シンガポール個人情報保護法案の国会提出へ

　消費者情報などを利用するビジネスと個人情報保護のバランスをどうとるかは、どの国でも大きなテーマだ。アジアでも個人情報保護強化の機運が高まり、日本企業が多数進出しているシンガポールでも、個人情報保護法案がこのほど国会で可決された。山中政人弁護士が法案の内容や制定の背景について解説する。

シンガポール個人情報保護法案の国会提出へ
シンガポールにおける個人情報の保護

西村あさひ法律事務所シンガポールオフィス
弁護士　山　中　政　人

　インド、ASEAN諸国のゲートウェイとして数多くの国際的な企業がシンガポール進出を果たし、また、進出に向けての動きを見せており、その多くの企業が消費者などから個人情報を取得し、それを保有、利用してビジネスを行っている。そのような中、シンガポールでは、個人情報の保護のための法律の制定が検討され、2012年10月15日にシンガポールの個人情報保護法であるPersonal Data Protection Act（以下「PDPA」という）法案がついに国会で可決された。本稿は、PDPAに制定に向けた背景、その法的枠組みなどについて、概略を説明するものである。

　■　背景と施行時期

　シンガポールにも、従前、銀行法（Banking Act）、コンピューター悪用法（Computer Misuse Act）、電気通信法（Telecommunication Act）など個人情報の保護を念頭に置いたものはあった。しかし、日本の個人情報保護法のような横断的・一般的な個人情報の取り扱いに関する法令は制定されていなかった。

　もっとも昨今、シンガポールの発展が進むにつれて、取り扱われる個人情報の量も、不正に取り扱われるリスクも増加している。また、近年、マレーシア、フィリピンなど近隣諸国においても、個人情報保護法が制定・導入されてきており、シンガポールでも個人情報保護法制定の気運が年々高まっていった。

　PDPA制定に向けた現在の状況としては、Ministry of Information, Communication and the Arts （以下「MICA」という。）により、PDPA法案について、日本でいうところのパブリック・コメントに該当するパブリック・コンサルテーションの手続が、2011年9月から12月までに二回、2012年3月に一回行われ、前述の通り、2012年9月10日に遂に国会に提出され同年10月15日に可決された。PDPAは、2013年1月にも施行される予定であるが、後述するDo Not Call Registryについては12ヶ月、個人情報保護の規定については18ヶ月の適用猶予期間が設けられることとなっている。

　■　PDPA法案の概要

　以下、2012年10月15日に国会で可決されたPDPA法案の概要について説明する。

(1) 対象個人情報

　PDPA法案では、保護の対象となる個人情報を「真実であるか否かを問わず、当該情報から、または当該情報とその企業等がアクセス可能なまたはアクセス可能であろうその他の情報と合わせて、その個人が識別可能な情報」と定義しており、上記に該当する限り、健康、雇用、財務状況などあらゆる個人に関する情報や、電子的なものか否かなどを問わないあらゆる形式の情報が、原則としてPDPAの対象となる。また、ここで保護される個人とは自然人を意味するが、日本の個人情報保護法とは異なり、死後10年を経るまでは死者の個人情報についても一定の保護がなされることとなる。

(2) 規制対象

　PDPA法案において規制対象とされている「企業等（organization）」には、シンガポール法に基づき設立されたものであるか、シンガポールの居住者であるか、シンガポールに拠点を持っているか、シンガポールでビジネスを行っているかなどを問わず、一切の個人、企業、団体、結社、組合または非法人企業がこれに含まれるものとされている。中小企業などを規制対象から外すことも議論されたが、それにより法の潜脱が惹起されることも考慮して、特に会社の大小に拘らず、規制対象とされている。また、シンガポール国外の者に対しては罰則の適用は実際には困難ではあるが、それでも規制対象としておくだけで、海外の事業者なども違法行為を差し控えることを期待して、シンガポール国外の企業等もPDPAの規制対象としているとのことである。

(3) 個人情報の取得、使用および開示に関するルール

1) 目的の開示と同意取得

　企業等は、個人情報の取得、使用または開示に対して、その個人からの同意を得なければならない。同意の取得方法については特にこと細かく明示されてはいないが、同意の取得前に、個人情報の取得、使用または開示の目的を当該個人に伝えることが求められている（なお、MICAは、企業等がなぜ個人情報を収集するのか、それがどのように保有されるのかの詳細を説明し、「書面」での同意を取得をすることを推奨しようとしている）。その目的は「合理的な人が適切と考え得る」ものである必要があるとされている。

　また、個人情報が当初と異なる目的で使用される場合には、改めて当該個人から同意を取得することが求められている。さらに、商品やサービスの提供を行うために合理的とされる範囲を超えて、商品やサービス提供の条件として個人情報の収集、使用または開示に対する同意を求めることは、禁止されている。

　同意をした後も、個人は、同意を撤回する権利を有し、その場合には、企業等は、撤回を受けた個人情報の使用等が禁止される。

2) みなし同意

　個人が企業等から目的の説明を受けた個人情報を自ら提供した場合には、当該個人からの明示の同意がなかったとしても、当該個人からの同意があったものとみなす、いわゆる「みなし同意」の規定が設けられている。この点、多数のものから同意を取得することが難しい場合に、「一定期間に異議がないときには同意があったものとみなす」旨のオプト・アウトの定めを設けることが考えられるが、これは、PDPA上、有効性が認められないと考えられているようである。

3) 例外

　上記のとおり、個人情報の取得・使用・開示については、当該個人からの同意を取得するのが原則ではあるが、以下に掲げる一定の場合などには、個人からの同意がない個人情報の取得、使用または開示も許容されている。

　また、企業買収の結果、対象会社の保有する個人情報が買収先に移動することがあるが、当該移動先の企業が当初個人情報を収集した際の目的の範囲内でその個人情報を使用するなど一定の条件を満たせば、個人から改めて同意を取得しなくとも、買収先が当該情報を取得して使用することができるものとされている。

　さらに、当該企業買収を行う前の買収予定先によるデュー・ディリジェンスで開示される個人情報について、買収の判断のために開示・使用されることが許容されるか否かは、日本の個人情報保護法においても多々議論されたものではあったが、PDPA法案においては、当該企業買収を行うか否かを判断するのに必要な情報であれば、当該判断をするために用いられる等の条件が満たされる限り、個人の同意がなくとも、それを買収先に開示し、買収先もそれを受けて当該情報を買収の判断材料として使用することができる旨規定されている。

(4) アクセスおよび取得に関するルール

　原則として、企業等は、当該企業等に保有される当該個人の個人情報にアクセスできるようにするための手続を準備し、個人からの請求があれば、当該個人情報の使用方法についての情報や当該個人情報が開示された他の企業の名称などを提供しなければならないとしている（ただし、個人情報が商業的な機密情報である場合など、個人のアクセスを認めなくてもよい場合も認められている）。

(5) 個人情報の正確性、保護および保持に関するルール

　PDPA法案には、企業等が取得した個人情報をもとに当該個人に影響のある何らかの決定を行う場合、または他の企業等に当該個人情報が開示する場合などには、当該情報が正確なものであるよう努めなければならない旨の企業等の義務が規定されいる。

　また、企業等は、自ら保有する情報などについて、権限のない者によるアクセス、取得、使用、開示、コピー、修正、廃棄その他の類似のリスクを回避するための合理的な施策をとることも求められている。

　さらに、個人に直接影響のある事項の決定を行うために個人情報を使用する場合、当該情報の使用後においても十分な期間、当該情報を保持しなければならないとされている。当該個人が当該情報の内容がどのようなものか認識するための機会を得ることができるようにするための規定である。

　なお、PDPA法案では、個人情報の受領先がPDPAに相当する個人情報保護を行うものでない限り、企業等が個人情報をシンガポール外に移動させることを禁止している。

(6) Do Not Call Registry

　PDPA法案の特徴として、また、日本の個人情報保護法にない制度として、Do Not Call Registry（以下「DNC Registry」という）という制度がある。これは、業者等が一定の登録をした個人に対して、電話やいわゆるショートメール（以下「SMS」という。）などのテキスト・メッセージ、およびファックスでのメッセージを送信することを防止するための制度である。但し、Eメールアドレスや自宅住所宛てに送付された手紙などは含まれない予定とされている。また、このDNC Registryの規制対象となるメッセージは、マーケティング目的のためのメッセージに限定することも提案されている。これにより、DNC登録をしている者に対しては、電話やショートメールでのマーケティング活動はできないこととなる。

(7) 罰則

　PDPA法案上、PDPAの違反者については、差押品の没収とともに、SG$10,000以下の罰金もしくは3年以下の懲役またはその双方、違反状態が継続する場合には、1日につきSG$1,000以下の罰金などが科されることが規定されている。

　また、取締役などの役員の同意・黙認または任務懈怠などによりPDPA違反が生じたことが証明されれば、その役員の属する法人とともに、当該役員もPDPA違反の責任を負うこととされている。

　さらに、従業員によるPDPA違反は、その雇用者の責任となる場合がある。かかる場合、その雇用者や本人が当該違反行為をしないようにするための合理的な方策を執っていたことを証明できれば、当該違反の責任を免れることができるとされている。

　■　実施までのフレームワーク

　個人情報保護委員会は、PDPA施行後、企業等のPDPAの遵守をサポートするためのガイドラインを策定することを予定している。また、PDPAは基本法としての役割が予定されており、個別の業界の規制当局により、更に詳細かつ具体的なルールを設けさせることも予定されているようである。

　日本において個人情報保護法が施行されたときと同様に、PDPAの適用を受ける企業等がかかるガイドライン等を基にPDPAに対応するための準備期間として、PDPAの施行から効力発生まで18ヶ月間の猶予期間が設けられることが予定されている（DNC Registryについては、PDPA施行後12ヶ月以内に開始される予定である）。

　なお、PDPAの効力発生前に取得された個人情報については、その当初の取得目的の範囲内で使用されている以上、PDPAの効力発生後もその使用は許容されることとなる。ただし、当該個人情報の使用についての同意が撤回された場合、または同意が事前に取得されておらず、その旨を当該個人から指示された場合には、企業等は、当該個人情報の使用を中止しなければならないとされている。

　■　結語

　PDPAが制定されるまでには、ま