2026.06.29
- 弁護士法人One Asia/第84回「シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて」
- 弁護士法人One Asia/第84回「シンガポール個人情報保護法(PDPA)に関する最近のアップデートについて」
-
◇シンガポール
1.イントロダクション
近時、シンガポール個人情報保護委員会(Personal Data Protection Commission、「PDPC」)より、PDPA(Personal Data Protection Act)に関連するいくつかの重要なアップデートが公表されています。本稿では、DPO登録フォームの新設およびNRIC番号を用いた本人認証の廃止方針について、概要をご紹介します。
2.DPOの新たな登録フォーム公開
PDPAは、事業者に対し、1名以上のDPO(Data Protection Officer)を任命すること及びその連絡先を公開することを義務付けています(第11条3項)。
このたびPDPCは、DPO登録フォームを新たに公開しました。従前、シンガポールにおいては、ACRA(Accounting and Corporate Regulatory Authority)のBizFile+を通じたDPO情報の登録制度が存在していましたが、2024年12月1日から同制度は停止されていました。
今回、DPO登録フォームの公開により、事業者はDPO情報をPDPCに登録することが可能となりました。登録により、事業者はDPO任命義務およびその連絡先の公開義務という2つの義務を果たすことができます。
当該フォームへの登録そのものは法的義務ではありませんが、事業者が上記2つの義務を果たしていることを明確化する観点から、登録を検討する意義はあると思われます。また、登録を行うことで、PDPCからの規制に関するアップデートや関連資料等の提供を受けることが可能になります。
参考:
DPO登録フォーム https://form.gov.sg/69b3d9792f8a465a723047b9
3.NRIC番号を用いた本人認証が2027年1月から禁止に
PDPCおよびシンガポールのサイバーセキュリティ庁(Cyber Security Agency of Singapore, “CSA”)は、NRIC番号(National Registration Identity Card number)の全部又は一部を、本人認証(authentication)の目的で使用することを、2026年12月31日までに段階的に廃止するよう求める共同アドバイザリーを公表しました。
これにより、2027年1月1日以降、事業者が認証のためにNRIC番号(全部または一部)を利用することは、PDPA上の義務違反と評価される可能性があります。具体的には、たとえば認証のためにNRIC番号の全部または一部を初期パスワードとして(またはその一部として)利用すること等も違反と評価される可能性があります。既に、シンガポールの各種サービス提供者からは、今後はNRICを利用した認証を行わない旨の通知が、筆者にもいくつも届いています。
上記共同アドバイザリーによれば、認証とは、「ある個人に対して、本人のみが利用することを予定されたサービスや情報へのアクセスを許可する前に、当該個人が本人であることを証明する手続」であるとされています。
認証は、氏名等の識別子(identifier)を用いてある個人を他の個人と区別する「Identification(個人識別)」とは異なる概念です。
今回、新たな規制が導入される背景として、NRIC番号はシンガポールにおいて広く利用される固有識別子であり、漏えいした場合のリスクが高いことが挙げられます。NRIC番号の一部のみを認証のために利用する場合であってもリスクは否定できないため、PDPC及びCSAは、そのような利用形態についても見直しを求めています。
今後、シンガポールにおいてサービスを提供する事業者は、顧客向けポータル、会員システム、人事管理システム等において、NRIC番号ベースの認証を採用していないか確認する必要があります。
なお、当該共同アドバイザリーやPDPCニュースリリースにおいて、NRIC番号と同様の重要度をもって並列的に扱われていたFIN番号、パスポート番号、出生証明書番号等の個人番号については、特に明示的に言及されていません。しかし、これらの番号が漏えいした場合のリスクは、NRIC番号が漏えいした場合のリスクと同程度となりうることから、事業者側の運用として、これらの番号についても同様に認証目的の利用を避けることも考えられます。
参考:
PDPCニュースリリース(NRIC認証廃止) https://www.pdpc.gov.sg/media-events/pdpc-to-step-up-enforcement-action-against-misuse-of-nric-numbers-and-issues-new-advisory-on-data-protection
PDPC・CSA共同アドバイザリー https://www.pdpc.gov.sg/media-events/joint-advisory-against-using-nric-numbers-for-authentication-by-the-personal-data-protection-commission-pdpc-and-cyber-security-agency-of-singapore-csa
4.Data Breach通知に関するページ
PDPCは、更に、各事業者において万が一Data Breachが発生してしまった場合の対応について、改めて纏めたウェブページを更新しています(https://www.pdpc.gov.sg/organisations/e-services/report-your-organisations-data-breach)。このページでは、事業者が何らかのインシデントを検知した場合に通知が必要(notifiable)かどうかのセルフアセスメント、及び通知が必要となった場合の通知先等についてステップごとに分かりやすく纏められており、内容自体は新たな事項を含むものではないと見受けられますが、セルフアセスメントツールの紹介も含め、万が一に備えた日常的な個人情報管理の一環としても、ご一読いただくことを推奨申し上げます。
5.おわりに
今回の各アップデートは、いずれもシンガポールにおける個人情報保護実務の運用面に関わる内容であり、各事業者においては、改めて確認を行う契機になるものと思われます。認証方法については、NRIC番号を利用した認証が禁止されるまでの期間内に、新たな規制に対応した運用を構築する必要があります。
特に、日本本社主導でシステム管理を行っている事業者等においては、必要な対応を確認の上、実施することが推奨されます。
以 上
---------------------------------◆ One Asia Lawyers ◆---------------------------------「One Asia Lawyers Groupは、アジア全域に展開する日本のクライアントにシームレスで包括的なリーガルアドバイスを提供するために設立された、独立した法律事務所のネットワークです。One Asia Lawyers Groupは、日本・ASEAN・南アジア・オセアニア各国にメンバーファームを有し、各国の法律のスペシャリストで構成され、これら各地域に根差したプラクティカルで、シームレスなリーガルサービスを提供しております。
この記事に関するお問い合わせは、ホームページまたは までお願いします。
なお、本ニュースレターは、一般的な情報を提供することを目的としたものであり、当グループ・メンバーファームの法的アドバイスを構成するものではなく、また見解に亘る部分は執筆者の個人的見解であり当グループ・メンバーファームの見解ではございません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず各メンバーファーム・弁護士にご相談ください---------------------------------◆ One Asia Lawyers ◆---------------------------------(ご参考)
本ニュースレター(2026年6月15日号)
b61fd9c382e57ef56aa890a7ec9daa0d.pdf
〇第81回 【ベトナム】「ベトナムにおける国際相続<ベトナムに財産を持つ日本人が遺言なく死亡した場合>」
〇第82回 【中国】「中国・労働紛争『新』司法解釈により日系企業に求められる対応-『事後対応』から『事前のコンプライアンス』への戦略転換を-
〇第83回 【インド】「インド新労働法典-中央・州規制の施行状況と日本企業の実務対応-」
弁護士法人One Asia|One Asia法律事務所 ウェブサイト 福岡オフィス
- 【掲載元情報】
- 弁護士法人One Asia|One Asia法律事務所 制作
