© Business & Law LLC.

はじめに(再掲)

近年、テクノロジーの進化やデータの活用方法の多様化などに伴い、個人情報を含むデータの保護および移転に関する規制が各国・各地域で進められています。シンガポールでは2012年に個人データの収集、使用および開示に関する一般法としてPersonal Data Protection Act 2012(以下、「PDPA」といいます)が成立し、2013年1月2日に施行され、2014年から全面的に適用が開始されました。そして、2020年にはPDPAの改正法注1(以下、「改正法」といいます)が成立し、2021年2月1日から段階的に施行されています。
PDPAは個人情報を含むデータをシンガポール国外に移転することを原則として禁止し、一定の要件を満たした場合にのみ移転を認めるという規制のため、国境を越えてデータをやりとりする場合には、PDPAに従った移転を行う必要があります。
シンガポールでは、個人情報保護委員会 (Personal Data Protection Commission(以下、「PDPC」といいます))がPDPAの監督官庁としてPDPAの下位法令やガイドラインを策定・公表するとともに、PDPA違反の事例についての摘発や公表を積極的に行っています。PDPAの違反は、企業にとっては罰金のリスクのみならず、レピュテーションリスクにもつながります。

そこで、諸外国におけるデータ越境移転規制について解説する本シリーズの第4回・第5回として、本稿ではシンガポールにおける個人情報保護法とその改正法の概要、個人データの国外移転規制、およびPDPA違反に対する摘発状況について、2回に分けて解説します。
前回はPDPAと改正法の概要について解説しましたが、後半である今回は、PDPAに基づく個人データの国外移転規制と、PDPA違反に対する摘発状況について解説します。

個人データの国外移転規制

国外への個人データの移転

PDPAは、事業者が、個人データをシンガポール国外の国または地域に移転することを原則として禁止しています。そして、例外的に、移転元である事業者(以下、「移転元」といいます)が一定の要件を満たした場合、すなわち、国外のデータ移転先(以下、「移転先」といいます)が移転された個人データに対してPDPAに基づく保護基準と同等の保護を与える法的強制力のある義務に拘束されることを確保するための適切な措置を移転元が講じた場合にのみ、個人データを国外に移転することができるとしています注2。つまり、移転元は、国外へのデータ移転に際し、移転先が移転された個人データに対してPDPAと同等の保護を与える法的義務を負っていることを確保する義務があります。

法的強制力のある義務

(1) 法律や契約

移転先が法的強制力のある義務に拘束される根拠としては、以下があります注3

 法律

 PDPAと同等の保護基準を課す契約注4

 PDPAと同等の保護基準を規定した拘束的企業規則(binding corporate rules)(以下、「BCR」といいます)注5

 その他の法的拘束力のある文書

たとえば、日本の個人情報保護法がPDPAの保護基準と同等に個人データを保護する法律上の義務を個人情報保護取扱業者に課しているといえるのであれば、法律によって移転先が法的拘束力のある義務に拘束されているとして、移転元は個人データを日本の個人情報保護取扱業者に移転することができることになりますが、PDPAと日本の個人情報保護法には類似点はあるものの差異も多く、同等の保護基準を与えているかどうかを容易に判断することはできません。この点について判断を示したPDPCやシンガポールの裁判所による見解や先例も現時点では存在しないため、日本の個人情報保護法に依拠して個人データを国外移転することは、PDPAに違反するリスクが残ります。また、日本以外の国や地域に移転する場合にも、日本の場合と同様にPDPAと同等の保護基準があると判断することは難しいケースが多いと思われます。
したがって、上記の法律のみに依拠することは、少なくとも現時点においてはリスクがあるといわざるを得ないため、国外の第三者に対して個人データを移転する場合には、上記の契約を移転先と締結すること、または、グループ企業間の個人データの移転であれば上記のBCRを規定することにより対応することが、実務的に有効な方法であるといえます。

PDPCが公開しているAdvisory Guidelines on Key Concepts in the Personal Data Protection Act(以下、「コンセプトガイドライン」といいます)によれば、上記の契約をPDPA上の事業者である移転先と締結する場合には、契約の条項として、少なくとも(ⅰ)移転先による収集、使用および開示の目的、(ⅱ)正確性、(ⅲ)保護、(ⅳ)保持制限、(ⅴ)個人データ保護についてのポリシー、(ⅵ)アクセス、(ⅶ)訂正、および(ⅷ)データ漏洩時の通知について規定しなければなりません注6。したがって、移転先と契約を締結することによりPDPA上の国外への個人データ移転の要件を充足しようとする場合には、最低限これらの事項についての規定を契約条項に加えて、移転先においてPDPAと同等の保護が個人データに与えられるようにしておく必要があります注7。なお、移転先が情報処理業者である場合には、これらの事項のうち、少なくとも(ⅲ)保護、(ⅳ)保持制限、および(ⅷ)データ漏洩時の通知について最低限規定しておけばよいとされています。

(2) 認証制度

上記(1)に加えて、移転先が、個人データの移転先である国または地域の法律に基づき付与または承認される「特定の認証(specified certification)」を保有している場合、移転先は法的強制力のある義務に拘束されているとみなされます注8。「特定の認証」とは、APEC越境プライバシールール(Asia‑Pacific Economic Cooperation Cross Border Privacy Rules)(以下、「CBPR」といいます)またはAPECプロセッサーのためのプライバシー認定(Asia‑Pacific Economic Cooperation Privacy Recognition for Processors)(以下、「PRP」といいます)の制度による認証をいいます。移転先がPDPA上の事業者として個人データを受領し、有効なCBPR認証を取得している場合、または、PDPA上の情報処理業者として個人データを受領し、有効なCBPRもしくはPRP認証を取得している場合には、移転先は法的強制力のある義務の要件を満たしていることになります注9

(3) その他

上記(1)(2)のほか、PDPA規則は以下の場合にも国外へのデータ移転制限義務を満たしているとみなされると規定しています注10。ただし、コンセプトガイドラインによれば、事業者はできる限りより信頼性の高い法律や契約および認証制度に依拠すべきであるとして、以下に依拠する場合は、法律や契約または認証制度に依拠できない場合に限られるとしていますので注11、補完的なものとして位置づけられていると考えます。

① 個人データが移転先の国においてどのように保護されるかについて、移転対象となる個人データの本人に通知した後に、本人がその個人データの移転に同意している場合

② 事業者と本人との間の契約の締結または履行のために、個人データの移転(第三者への移転を含みます)が合理的に必要であり、本人が移転元による開示に同意したものとみなされる場合

③ 個人データの移転が、個人の重大な利益または国家の利益のために必要であり、かつ、移転元が、移転先が目的外使用または開示しないことを確保するための合理的な措置を講じている場合

④ 個人データが転送中のデータ(data in transit)注12である場合

⑤ 個人データがシンガポールにおいて公に知られている場合

参考例

ここで、事業者がPDPA上の個人データの国外移転規制に従って個人データを国外に移転している参考事例をご紹介します。

(1) シンガポール子会社から日本の親会社へのデータ移転

シンガポールに所在するA社は、顧客管理システムを通じて日本に所在する親会社に顧客の個人データを移転しています。A社と親会社は、顧客の個人データを移転するにあたり、個人データの保護義務などを含む拘束力のある社内規程を制定しました。A社は、当該社内規程がPDPA規則に規定された条件を満たしており、PDPAと同等の保護を提供していると評価しています。このような場合には、A社はPDPA上の個人データの国外移転規制にしたがっているものといえます。

(2) 旅行代理店による顧客情報の移転

Xさんはシンガポールの旅行代理店B社で海外ツアーを申し込みました。B社は、Xさんが海外で滞在する予定のホテルを予約するというXさんとB社の間で締結した契約上の義務を履行するために、Xさんの氏名、国籍、パスポート番号を滞在予定の海外のホテルに転送しました。このような場合には、Xさんの同意があったものとみなされる場合に該当するので、B社はPDPAに従って個人データを国外に移転したといえます。

国外に移転された個人データの取扱い

個人データがシンガポールから日本を含む国外に移転される場合には、上述のPDPAの個人データの国外移転規制に従っていることが前提となりますので、シンガポールから個人データの移転を受ける国外の企業(たとえば日本の企業)は、原則として法律や契約などの法的強制力のある義務を負っていることが前提となります。したがって、そのような個人データを受け取った国外の企業は、シンガポールからの個人データの国外移転が認められることとなった法的強制力のある義務に従って、個人データを取り扱う必要があります。

たとえば、PDPAの保護基準と同等に個人データを保護する法律上の義務(たとえば移転先の国の個人情報保護法上の義務)を負っていることを根拠に個人データを受領した場合には、当該法律の規定に従って個人データを取り扱わなければなりませんし、PDPAと同等の保護基準を課す契約やBCRを根拠に個人データを受領した場合には、当該契約条項やBCRを遵守する必要があります。
シンガポールから個人データを受領する国外の企業は、これらの法律や契約などの遵守を確保するために、個人データの取扱いについて定めた社内の個人情報保護方針等を整備し、実際に運用していく必要があります。実務的には、シンガポールから移転される個人データが実際に社内でどのように取り扱われているか注13を確認し、現行の社内の個人情報保護方針等が十分といえるのかを検討し、必要に応じて修正をすることになります。

違反に対する摘発状況

PDPCはPDPA違反が疑われる事案について調査を実施し、違反事例を摘発し、違反者の実名とともにウェブサイトにて公表しています注14
図表1に示すように、2016年から2021年9月5日までに公表されたPDPA違反の摘発事例は合計184件、そのうち罰金が科された事例は100件と、半数以上のケースで罰金が科されています。毎年平均して30件以上、2019年は51件、2020年は47件となっており、近年、積極的に違反事案を摘発しているといえます。これまでの罰金の最高額は、シンガポールでも最大規模の医療機関について、患者のデータベースに対する不正アクセスがあった事例であり、75万シンガポールドルでした。これは、侵害の規模(約150万人の患者の個人データ)と重大性(診断、病状等に関するデータ)を踏まえて高額の罰金が科されたものといえます。

図表1 PDPCによる摘発件数・罰金件数等の推移

2016年から 2021年9月5日までの 公表事例数合計:184件 罰金件数合計:100件 (その他は、命令、警告、違反なし。)

多くのケースでは、データ漏洩が発生したことや、個人からPDPCに個人データの不正使用等に関してクレームがあったことなどをきっかけにPDPCが調査を開始し、調査の結果、PDPA上の義務に従った対応がなされていない(たとえば、プライバシーポリシーを作成していない、データ保護責任者を選任してない、など)ことが発覚し、罰金、命令、警告の対象となっています。
他方で、データ漏洩や個人からのクレームを受けてPDPCが調査をしたものの、調査の結果、PDPA違反がなかったとされるケースもありますので注15、シンガポールにおいて個人データを取り扱う企業としては、日頃からPDPAに従った体制の整備をしておくことが重要といえます。

日系企業に対する摘発事例としては、たとえば、2018年にシンガポールで回転寿司レストランをチェーン展開している日系の会社の例があります。その会社がランサムウェアによる攻撃を受け、従業員の個人データを含む情報が流出し、身代金を要求されたためにPDPCに報告し、それをきっかけにPDPCが調査を行ったところ、個人データに対する保護が十分になされていないことが発覚しました。PDPCは、その会社の個人データの管理の方法、流出した個人データの性質注16、流出後の対応等を総合的に検討し、PDPAの保護義務注17に違反していたことを認定し、1万6,000シンガポールドルの罰金を科しました。

また、別の事例では、2017年にシンガポールの証券決済機関が、誤って1,358人の口座保有者の個人データを他の口座保有者の通知書に印刷し送付したため2万4,000シンガポールドルの罰金を科されましたが、当該決済機関のために通知書の印刷と発送業務を行っていた日系の印刷会社に対しても1万2,000シンガポールドルの罰金が科されました。PDPCは、印刷会社について、開発した印刷システムとプロセスには個人データを適切に処理し、正確に通知書を作成することを保証する義務があり、使用したソフトウェアが正しく処理され、印刷されていることを確認する必要があったにもかかわらずそれを怠っており、個人情報を保護するための合理的なセキュリティ対策を実施していたとはいえないとして、情報処理業者であった印刷会社のPDPA上の保護義務違反を認定しました。

このほかにも、PDPCは、シンガポール国内の大手の通信会社、病院、教育機関、宅配業者、クルーズ船運営会社、小売業者等、多くの企業に対してPDPA違反の調査を行い、摘発をしています。

シンガポールで事業を行う企業としては、このようにPDPCからPDPA違反で摘発され、罰金を科されるとともに公に公開されることによってレピュテーションが害されることのないよう、PDPAに従って個人データの保護体制を整備し運用しておくとともに、実際に個人データの漏洩が発生した場合に備えた手続についても策定し、万が一データ漏洩事故が発生した場合に適切かつ迅速に対応することが求められます。

おわりに

ここまで、2回にわたってシンガポールにおける個人情報保護規制について紹介してきました。
個人データの漏洩事故が発生すると、上記の事例のようにPDPA違反としてPDPCから処罰を受けて公表されるだけでなく、さらに個人データの漏洩対象となった個人に対する民事上の損害賠償責任が発生する可能性があります。個人1人当たりの損害賠償額がそれほど高額でなかったとしても、大規模な個人データ漏洩の場合には合計すると高額になることもあります。また、漏洩事故に対応するために従業員の時間が割かれ、弁護士などの外部専門家の費用もかかり、取引先にも損害が生じたり、将来のビジネスチャンスを失ったりすることもあります。近年は特に国境を超えての個人データ漏洩が問題となるケースも増加しており、複数の国や地域においての対応が必要となるため、個人データ漏洩が生じた際にかかるコストは計り知れません。したがって、シンガポールで事業を展開する各事業者は、PDPAの規制に従った対応をとることはもちろんのこと、日頃から個人データ漏洩事故が生じることのないよう、十分なセキュリティ対策を講じておかなければなりません。

→この連載を「まとめて読む」

[注]
  1. Personal Data Protection (Amendment) Act 2020 (No. 40 of 2020)。[]
  2. PDPA 26条、Personal Data Protection Regulations 2021(以下、「PDPA規則」といいます)10条。[]
  3. PDPA規則11条。[]
  4. 当該契約では、移転先にPDPAと同等の保護基準を課すほか、契約に基づいて個人データが移転される可能性のある国および地域を特定する必要があります(PDPA規則11条)。[]
  5. 国境を越えたグループ間企業で締結することが予定されている拘束的企業規則(binding corporate rules)であり、PDPAと同等の保護を移転された個人データに提供することをすべての移転先に要求し、①当該規則が適用される移転先、①当該規則に基づき個人データが移転される可能性のある国および地域、ならびに③当該規則に基づく権利義務について具体的に規定している必要があります(PDPA規則11条)。[]
  6. コンセプトガイドライン19.9。[]
  7. PDPC は、移転先と移転元が締結するPDPAと同等の保護基準を課す契約について、ASEANが2021年1月に公表したASEAN モデル契約条項(ASEAN Model Contractual Clauses for Cross Border Data Flows)の使用を推奨しています(コンセプトガイドライン19.10)。[]
  8. PDPA規則12条。[]
  9. 日本でCBPRの認証を受けている事業者は2社、シンガポールでは4社であり(2021年5月現在)、現時点では活発に利用されている制度とはいえないようです。
    https://www.jipdec.or.jp/protection_org/cbpr/list.html
    https://www.imda.gov.sg/programme-listing/Cross-Border-Privacy-Rules-Certification/CBPR-Certified-Organisations[]
  10. PDPA規則10条。[]
  11. 特に継続的な関係性のある移転先とは、法律や契約または認証制度に依拠することが推奨されます。[]
  12. 「転送中のデータ(data in transit)」とは、シンガポール国外の国または地域に移動される過程でシンガポールを経由して移転されるデータであり、シンガポールにおいて移動以外の目的で、いかなる者も個人データにアクセス、使用、開示しないデータをいいます。転送中のデータの例として、海外からのデータがシンガポール内のサーバーを経由して別の海外の目的地に転送される場合があります(PDPA規則9条)。[]
  13. シンガポールからの個人データを誰が受領し、どこでどのように保管・管理されているか、誰にアクセス権限があるか、第三者への開示があるか、それらの手続きどのように規定されているか等。[]
  14. https://www.pdpc.gov.sg/All-Commissions-Decisions[]
  15. たとえば、ランサムウェアの攻撃により親会社である米国法人から、シンガポールの子会社において取得した個人データがデータ漏洩の危機にさらされたケースにおいて、PDPCは調査の結果、当該事業者グループがPDPAの要件を満たすBCRを規定していたことを認定し、シンガポール子会社がPDPA上の国外への個人データの移転にかかる義務を果たしていたとしてPDPA違反はなかった旨の決定をしました。詳細についてはhttps://www.pdpc.gov.sg/all-commissions-decisions/2021/01/no-breach-of-the-transfer-limitation-obligation-by-singapore-technologies-engineeringをご参照ください。[]
  16. 本件では、従業員の国民番号、パスポート番号、給与情報、銀行口座情報、配偶者の有無、住所、電話番号、緊急連絡先等が流出しました。[]
  17. ①個人データの不正アクセス、収集、使用、開示、複製、訂正または処分、または同様のリスク、および②個人データが保存されている記録媒体またはデバイスの紛失を防ぐために、合理的な安全措置を講じることにより、保有または管理下にある個人データを保護する義務をいいます。[]

龍野 滋幹 氏

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士

2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)。2008年ニューヨーク州弁護士登録。2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年~東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、JV、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」の「M&A・会社法分野で特に活躍が目立つ2人」のうち1人として選定。

長田 真理子 氏

アンダーソン・毛利・友常法律事務所外国法共同事業 スペシャル・カウンセル弁護士・シンガポール外国法弁護士

2008年東京大学法科大学院卒業(法務博士)。2009年弁護士登録、2010年アンダーソン・毛利・友常法律事務所入所。2012年ベトナムVILAF法律事務所、2016年株式会社みずほ銀行法務部にて執務。2018年シンガポール外国法弁護士登録、アンダーソン・毛利・友常法律事務所シンガポールオフィスにて執務、現在に至る。2019年「シンガポールの契約書作成のポイント」(JCAジャーナル2019年1月号57頁)を執筆。また、「シンガポールにおけるDirectorおよびOfficerの責任」(2020年)、「シンガポール個人情報保護法の改正と動向」(2021年)のウェビナーに講師として登壇。