シンガポールにも個人情報保護法、具体的にはどうする?

法務

 

2018年5月25日、GDPRことEU一般データ保護規則が適用となりましたが、すでにご対応はお済みでしょうか?

実は、GDPRのコンセプトは欧米圏の外、遠くアジアにも普及しており、規則としての保護法も多くの国に存在しています。

今日はそんな個人情報保護法について、シンガポールで2014年7月2日に施行された、シンガポール個人情報保護法(Singapore Personal Data Protection Act 2012、PDPA)の要点をまとめてみていきましょう。

 

まずは定義!個人情報とは?

まず、シンガポールにおける個人情報(Personal Data)の定義ですが、以下のように定められています:

・真偽を問わず、組織がそれをもって、あるいは組織が入手しうるその他の情報との組み合わせによって、個人を特定しうるような情報という。
・個人の身分証、個人の写真や動画、その他組み合わせで個人を特定しうる情報一式を含む。
・会社連絡先など、ビジネス目的の情報は対象にならない。
・また、死亡後10年が経過した個人の情報は対象にならない。

会社の名刺に書かれた情報等であれば、電話番号でも住所でも、特に個人情報として取り扱われない点は、大きな安心要素といえるでしょう。

 

次は対象!誰が順守すべき法?

シンガポールの個人情報保護法(PDPA)はシンガポールで活動するすべての組織、つまり事業者が対象になります。

日本と違い、企業の大小や支店か法人か、などの組織形態によらず、すべて対象になる点に注意が必要です。

一方、個人が他人の個人情報を取り扱う際には、フェイクニュース対策法などが適用されることになっています。

 

どんなルール?原則を確認!

基本的には、会社などの組織が個人情報を適切に管理し、当該個人情報を提供した個人が事前に合意した目的の範囲でのみ、当該個人情報を収集、利用、開示する、というものです。

個人情報の保護対象は顧客にとどまらず、自社や関係会社の従業員についても、個人情報の保護が求められる点、注意が必要です。

一方、例外として、自社の社員の評価に利用される情報、差し迫った状況下で、情報を開示しないことが会社や個人に不利益になるような場合には、事前合意を取り付けていない目的でも、個人情報を開示することができるとされています。

 

具体的に何をすればいいの?

個人情報の保護は、組織が主に以下の施策を行うことで履行されたとみなされます:

  1. 個人情報保護責任者(DPO)の選任:
    最低1名、ホームページに連絡方法等を掲示して社内での個人情報保護施策をまとめる責任者を指定します。
    外部委託を行うことや部署ごとに分担することもできるため、リソースをうまく配分できるよう、組織的な対応を行うべきとされています。
  2. アクセス/訂正要求への対応手続の策定:
    個人情報が保護されていないのではないかという、従業員や外部の個人の問い合わせに対して、どの程度どのように対応するか、マニュアルの整備を行います。
  3. プライバシーポリシーの策定・実践・公表・社内教育:
    社内で取り扱われる個人情報に関して、以下のような合理的な安全保護措置を講じる必要があります。
    ①管理面:採用時のオリエンテーション、定期的な社内連絡/講習等の実施
    ②物理面:個人情報の保管場所の限定、把握、保護
    ③技術面:セキュリティー対策、コンピューターのアップデート等指揮

 

特に、自社で管理する顧客や従業員の情報を海外の関連会社に共有するような場合には、相手先の国の個人情報保護法を確認し、同様の保護がなされるか確認したうえで、個別に機密情報保持契約を結ぶなど、必要な対応をすることが求められるため注意が必要です。

 

まだある?Do Not Call登録!

シンガポールで営業電話やSMSでの宣伝を行う会社には、さらに注意が必要です。

これはDo Not Call登録という制度で、個々人が自分の電話番号を役所に登録すると、登録電話番号には原則営業電話や宣伝SMSを送ることができなくなる仕組みです。

正確には、登録者の電話番号リストにある番号に営業電話をかけ、これが通報されると、営業電話をかけたりSMSを送ったりした企業が検挙され、罰金などを払わされることになる制度で、企業側は電話等掛ける前に、電話番号がこの登録リストに載っていないか、検索してチェックする必要があります。

 

対策をしないとどんな罰則がある?

PDPA最大でS$1,000,000(日本円約8,000万円)の罰金が科せられ、ニュースにもなるため、会社としての評判に傷がつくとされています。

基本的には不当に個人情報を取り扱った点を指摘されるような場合にペナルティーが科せられるため、中小規模の企業が何もしていないのに罰金を払わせられるというリスクは大きくありませんが、従業員の情報を共有するとき、顧客の個人情報を管理するとき、少しでもうまい管理の方法がわからないと感じたら、弊社を含む、外部DPOサービスをご利用ください。

 

法務に関するお問い合わせはもちろん、税務や労務に関するお問い合わせも、お待ちしております。
以下のリンクから、お気軽にご相談ください。

 

 

株式会社東京コンサルティングファーム  シンガポール法人
近藤貴政

kondo.takamasa@tokyoconsultinggroup.com

+65-6632-3589

※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても、情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Pte. Ltd.)は一切の責任を負いません。ご了承ください。

この記事を読んだ方は、他にこんな記事も読んでいます

  1. シンガポールにも情報保護規制、具体的にはどうする?
  2. プライバシーの侵害?従業員の個人情報の取扱注意!
  3. 【ニュースレター 2019年8月号】どう変わる?従業員のNRIC番号の取り扱いと就業規則

関連記事

トップページに戻る

ページ上部へ戻る