Q.シンガポールで全面施行された個人情報保護法の留意点について教えてください。

シンガポール個人情報保護法（Personal Data Protection Act、「PDPA」）が2014年7月2日に全面施行されました。まず、PDPAの適用範囲について注意が必要です。

日本と異なり、個人情報を検索可能な状態で利用するか、5,000人分を超える個人情報を扱うかに関係なく、シンガポールで個人情報の取得、利用、開示を行う場合にPDPAは広く適用されます。つまり、シンガポールでは1件でも個人情報を保有していればPDPAが適用されることになります。また、故人の個人情報も死後10年間はPDPAの適用対象になるのは日本法と異なる点ですので、ご注意ください。

PDPA違反については企業に罰金などが科せられるほか、任務懈怠があれば企業の取締役も責任を負うことがあります。また、従業員による違反も企業が防止策を採用していなかった場合には企業が責任を負うことがありえますので、適切な対策を早期にとることが大切です。

2014年7月2日以前にシンガポールで取得した個人情報については、個人情報を提供した個人から個人情報の利用に同意しないという意思表示がなければ、企業は個人から同意をあらためて取得することなく、当初の利用目的の範囲内で個人情報の利用を継続することができます。

個人情報の取得には個人からの事前同意が必要です。同意を取得する際には、利用目的が個人に対し通知されていなければなりません。同意と利用目的をセットで考えるのが理解のポイントです。これにより企業は通知した目的の範囲内で個人から取得した個人情報を利用することができます。そのため、企業が当初とは異なる目的のために個人情報を利用する場合にはその利用目的を通知し、個人から新たな同意をとることが必要になります。

利用目的の通知方法としては、企業のウェブサイトにプライバシー・ポリシーを表示する方法が簡便でしょう。なお、ビジネスのための連絡先情報にはPDPAは適用されないため、名刺交換で取得した個人情報は個人からの事前同意なく、個人情報の取得、利用、開示を行うことが可能です。

シンガポールの日系企業に関係すると思われるのは、シンガポールで取得した個人情報の国外への移転です。たとえば、シンガポールで取得した個人情報を日本本社と共有することは多くの企業で行う必要があるでしょう。個人情報の国外移転については、監督官庁である個人情報保護委員会（Personal Data Protection Commission、「PDPC」）から2014年5月に個人情報保護規則2014およびガイドライン（Advisory Guidelines on Key Concepts in the Personal Data Protection Act、「PDPCガイドライン」）が公表されました。同規則によれば、移転する側は、受領者に対し、少なくともPDPAと同水準の保護を与えるよう法的拘束力ある義務を契約などによって負わせ、契約には個人情報を移転する国と地域を特定することが求められています。

逆に、日本など国外で取得された個人情報をシンガポールで利用する場合はどのような配慮が必要でしょうか。PDPAはシンガポールにおける個人情報の取得、利用、開示に適用されます。そのため、個人情報が日本で取得される場合、その取得については日本の個人情報保護法に従うことが必要になります。PDPCガイドラインでは、シンガポールで利用目的の通知および事前同意の取得義務を果たしているかは個人情報が国外の個人情報保護法に従って取得されたかを考慮するとしていますので、日本法の規定に従っていれば、シンガポールであらためて個人から同意を取得することまでは求められないと考えられます。