2019年7月25日
シンガポールの個人情報保護法対策―あなたの会社は大丈夫?
目次
履歴書の扱いはどうしていますか?
佐藤:履歴書を管理するシステムを導入していて、将来何かご紹介できる案件があるかもしれないと想定して、5~6年ほど保管しています。ただデータの持ちすぎはリスクですね。今後は3年までとか短くしていかないと。
伊奈:あんまり持ちすぎるとおっしゃる通り、リスクかもしれませんね。ただ例外で、ビジネス上開示が想定される場合は、必ずしも必要ないとあります。求職者はつないでもらうために個人情報を出しているので、当然その先までプロファイルを移転されることも許容していると。そういった観点からは、そこまで心配する必要はないかな、と。
一同:おお・・・
伊奈:でも採用しないと決めたらすぐ(データを)破棄するとか、できる限り保守的に考えた方がいいと思います。(業務の)オペレーションとコンプラのバランスをどうとっていくか。過去に辞めた一人の従業員のデータが洩れたといって、PDPCの処罰事例に実名で出たケースもあるし。
岡田:アドバイザリーガイドライン、これまで年に1~2回程度だったのが、今年5月の更新を含めると4件リリースされています。2016年の4月、一挙に8件のペナルティーケースが発表された時と同様に、PDPCが本気で強化していこうという雰囲気を感じますね。
一同:怖いなあ。
伊奈:罰金の金額も増えてますよね。
岡田:同じ企業が同じような内容で2回摘発されたケースで、1回目は6,000ドル、2回目は3万ドルになった。PDPCはきちんとコンプライアンスしていたか、その後の対応をしっかりと行ったか、捜査に協力的であったかを見て判断する。こうしたプロセスとガイドラインは全部公表されています。
伊奈:PDPCの捜査に協力しているかどうかによっても、罰金の額が変わったりとか。
成田:税金も実はペナルティがありますけどね。税金の場合だと、ノーブリーチを基本的には公表しないですけど。
岡田:今年9月にNRICの番号などの取得、使用、開示の原則禁止というガイドラインも施行されます。
佐藤:求職者の中には、自発的にNRICを記載してこられる方々がいらっしゃいますが、それは問題ありませんか?
伊奈:PDPC的には今後はNRICを取らないで、下4桁だけプラス電話番号とか、個人の識別方法を変えていきなさい、とかそういう言い方をしています。
岡田:NRICってある意味、背番号じゃないですか。シンガポールでは、なんにでも書かせるのが習慣になっちゃってる。
伊奈:MOMとかに電話すると、最初にボタンでFIN番号とか押さないとですよね。
一同:ああ、あれね。
伊奈:全然必要ないような気もしますが、政府機関は結構例外になっているんですよ。
岡田:ある意味、文化が変わる、大きなターニングポイントなのかな。
成田:私どもは絶対(個人情報を)使わないとできない。そういった例外のところをしっかりしてもらわないと、例えば、源泉徴収票作る時、そこだけ空欄になってしまいます。
奈良:うちの業界で割とよくあるのが、携帯を落として・・・
一同:ああ・・・
奈良:セキュリティをかけていなくて、タレントさんの情報がダ―ッとでてしまったり。そういうのはシンガポールでは結構厳しい対象になるんでしょうか。
伊奈:外部の方の個人情報が入っているのに、それでパスワードかけてないとなると・・・まずは会社としてせめて社内規則でちゃんと徹底させてますと言えるようにしておくとか。
成田:iPhoneとかだったら落としても、一度遠隔で全部データを消してしまえば、別に罰則はないですか?
伊奈:潜在的にリスクがあるだけでは、罰せられないと思います。最近5月末に出たガイドラインで、そういう潜在的リスクが発見された場合は30日以内に措置をとること。もし漏れてしまって、それが500人以上か、または特定な個人の重大な利益に関わる場合は、PDPCに72時間以内に報告しないといけないと、そういう指針が出たんですよ。
企業側にこれだけは伝えておかなければということはありますか。
岡田:B2Bの企業さんに多いのが、個人情報はないというマインドセット。従業員のデータは個人情報にあたります。PDPA対策は必要です。
伊奈:従業員の就業規則と同じぐらいのレベル意識をもって、体制を整えておくのが結構重要です。仮に入られてしまっても最悪ノーブリーチで名前が出るくらいで収まるとかそういうこともあるので。
一同:うーん、微妙・・・
奈良:一番単純な、これだけはやっておいた方がいいというのはありますか。
伊奈:DPOの選任は、単にPDPCのウェブサイトで名前とか登録するだけ。あとは社内規則、プライバシーポリシーですね。
岡田:こうやってPDPAマニュアルファイルを作っておいて、社内でいつでもだれでも見れるようにしておく。取得したDPTM(Data Protection Trust Mark)が見えるように意図的に貼るとかして、注意喚起する。
奈良:ハードコピーでちゃんと作ってる!お願いしたら、作っていただけるんですか?
一同:(笑)
奈良:いやね、理屈はわかるんですけど、全部一から自分で作るというと、ちょっとですね・・・
情報の国境越えには必ず「同意」を
佐藤:今やほとんどの企業さんはクラウドベースで、そのサーバーは国内にないケースが多い。これってPDPCさんのおっしゃってる(情報)の国外移転には当たらないんですか。以前、グーグルさんとか大手であればセキュリティもしっかりしているから大丈夫、だけど小さなサービスプロバイダーさんなどの場合は、同意書を取った方がいいと話を聞きました。その会社よりも、さらに小さな会社のうちが同意書を依頼して、果たしてサインしてもらえるのか。
伊奈:いやあ、どうすればいいんですかね。確かにサーバーのある場所がデータの場所。在星グローバル企業のデータは今、ほとんどシンガポールにないという・・・
成田:お願いしておいて、拒否されたエビデンスを取っておけばいいんじゃないかな?
佐藤:お返事くれるんですかねえ。
抜き打ちで入られて、やってなかった場合、すぐ罰金ですか?
岡田:すぐに罰金というケースはこれまで聞いたことがない。PDPCへの報告・通告があって、PDPCのプロセスに基づいて捜査後、発表という流れです。
伊奈:必ずしもいきなり捜査とはならない。何回も注意しているのに言うこときかないと、結構来たりする。
奈良:捜査の端緒というのは・・・
岡田:今は報告や通告ベースで動いていると思われます。辞めた従業員が、以前働いていた美容室のデータベースから顧客情報を盗み出して、それに気づいた美容院がPDPCに通報して捜査になったケースがある。DPOがいない、社内マニュアルもない、PDPAにコンプライアンスもしていないとの理由で、結局データを取られたほうも指導を受けることになりましたが。
生年月日、性別、写真の請求は規程で禁止
佐藤:MOMさんは採用前の求職者とのやり取りの中で、年齢や性別、NRICは聞いてはならない(コピーもだめ)といっています。たまに採用企業さんから、履歴書に写真貼って提出してくださいとリクエストがあるのですが、写真もダメなんです。これは蛇足ですが、日本では面接時に愛読書や尊敬している人物を聞くのもダメと聞きました。
一同:ええっ!思想の問題?
佐藤:あくまでも仕事に対する部分というか、能力や経験についてを聞く。尊敬する人物は”坂本龍馬”、とか聞いても言ってもダメみたいですよ。
一同:そうなんですか!
佐藤:欧米の方がもっと厳しいらしいです。果たしてそれがシンガポールに合っているのかわかりませんが。
メディアはどうしたらいいんでしょうか。
伊奈:一筆とるといいんじゃないですかね。
奈良:放送なんかでも、使えない言葉がたくさんあって。
伊奈:あしたのジョーとかの再放送とか見ると、ピーピーっていっぱいありますよね。
一同:(笑)
最後に一言、お願いします。
奈良:こちらからあらかじめ防衛線を張っておく、一番最小限のことを最小限のエネルギーでやっておこうと思いました。何もしないというのは怖い話だなと今日勉強できたので。
岡田:今年の1月からDPTMという制度が始まりました。(日本の)プライバシーマークのシンガポール版です。PDPCの調査では、3人中2人はDPTMマークの入ったブランドを選ぶという発表もありました。戦略的にこの認証をとることも選択肢かと思います。
伊奈:ビジネスの都合とコンプラとのバランスをどのように取るか、これは本当に難しい問題だなと。あと、労務管理と同じくらいに個人情報管理にも意識を向けていただきたいと、僭越ながら、改めて申し上げたいです。
佐藤:正直言いますと、以前と比べてどんどん規制の幅が広がってビジネスがやりにくくなったと感じています。一方で、技術の進歩に伴って便利になった面も多々あります。PDPAに関しては、今のところネガティブな面しか感じられませんが、できるだけ明るい面も見つけてやっていこうと思っています。
一同:(笑)
佐藤:駐在事務所や現地法人の皆さんは、ご本社からのサポートがあると思うので、セキュリティ対策も導入が容易だと思うのですが、私たちのような独資では、PDPCさんからのさらなる要求に対して、今後コスト面から対応が可能かどうか、とても心配なのです。
AsiaX:佐藤さん、ポジティブにならないと!
佐藤:なろうなろうと努力はしてるんですけど。
一同:(笑)
成田:会計税務に関しては注意喚起できていますけど、PDPAに関しても、さっさとやってしまってお客さん側に注意喚起できるようにしようと思います。法律ができていますし、やらざるを得ないので。粛々と従おうと思っています。
聞き手:内藤剛志/編集:野本寿子