Q.個人情報保護に関するDPOの選任について

Q：シンガポールで会社を経営しています。Personal Data Protection Commission（PDPC）から突然書面が届き、Data Protection Officer（DPO）を選任してPDPCに登録するよう書かれていました。私の会社では顧客情報や従業員の個人情報を管理しています。PDPCからの書面にはどのように対応すればよいのでしょうか。

A：DPO未選任であれば選任しなければなりませんが、その後のPDPCへの登録までは現時点では必須ではありません。
会社等は、シンガポール個人情報保護法Personal Data Protection Act （PDPA）遵守に関する組織内の責任者として、最低１人のDPOを選任しなければならないとPDPAで定められています。選任後は、DPOと連絡が取れる電話番号やメールアドレスをウェブサイト等で一般に公開しなければなりません。ただし、DPO専用のものである必要はなく、会社の代表電話番号や一般メールアドレスで足りるとされています。なお、DPO選任は会社の義務ですが、選任後のPDPCへの登録は現在のところ任意とされています。

Q：DPOの責任とは具体的にはどのようなものなのでしょうか。

DPOは会社のPDPA遵守について責任を負います。たとえば、PDPAに沿った情報管理規則の作成、個人情報取扱に関する苦情申立手続の整備、社内で情報管理規則の内容や運用を周知させることなどです。個々の会社の規模や取り扱う個人情報の種類によって具体的対応は様々ですが、DPOがまず行うこととしてDPDCにより以下が提案されています。

1．現在の個人情報管理体制の確認
まずは、社内の個人情報管理に関する枠組みおよび処理を精査し、PDPAに適合したものか検討します。例えば、会社が、いつ、どこで、どのように個人情報を取得しているか、取得目的は何か、取得、使用、および開示に関する同意を当該個人から得ているかなどを検討することになります。

2．個人情報の取扱いについての情報管理規則の作成・改正
次に、誰が個人情報にアクセス可能か、どのように保存されているか、保存期間などを検討し、適宜、情報管理規則を作成または改正します。その際には、同意取得義務、目的制限義務、目的の事前通知義務、アクセス権および訂正権付与義務、正確性保持義務、情報保護義務、目的達成後の保持停止義務、他国への情報移転制限義務、情報管理規則および苦情申立手続の公表義務といったPDPAに定められる義務を遵守することを念頭に置く必要があります。

3．リスクおよび対策の検討
社内で個人情報保護に関連してどのようなリスクがあり、そのリスクを低くするにはどのような対策が考えられるかを検討することになります。後者に関しては、たとえば、定期的にPDPAに従った処理が実際に行われているか内部監査を実施するといったことが提案されています。

4．情報管理規則と手続の従業員への周知
PDPAについて定められる義務について簡単にまとめて、従業員に知らせ、法令の改正およびそれに沿った情報管理規則・社内手続の変更等を従業員に随時知らせることなどが提案されています。

5．社外からの問い合わせや苦情に対応する体制の整備
会社が保持する個人情報へのアクセス請求や過去数年の使用状況についての問い合わせ等に対応する体制・ルールを整える必要があります。