significant harm)をもたらす、もしくはその可能性が高い場合、またはデータ侵害が大規模(significant scale、500人以上の個人データに影響を及ぼす場合)である、もしくはその可能性が高い場合に、事業者はPDPCに通知しなければなりません注11
なお、の重大な損害について、個人を特定することができる氏名、通称名、または個人識別番号注12に加えて、当該個人の財務情報、生命・健康保険情報、医療情報、監護・保護対象情報、養子縁組、電子取引情報等の情報が組み合わされて漏洩した場合には、「特定データ」として重大な損害をもたらすものとみなされます。たとえば、氏名が流出しただけでは損害が重大であるとはみなされませんが、氏名に加えてクレジットカード番号が漏洩した場合には重大な損害があるとみなされ、漏洩データの数にかかわらずPDPCに通知する義務が生じます。
また、漏洩した情報に、氏名や個人識別番号が含まれていない場合でも、口座名や口座番号等の口座情報に加えて、そのパスワードやセキュリティコードが漏洩した場合にも損害が重大であるとみなされ、漏洩データの数にかかわらずPDPCに通知する必要があります。

図表2 個人データ漏洩時の通知義務

改正後は、データ侵害(Data Breach)が以下に該当するとPDPCに通知する 法的義務あり

・ データ侵害が当該個人に重大な損害(significant harm)をもたらす、またはその可能性が高い場合、または 

・ データ侵害が大規模(significant scale、500人以上の個人データに影響を及ぼす場合)である、またはその可能性が高い場合

 損害が重大とみなされる特定データ 
(3) データ漏洩時の対応について

事業者は、データ漏洩が発覚した場合、原則として30日以内に、PDPCへの通知義務が生じるデータ侵害に該当するかどうかを合理的かつ迅速な方法で検証、判断しなければなりません注13。そして、PDPCへの通知義務があると判断した場合には、可能な限り速やかに(遅くとも当該判断をした日から3日以内に)PDPCに通知しなければなりません注14

(4) 個人への通知

データ漏洩により被害を受ける個人に重大な損害をもたらすか、またはその可能性が高い場合には、当該個人に対しても、状況に応じて合理的な方法で通知する必要があります注15

みなし同意の範囲の拡張

個人データを収集、使用または開示する場合には、原則として明示的な同意を取得することが必要ですが、改正法では、事業者による個人データの活用を促進するため、みなし同意(Deemed Consent)が認められる場合を拡大しました注16
改正前も、個人が明確な同意をしていなくても自らの個人データを特定の目的のために自発的に提供し、かつ自発的に個人データを提供することが合理的であるといえる場合には、当該目的のために当該個人データが収集、使用または開示されることについて当該個人の同意があるものとみなされてきました。たとえば、買い物のときに支払いのためにクレジットカードを渡した場合、「支払い」の目的の限度で個人データを収集および使用させることについて同意があったと合理的にいえるため、クレジットカードを受け取った店員は本人から明示的に同意を得る必要はなく、同意があったものとみなされます。
改正法は、上記のほか、契約上の必要性によるみなし同意と通知によるみなし同意(オプトアウト方式)を新たに認めました。
は、個人が契約を締結する際に契約の相手方である事業者に個人データを提供し、当該契約を履行するために合理的に必要である場合には、

  • 当該事業者から他の事業者(第三者)への当該個人データの開示
  • 当該第三者による当該個人データの収集および使用
  • 当該第三者による当該個人データのその後の他の第三者への開示

についてみなし同意が認められます。たとえば、上記の買い物の事例においてクレジットカードで支払いをした場合、本人は、店、カード会社、銀行、支払いシステムを提供しているプロバイダー等が「代金の支払い」という目的に必要な範囲で関係する個人データを、収集および使用することに同意したものとみなされます。
は、いわゆるオプトアウト方式によるみなし同意で、個人から同意を得る代わりに、個人データの収集、使用または開示について個人に通知し、オプトアウトの権利を行使するための合理的な期間を与え、その期間内にオプトアウトの権利を行使しなかった場合に、当該個人は同意したものとみなされます注17

同意取得を不要とする例外規定の追加

上記のみなし同意に加えて、改正法では、同意取得を不要とする例外規定を追加し拡張しました(図表3)。これまでも同意取得の例外を認めていましたが、「正当な利益(Legitimate Interests)」と「事業改善目的(Business Improvement Purposes)」が新たに追加されました。

図表3 同意取得が不要な場合

「正当な利益」の例外とは、個人データの収集、使用または開示が、事業者または他の者の正当な利益に関わる場合注18であってその正当な利益が当該個人への悪影響を上回る場合に、本人の同意がなくても個人データを利用できるとしたものです。ただし、正当な利益と個人の利益を比較考慮したうえで、個人に及ぼしうる悪影響を評価し、それを排除または削減するための合理的な措置を特定して実施しなければなりません。たとえば、不正行為の防止やマネーロンダリングを防止する目的で個人データを利用する場合が想定されています。
「事業改善目的」の例外とは、事業者が顧客をよりよく理解しようとしたり、商品、サービス、方法またはプロセスを改善または新たに開発しようとしたりする場合に同意なく利用できるとするものです注19

データポータビリティ対応義務の新設(未施行)

改正法は、個人が事業者に対して、保有する自身の個人データを他の企業に移行することを求めることができる制度(データポータビリティ)を新たに導入しました。
データポータビリティが認められるためには、

  • 当該データが電子的な形態で保有されていること
  • 当該個人が提供したデータおよびその活動情報であること
  • 移行元の事業者と当該個人との関係が継続中であること
  • 移行先の事業者がシンガポールに拠点を有していること

等の要件を満たす必要があります。なお、データの移転が

  • 個人の安全、身体的・精神的健康への脅威となる
  • 国益に反する場合、事業者の運営を不当に妨害するような権利の濫用に該当する
  • データ移転にかかる事業者への費用や負担が得られる個人の利益に比して不合理に過大である

等に該当する場合にはデータポータビリティは認められません。また、元データを利用することで得られた派生データはデータポータビリティの対象外とされる予定です。
本規定は現時点では施行されていませんが、近い将来施行される予定です。内容の詳細については今後発表されるガイドラインを待つ必要があります。

従業員に対する罰則の新設

改正前は、企業等の組織に所属する従業員等が個人データの取り扱いを誤ったとしても、当該従業員等が個人として処罰されることはありませんでした。ところが、今回の改正により、従業員等も個人データの悪質な利用は処罰の対象となりましたので留意が必要です注20
具体的には、事業者または公的機関が保有または管理する個人データに関して、従業員等が故意または過失により

  • 個人データの不正な開示
  • 不正な利益を得るため、または不正な損失を与える目的での個人データの不正な使用
  • 匿名化されたデータの再度の個人特定化

を権限なく行った場合、当該個人に対して5,000シンガポールドル以下の罰金および/または2年以下の禁固刑が科されます注21
なお、従業員等が個人として処罰されるか否かにかかわらず、雇用主である企業等は、従業員等が就労中に行ったPDPA違反に該当する行為について処罰される可能性があります注22

事業者に対する罰則の強化(未施行)

改正前のPDPAのもとでは、事業者に対しては最高で100万シンガポールドルの罰金が科される可能性がありましたが、改正法により罰金額の上限は、100万シンガポールドル、または事業者のシンガポールにおける年間総売上高の10%、のいずれか高い方の金額になります。この改正は現時点では施行されていませんが、2022年2月1日までに施行される見込みです。

*    *

以上、今回は、PDPAとその2020年改正法について解説しました。次回は個人データの国外移転規制や、PDPA違反の摘発状況について解説します。

→この連載を「まとめて読む」

[注]
  1. Personal Data Protection (Amendment) Act 2020 (No. 40 of 2020)。[]
  2. PDPA 2条。個人データの該当性については、PDPCが公表しているAdvisory Guidelines on Key Concepts in the Personal Data Protection Act(以下、「コンセプトガイドライン」といいます)のパート1第5項が例示を含めて詳しく説明しています。[]
  3. PDPA 4条(4)。日本の個人情報保護法では死者の情報は原則として個人情報に該当しませんが、シンガポールでは死者の情報でも死後10年を経過するまでは個人データに該当します。[]
  4. 匿名化の方法としては、たとえば、個人の氏名をランダムに生成された番号に置き換える、個々を識別できる値を削除してグループごとの値(たとえば各個人の年齢ではなく複数人の平均年齢)に変更する、目的に不要な属性データを削除する、個人の身分証番号を一部削除する等が考えられます。ただし、PDPCは特定の匿名化の方法を推奨しているわけではなく、個人データを保有する各事業者がどのような方法により匿名化することが最適かを各々の状況に応じて検討し、判断すべきであるとしています。ADVISORY GUIDELINES ON THE PERSONAL DATA PROTECTION ACT FOR SELECTED TOPICS(以下、「トピックガイドライン」といいます)パート1第3項。[]
  5. PDPA 2条、PDPA 4条(5)。[]
  6. ただし、ビジネス上の目的ではなく、個人的な目的のために名刺を渡したような場合には、名刺から得た個人に関する情報でも個人データに該当する場合があります。たとえば個人的な目的でフィットネスクラブに入会するために受付で名刺を渡した場合、フィットネスクラブがその名刺から得た情報は個人データに該当すると考えられます。[]
  7. PDPA 2条における定義は以下のとおりです。
    “organisation” includes any individual, company, association or body of persons, corporate or unincorporated, whether or not —
    (a) formed or recognised under the law of Singapore; or
    (b) resident, or having an office or a place of business, in Singapore;[]
  8. ただし、個人の資格で活動する場合、企業のために活動するその従業員などはPDPAの規定は一部適用されません(PDPA 4条(1))。[]
  9. コンセプトガイドライン10.2。[]
  10. 情報処理業者の行う処理(process)には、記録(recording)、保有(holding)、整理、調整または変更(organisation, adaptation or alteration)、検索(retrieval)、組み合わせ(combination)、送信(transmission)、抹消または破壊(erasure or destruction)が含まれると定義されています(PDPA 2条)。情報処理業者には、市場調査会社、給与計算受託会社、クラウドサービスプロバイダーなどが該当します。[]
  11. PDPA 26 B条。[]
  12. パスポート番号、NRIC(National Registration Identity Card)、FIN(Foreign Identification Number)、Work Permit等、個人を識別することができる番号。[]
  13. データ漏洩の発覚から30日以内に検証が完了できない場合には、検証に長い時間を要した理由をPDPCに説明できるようにしておくことが望ましいとされています。[]
  14. PDPA 26 D条。[]
  15. 同上。[]
  16. PDPAパートIV Division 1 Consent。[]
  17. オプトアウト方式を利用するためには、事業者においてリスク評価を実施したうえで、当該方法による個人データの収集、使用または開示が個人に悪影響を及ぼす可能性がないと判断するなど、一定の条件が課されます。どんな場合にでも利用できるわけではないので注意が必要であり、また、適切にオプトアウトの権利を行使する機会を確保することが重要です。[]
  18. 「正当な利益」は、一般的に事業者またはその他の者の法的利益をいい、特定の目的に関連しています。たとえば、評価目的、調査もしくは手続目的、負っている債務の回収もしくは支払目的、リーガルサービスを受ける目的、信用調査機関が信用調査をする目的、個人の雇用もしくは事業目的、雇用契約の締結、または雇用関係の管理もしくは終了など、広く含まれます。ただし、マーケティング目的の個人データの収集、使用または開示は正当な利益からは除外されています。[]
  19. この例外に依拠する場合には、当該個人データを利用することなく当該目的を合理的に達成することができない場合(個人データの利用が不可欠)、および合理的な人が状況に応じて適切と考える利用であることなどの要件を満たす必要があります。[]
  20. なお、PDPAに違反した企業等のオフィサー(取締役、パートナー、CEO、マネージャー、秘書役、その他同様の役割を負う者)が個人的な責任を負う場合については、今回の改正前から規定されています(PDPA 52条)。[]
  21. PDPA 48 D条~48 F条。[]
  22. PDPA 53条。[]

龍野 滋幹 氏

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士

2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)。2008年ニューヨーク州弁護士登録。2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年~東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、JV、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」の「M&A・会社法分野で特に活躍が目立つ2人」のうち1人として選定。

長田 真理子 氏

アンダーソン・毛利・友常法律事務所外国法共同事業 スペシャル・カウンセル弁護士・シンガポール外国法弁護士

2008年東京大学法科大学院卒業(法務博士)。2009年弁護士登録、2010年アンダーソン・毛利・友常法律事務所入所。2012年ベトナムVILAF法律事務所、2016年株式会社みずほ銀行法務部にて執務。2018年シンガポール外国法弁護士登録、アンダーソン・毛利・友常法律事務所シンガポールオフィスにて執務、現在に至る。2019年「シンガポールの契約書作成のポイント」(JCAジャーナル2019年1月号57頁)を執筆。また、「シンガポールにおけるDirectorおよびOfficerの責任」(2020年)、「シンガポール個人情報保護法の改正と動向」(2021年)のウェビナーに講師として登壇。