2021.01.22

シンガポール【シンガポール】森・濱田松本法律事務所 アジアニュース／第63回『個人情報保護法改正にあたり対応すべき事項』

【シンガポール】森・濱田松本法律事務所 アジアニュース／第63回

　このたび、森・濱田松本法律事務所アジアプラクティスグループでは、東南・南アジア各国のリーガルニュースを集めたニュースレター、MHM Asian Legal Insights第119号（2021年1月号）を作成いたしました。今後の皆様の東南・南アジアにおける業務展開の一助となれば幸いに存じます。

◇シンガポール：個人情報保護法改正にあたり対応すべき事項

　本レター第112号（2020年7月号）で紹介したとおり、シンガポールでは個人情報保護法（Personal Data Protection Act 2012：「PDPA」）の改正作業が進められていましたが、2020年11月7日、改正案が国会で可決されました。本レター第112号では、パブリックコメントに付された改正案の内容をご紹介しましたが、今回可決された改正案の内容は、パブリックコメントに付されたものと大きくは変わっていません。
　今回の法改正の施行日は今後発表される予定ですが、2021年前半には施行される見込みであり、早めに施行に向けた準備を進めておくことが望ましいと思われます。以下では、シンガポールの企業として現時点で対応する必要があると思われる事項を紹介します。
 
(1) 情報漏洩に関する報告の義務化に伴う対応方針の見直し
 
　改正前は、情報漏洩があった場合において個人情報を取り扱う者が当局に報告することは任意とされていました。これに対し、改正後は、情報漏洩により本人が重大な損害を被る（又はそのおそれがある）場合、又は情報漏洩の規模が重大である（又は重大になるおそれがある）場合に個人情報保護委員会（Personal Data Protection Commission）及び関係する個人に報告することが義務とされています。これに伴い、個人情報を取り扱う者は、情報漏洩があった場合に、当該漏洩が報告義務の対象となるかどうかについて検討することが義務付けられました。現在でも、情報漏洩があった場合に任意に当局に報告することを前提とした社内規程を準備している企業も少なくないと思われますが、そのような規程が改正後のPDPAを遵守した形になっているか確認することが必要です。
 
(2) セキュリティ体制の見直し
 
　PDPA第24条に関して、改正前は、個人情報を取り扱う者に対し、個人情報に対する無権限のアクセス、収集、使用、公開、複製、変更、破棄及びこれらに類するものを防ぐために合理的な措置を講じることを義務付けていましたが、改正後は、個人情報が記録されている媒体の紛失を防ぐために合理的な措置を講じることが義務の対象として追加されました。また、改正後のPDPAでは、情報漏洩が起きた場合でも、関係する個人に重大な損害が生じるおそれを低減する措置（情報の暗号化等）を講じていた場合には、上記(1)で触れた報告義務が軽減され、関係する個人には報告しなくてもよいこととされています（同法26(D)条(5)(b)）。
シンガポール企業としては、以上のような改正点を踏まえて自社のセキュリティ体制を見直すことが考えられます。情報漏洩が発生して個人情報保護委員会が調査を行う場合、同委員会は、個人情報を取り扱う者が情報漏洩を防ぐために合理的な対策を講じていたかを検討するにあたり、セキュリティ体制の規模や範囲に関する情報を提供するよう要求してくることが多いようです。そのため、法令改正を踏まえてタイムリーにセキュリティ体制を見直すことは、当局への対応という観点からも重要です。
 
(3) 情報移転義務に関する対応
 
　改正後は、個人情報を取り扱う者は、本人から要求があった場合には、本人に関して保有する個人情報を第三者に移転しなければならないこととされています。このような情報移転義務は、EU一般データ保護規則等で既に導入されているものですが、シンガポールでも、個人情報に対する自己コントロール権を拡大するため、また個人情報を取り扱う者が提供する商品・サービスの開発、改善に役立てるために導入されたものです。
PDPA改正案の審議では、担当大臣は、情報移転義務の導入のタイミングは遅らせることを示唆していましたが、どの程度遅らせるかは明言しませんでした。これは、罰金の上限額の変更（個人情報を取り扱う者のシンガポールでの年間総売上高の10％又は100万シンガポールドル（現在の為替レートで約7,800万円）のいずれか高い方と厳罰化されました。）について、改正法が施行されてから少なくとも1年は適用されないと明言していたことと対照的です。そのため、シンガポールの企業としては、情報移転義務の導入を見据え、本人からの移転の要求に対応できる体制を早めに構築しておくことが望まれます。
 
(4) みなし同意の範囲の拡大
 
　改正後は、個人情報の収集、使用及び開示について、本人の同意があるとみなされる範囲が拡大されました（本レター第112号4.(2)参照）。特に、一定のビジネス改善目的の場合には、本人の同意があったものとみなされることとされており、個人情報の取扱いが柔軟化したものと評価できると思われます。具体的には、以下に掲げるようなビジネス改善目的で個人情報を使用する場合には、本人の同意があったものとみなされるようになります。
 
(a) 個人情報を取り扱う者により既に提供されている商品・サービス又は今後提供される商品・サービスの改善又は向上
(b) 個人情報を取り扱う者の事業運営の方法若しくは工程の改善又は向上、又は事業運営の新しい方法若しくは工程の創出
(c) 個人情報を取り扱う者が提供する商品・サービスに関係する本人その他個人の行動及び嗜好の把握及び理解
(d) 個人情報を取り扱う者が提供する商品・サービスのうち、本人その他の個人に適当なものの特定、又はそのような商品・サービスのカスタマイズ
 
　シンガポール企業としては、上記のようなPDPAの改正を踏まえ、本人からの同意取得の仕組みを見直すことも考えられるところです。
 
　以上のとおり、今般のPDPAの改正は、業種を問わずシンガポールの企業に影響があるものと思われます。シンガポールの企業としては、改正法の内容を踏まえて、早期に個人情報保護の体制をアップデートすることが必要になりそうです。
 
（ご参考）
本レター第112号（2020年7月号）
https://www.mhmjapan.com/content/files/00042667/20200720-112955.pdf
 
※当事務所は、シンガポールにおいて外国法律事務を行う資格を有しています。シンガポール法に関するアドバイスをご依頼いただく場合、必要に応じて、資格を有するシンガポール法事務所と協働して対応させていただきます。

（直近記事）

○第60回【インドネシア】『速報！雇用創出法（オムニバス法）の最新動向』
〇第61回【インド】『新統合版FDIポリシーの公表』
〇第62回【インドネシア】『雇用創出法（投資法・会社法の改正点）』

前のページへ戻る