【従業員の個人情報に関する新ガイドライン発行】
シンガポールでは2018年8月、シンガポール国民の登録識別カード番号(いわゆるNRIC番号)に関する新たなガイドライン(以下「本ガイドライン」)が発表されました。
本ガイドラインの適用によって、企業はこれまで特段注意していなかった従業員の個人情報の取扱いについて、以下の点に注意する必要があります。なお、適用は2019年9月からとなっており、未対応の企業は対応が迫られております。
【ガイドライン発行の背景】
本ガイドラインは監督機関である、個人情報保護委員会(Personal Data Protection Commission、以下「PDPC」)によって発表されたものです。このPDPCは、個人情報の保護のため適切な管理がなされているかを監督する政府機関となります。また、このPDPCの権限につきましてはシンガポール個人情報保護法(Personal Data Protection Act 2012、以下「PDPA」)を根拠とされており、令状なしの立ち入り調査が認められるなど、世界的に見ても強い権限を持っています。
本ガイドラインは上記の通り、PDPAを根拠とする監督機関(PDPC)が発行するものであり、PDPAを具体化するものです。一般的に企業は本ガイドラインに記載されている規定に基づいて個人情報の管理を行う必要があり、もし、違反した場合には企業には最大100万SGドルの罰金、企業の責任者に対しては3年以内の禁固刑という、厳しい罰則が課せられる可能性があります。
【ガイドラインの概要について】
- 国民の登録識別カード番号とは
NRICはNational Registration Identification Cardの略称であり、日本語に訳しますと国民登録番号カードとなります。このNRICは国民番号登録制度に基づくもので、本来イギリス植民地時代に不法移民の排除と自国民の特定を理由に作られたものでありますが、独立後も制度として残っています。
本ガイドライン上では、NRCは単なる国民番号が記載されたカードではなく、NRC自体が広範囲に他の様々な個人情報に紐づくものと考えられており、取り扱いに際して管理を徹底するべき重要な個人情報として認識されています。
2.本ガイドラインの概要
以下、本ガイドラインの概要を簡単に記載します。
【概要】
(1)事業者等(Organisations)によるNRIC 番号等の取得・使用・開示の原則禁止
(2)事業者等によるNRIC番号等の保有の原則禁止
(3)NRIC番号等の取得とはみなされない場合
今回は特に重要だと思われる上記(1)について掘り下げてご紹介致します。
上記の通り、本ガイドラインではNRICは個人情報の中でも保護がより必要とされるものと考えられており、法律で認められる場合もしくは例外として認められる特殊な場合を除き、原則として事業者がNRICの情報を取得することを禁止しています。
しかし、一般的に従業員を雇用した際には多くの社会保障制度等でNRICの情報が必要となる場面があるかと思います。その際にNRICの情報を会社が取得することができないのでしょうか。
個人情報には従業員の個人情報が含まれ、NRICについても個人情報保護法の規定に違反しなければ会社側が取得することが可能です。つまり、NRICの情報を利用する目的を明示し、本人の同意を得る必要がございます。
こうした本人の同意は、会社の雇用契約書および就業規則を変更し、必要に応じて従業員の署名を取り付けることで、スムーズに進めることができます。
また、今年4月に改正された雇用法への対応としても、雇用契約書および就業規則の見直しは必須と言えるでしょう。
弊社では就業規則のレビューをサポートさせて頂いておりますので、ぜひお問い合わせ頂ければと存じます。
最後までご覧いただきまして誠にありがとうございます。
株式会社東京コンサルティングファーム シンガポール法人
近藤貴政
kondo.takamasa@tokyoconsultinggroup.com
+65-6632-3589
※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても、情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Pte. Ltd.)は一切の責任を負いません。ご了承ください。