シンガポールのビジネス情報サイト AsiaXビジネスTOPシンガポールの個人情報保護法対策―あなたの会社は大丈夫?

座談会

2019年7月25日

シンガポールの個人情報保護法対策―あなたの会社は大丈夫?

 世界で規制が高まる「個人情報」。情報はビジネスにおいて重要な資源であるとともに、その扱い次第では大きく足を取られることにもなりかねない、非常にセンシティブな問題です。今回のディスカッションは専門家を交えて、日本とシンガポールの法律の違いやPDPC(Personal Data Protection Commission)のガイドラインなどについて、企業や雇用主が押さえておくべきシンガポールでの「個人情報保護法」のポイントについて、一歩踏み込んだ内容をお届けします。
 

座談会参加メンバー


Mamoru Singapore Pte Ltd
岡田 陽さん

情報セキュリティの国際資格であるCISM(Certified Information Security Manager) 取得。2016年よりPDPAに特化したコンプライアンスサービスを新規事業として立ち上げ、これまで60社以上に提供。 PDPA社内ルール作成、スタッフ教育、ソリューション提供までを手掛けている。また、シンガポール版プライバシーマークであるDPTM(Data Protection Trustmark)を日系企業として初めて認証取得を行った。前職では、情報セキュリティ先進国であるイスラエル企業のフォレ ンジック製品の東南アジア販売責任者として従事。

 


One Asia Lawyers group
伊奈 知芳さん

弁護士登録後、日本における対中国投資案件を主要業務とする大手法律事務所にて勤務(うち2010年~2015年は上海事務所代表)。2015年、同所を退職してシンガポール国立大学LL.M.へ留学。2016年、同大学を卒業後、One AsiaLawyers groupの設立に参画。以降、東南アジア及び中国を中心とするクロスボーダーM&A案件のほか、労務、コンプライアンスその他一般企業法務案件に幅広く従事している。シンガポールを中心とした個人情報保護法制に関する講演も多数行っている。

 


ABC HORIZON PTE. LTD.
奈良 修さん

朝日放送(株)報道局、経営戦略室、総合ビジネス局等の勤務を経て、2018年4月からABC HORIZON PTE. LTD.のManaging Director。シンガポールで従来の放送メディアのビジネスモデルに頼らない新規事業の開拓を手がける。

 


EJ Consultancy Services Pte Ltd.
成田 武司さん

日本国税理士。2005年より個人会計事務所にて、幅広い業種の事業会社の会計税務業務に従事した後、2011年より青山綜合会計事務所に入所。金融債権・不動産などのストラクチャードファイナンス業務に携わる。その後、2013年よりシンガポールにて日系企業の海外進出支援業務及び海外ファンド管理業務を担当。2017年よりEJ Consultancy Services Pte Ltdに参画し、シンガポール法人の会計税務顧問を中心に600社以上のクライアントを統括。

 


Salesbridge HR Pte Ltd
佐藤 裕人さん

Salesbridge HR Pte Ltd代表。建設業界、IT業界を経て独立し、2004年より現在の人材紹介会社を経営。日系・外資系問わず、顧客企業に対して採用のコンサルティング、人材のサーチを日々行なう。「回転寿司ではない握りの寿司屋的な人材紹介会社」が基本姿勢。求職者からは丁寧なアドバイスで知られているものの、登録してもすぐに仕事を紹介してくれないことでも有名。在星歴は22年。趣味は書と俳句と猫。シンハラ語も話せるレアな人材コンサルタントとして活躍中。
 

個人情報保護法対策、どうしてる?

早速ですが、実際に個人情報保護法の対策を会社で取り組まれているのは・・・

佐藤氏、伊奈氏、岡田氏、挙手。

 

奈良さん、成田さんはいかがですか?

奈良:ちゃんとしないととは思っているんです。シンガポールは罰則規定も非常に厳しいと聞いていますし。

 

成田:この法律が施行された2014年7月以前から知ってはいるのですが、なかなか重い腰が上がらなかったというか…。今年1月ぐらいから弁護士さんを入れて進めている状況です。お客さんの数がとにかく多いので、その情報をどういう風に手当てしようか、どこまでやるべきかを今、詰めています。

 

佐藤:仕事上、個人情報を扱うのでやらざるを得ないです。マニュアルの整備やトレーニングなど必要最低限を実施しています。ただスタッフが2人という小規模事業所ゆえ、今後ITインフラの整備にまでPDPCの指導が強まってくると、コスト面で心配です。

 

日本とシンガポールの個人情報保護法の違いは?

伊奈:基本的な法律の枠組みは日本と似ています。違うのは政府の取り組み方で、罰則、処罰事例摘発の部分。細かいところだと日本の場合、死者の情報は個人情報にならない。シンガポールだと死んでから10年以内だったら個人情報とみなされる。罰則的な部分はかなり違って、シンガポールだと罰金が最大100万Sドル(約8,000万円)ぐらい。身柄拘束、禁固刑が日本だと最大6ヵ月、シンガポールだと最大3年と長いです。

 

実際にPDPCから指摘を受けて、罰則とか罰金とか払った例は過去にありますか。

伊奈:施行された2014年当初は周知期間で何の摘発もなかったんですが、2016年4月から摘発が始まりました。一発目が日系企業さんの事例で、罰金5万ドルを課された。30うん万人の情報が出ちゃったんで、漏えいの規模としても結構大きくて。不正アクセスを防止する措置を取ってなかったとか、DPO(Data Protection Officer)を選任していなかったとか、そういった理由でした。それ以降もコンスタントにPDPCのウェブサイト上で実名で処罰例が公表されているんですが、今年に入って、6月でもう11件とかそれくらい。

 

岡田:最近、ノーブリーチ(違反なし)というのも公表されてます。

 

伊奈:ノーブリーチだけど実名出ちゃう。判決書みたいのが出るんです。

 

業種は関係ありますか?

伊奈:個人情報を扱う機会が多い所、B2BよりB2C、小売業とか教育とか医療関係。企業の大小も問わず、大学とかNTUCとか、ああいう公共的な性格の強い組織も普通に処罰されている。なかなか油断できないな、と。B2Bなら安心、ということではないですが・・・

 

佐藤:たとえばシングヘルスのケースのような場合ですね。現在はITベンダーも含めた攻撃された側に対して罰金が科されますが、政府には是非攻撃した側、ハッカー側に罰金を科していただきたい。

 

一同:確かに(笑)。

 

伊奈:事故を100%防ぐことは難しいので、万が一漏れても、ちゃんとやっていたといえるエビデンスを残しておくことが大事だと思います。

 

岡田:DPOの選任、個人情報取扱社内マニュアルの作成、それを従業員に理解・浸透させること。そしてグッドプラクティス、つまり継続性を持つこと。PDPCがずっと言い続けていることは、主にこの4つですね。

 

伊奈:弊所のクライアントさんで、毎年1回、新任駐在員の方などのために1時間、シンガポール個人情報保護法や簡単な社内セミナーなどを開催されているところもあります。

 

従業員は正社員だけ?パートやプロジェクトベースの契約社員の場合は?

伊奈:単に外注を受けてデータを処理するためだけに扱っている場合は、個人情報保護法上の義務は、主にデータ処理を発注した人にある。それ以外であれば、法律上、基本的に保有している情報は(正社員と)同じレベルで扱わないといけないです。

 

成田:会計事務所はお客さんの会社からデータをもらっている。お客さんから預かっている情報が漏えいしたら、うちもアウトになる。お客さんと同意を結んでおかないと。

 

伊奈:データ仲介業者が個人情報を取得する場合は、発注元が目的を通知して個人から同意を取っていることを確認した上で不正アクセスから(データを)きちんと保護する。

 

岡田:その場合、主に保護義務(しっかり守りなさい)と保有制限義務(いらなくなったら捨てなさい)を果たせばいいと言われています。

 

奈良:それですね、どこまで送っていいのか。こちらの従業員の個人情報を日本の本社と共有する時にですね・・・

 

伊奈:実はそこが結構難しいところなんです。(情報を)国外に移転する場合ですね。頂いた履歴書の情報は、労務管理の都合で本社と共有する可能性がありますとか、そういった断り書きは入れておくべきです。

 

奈良:逆にそれをせずに本社と情報を共有すると、シンガポールの罰則規定に触れる可能性がありますか?

 

伊奈:絶対ダメかというとそうとも言えない。あとで違反だと言われたときに、ちゃんとやっていますよ、といえるものを作っておく。

おすすめ・関連記事

シンガポールのビジネス情報サイト AsiaXビジネスTOPシンガポールの個人情報保護法対策―あなたの会社は大丈夫?