世界で規制が高まる「個人情報」。情報はビジネスにおいて重要な資源であるとともに、その扱い次第では大きく足を取られることにもなりかねない、非常にセンシティブな問題です。今回のディスカッションは専門家を交えて、日本とシンガポールの法律の違いやPDPC(Personal Data Protection Commission)のガイドラインなどについて、企業や雇用主が押さえておくべきシンガポールでの「個人情報保護法」のポイントについて、一歩踏み込んだ内容をお届けします。
座談会参加メンバー
Mamoru Singapore Pte Ltd
岡田 陽さん
情報セキュリティの国際資格であるCISM(Certified Information Security Manager) 取得。2016年よりPDPAに特化したコンプライアンスサービスを新規事業として立ち上げ、これまで60社以上に提供。 PDPA社内ルール作成、スタッフ教育、ソリューション提供までを手掛けている。また、シンガポール版プライバシーマークであるDPTM(Data Protection Trustmark)を日系企業として初めて認証取得を行った。前職では、情報セキュリティ先進国であるイスラエル企業のフォレ ンジック製品の東南アジア販売責任者として従事。
One Asia Lawyers group
伊奈 知芳さん
弁護士登録後、日本における対中国投資案件を主要業務とする大手法律事務所にて勤務(うち2010年~2015年は上海事務所代表)。2015年、同所を退職してシンガポール国立大学LL.M.へ留学。2016年、同大学を卒業後、One AsiaLawyers groupの設立に参画。以降、東南アジア及び中国を中心とするクロスボーダーM&A案件のほか、労務、コンプライアンスその他一般企業法務案件に幅広く従事している。シンガポールを中心とした個人情報保護法制に関する講演も多数行っている。
ABC HORIZON PTE. LTD.
奈良 修さん
朝日放送(株)報道局、経営戦略室、総合ビジネス局等の勤務を経て、2018年4月からABC HORIZON PTE. LTD.のManaging Director。シンガポールで従来の放送メディアのビジネスモデルに頼らない新規事業の開拓を手がける。
EJ Consultancy Services Pte Ltd.
成田 武司さん
日本国税理士。2005年より個人会計事務所にて、幅広い業種の事業会社の会計税務業務に従事した後、2011年より青山綜合会計事務所に入所。金融債権・不動産などのストラクチャードファイナンス業務に携わる。その後、2013年よりシンガポールにて日系企業の海外進出支援業務及び海外ファンド管理業務を担当。2017年よりEJ Consultancy Services Pte Ltdに参画し、シンガポール法人の会計税務顧問を中心に600社以上のクライアントを統括。
Salesbridge HR Pte Ltd
佐藤 裕人さん
Salesbridge HR Pte Ltd代表。建設業界、IT業界を経て独立し、2004年より現在の人材紹介会社を経営。日系・外資系問わず、顧客企業に対して採用のコンサルティング、人材のサーチを日々行なう。「回転寿司ではない握りの寿司屋的な人材紹介会社」が基本姿勢。求職者からは丁寧なアドバイスで知られているものの、登録してもすぐに仕事を紹介してくれないことでも有名。在星歴は22年。趣味は書と俳句と猫。シンハラ語も話せるレアな人材コンサルタントとして活躍中。
個人情報保護法対策、どうしてる?
早速ですが、実際に個人情報保護法の対策を会社で取り組まれているのは・・・
佐藤氏、伊奈氏、岡田氏、挙手。
奈良さん、成田さんはいかがですか?
奈良:ちゃんとしないととは思っているんです。シンガポールは罰則規定も非常に厳しいと聞いていますし。
成田:この法律が施行された2014年7月以前から知ってはいるのですが、なかなか重い腰が上がらなかったというか…。今年1月ぐらいから弁護士さんを入れて進めている状況です。お客さんの数がとにかく多いので、その情報をどういう風に手当てしようか、どこまでやるべきかを今、詰めています。
佐藤:仕事上、個人情報を扱うのでやらざるを得ないです。マニュアルの整備やトレーニングなど必要最低限を実施しています。ただスタッフが2人という小規模事業所ゆえ、今後ITインフラの整備にまでPDPCの指導が強まってくると、コスト面で心配です。
日本とシンガポールの個人情報保護法の違いは?
伊奈:基本的な法律の枠組みは日本と似ています。違うのは政府の取り組み方で、罰則、処罰事例摘発の部分。細かいところだと日本の場合、死者の情報は個人情報にならない。シンガポールだと死んでから10年以内だったら個人情報とみなされる。罰則的な部分はかなり違って、シンガポールだと罰金が最大100万Sドル(約8,000万円)ぐらい。身柄拘束、禁固刑が日本だと最大6ヵ月、シンガポールだと最大3年と長いです。
実際にPDPCから指摘を受けて、罰則とか罰金とか払った例は過去にありますか。
伊奈:施行された2014年当初は周知期間で何の摘発もなかったんですが、2016年4月から摘発が始まりました。一発目が日系企業さんの事例で、罰金5万ドルを課された。30うん万人の情報が出ちゃったんで、漏えいの規模としても結構大きくて。不正アクセスを防止する措置を取ってなかったとか、DPO(Data Protection Officer)を選任していなかったとか、そういった理由でした。それ以降もコンスタントにPDPCのウェブサイト上で実名で処罰例が公表されているんですが、今年に入って、6月でもう11件とかそれくらい。
岡田:最近、ノーブリーチ(違反なし)というのも公表されてます。
伊奈:ノーブリーチだけど実名出ちゃう。判決書みたいのが出るんです。
業種は関係ありますか?
伊奈:個人情報を扱う機会が多い所、B2BよりB2C、小売業とか教育とか医療関係。企業の大小も問わず、大学とかNTUCとか、ああいう公共的な性格の強い組織も普通に処罰されている。なかなか油断できないな、と。B2Bなら安心、ということではないですが・・・
佐藤:たとえばシングヘルスのケースのような場合ですね。現在はITベンダーも含めた攻撃された側に対して罰金が科されますが、政府には是非攻撃した側、ハッカー側に罰金を科していただきたい。
一同:確かに(笑)。
伊奈:事故を100%防ぐことは難しいので、万が一漏れても、ちゃんとやっていたといえるエビデンスを残しておくことが大事だと思います。
岡田:DPOの選任、個人情報取扱社内マニュアルの作成、それを従業員に理解・浸透させること。そしてグッドプラクティス、つまり継続性を持つこと。PDPCがずっと言い続けていることは、主にこの4つですね。
伊奈:弊所のクライアントさんで、毎年1回、新任駐在員の方などのために1時間、シンガポール個人情報保護法や簡単な社内セミナーなどを開催されているところもあります。
従業員は正社員だけ?パートやプロジェクトベースの契約社員の場合は?
伊奈:単に外注を受けてデータを処理するためだけに扱っている場合は、個人情報保護法上の義務は、主にデータ処理を発注した人にある。それ以外であれば、法律上、基本的に保有している情報は(正社員と)同じレベルで扱わないといけないです。
成田:会計事務所はお客さんの会社からデータをもらっている。お客さんから預かっている情報が漏えいしたら、うちもアウトになる。お客さんと同意を結んでおかないと。
伊奈:データ仲介業者が個人情報を取得する場合は、発注元が目的を通知して個人から同意を取っていることを確認した上で不正アクセスから(データを)きちんと保護する。
岡田:その場合、主に保護義務(しっかり守りなさい)と保有制限義務(いらなくなったら捨てなさい)を果たせばいいと言われています。
奈良:それですね、どこまで送っていいのか。こちらの従業員の個人情報を日本の本社と共有する時にですね・・・
伊奈:実はそこが結構難しいところなんです。(情報を)国外に移転する場合ですね。頂いた履歴書の情報は、労務管理の都合で本社と共有する可能性がありますとか、そういった断り書きは入れておくべきです。
奈良:逆にそれをせずに本社と情報を共有すると、シンガポールの罰則規定に触れる可能性がありますか?
伊奈:絶対ダメかというとそうとも言えない。あとで違反だと言われたときに、ちゃんとやっていますよ、といえるものを作っておく。
履歴書の扱いはどうしていますか?
佐藤:履歴書を管理するシステムを導入していて、将来何かご紹介できる案件があるかもしれないと想定して、5~6年ほど保管しています。ただデータの持ちすぎはリスクですね。今後は3年までとか短くしていかないと。
伊奈:あんまり持ちすぎるとおっしゃる通り、リスクかもしれませんね。ただ例外で、ビジネス上開示が想定される場合は、必ずしも必要ないとあります。求職者はつないでもらうために個人情報を出しているので、当然その先までプロファイルを移転されることも許容していると。そういった観点からは、そこまで心配する必要はないかな、と。
一同:おお・・・
伊奈:でも採用しないと決めたらすぐ(データを)破棄するとか、できる限り保守的に考えた方がいいと思います。(業務の)オペレーションとコンプラのバランスをどうとっていくか。過去に辞めた一人の従業員のデータが洩れたといって、PDPCの処罰事例に実名で出たケースもあるし。
岡田:アドバイザリーガイドライン、これまで年に1~2回程度だったのが、今年5月の更新を含めると4件リリースされています。2016年の4月、一挙に8件のペナルティーケースが発表された時と同様に、PDPCが本気で強化していこうという雰囲気を感じますね。
一同:怖いなあ。
伊奈:罰金の金額も増えてますよね。
岡田:同じ企業が同じような内容で2回摘発されたケースで、1回目は6,000ドル、2回目は3万ドルになった。PDPCはきちんとコンプライアンスしていたか、その後の対応をしっかりと行ったか、捜査に協力的であったかを見て判断する。こうしたプロセスとガイドラインは全部公表されています。
伊奈:PDPCの捜査に協力しているかどうかによっても、罰金の額が変わったりとか。
成田:税金も実はペナルティがありますけどね。税金の場合だと、ノーブリーチを基本的には公表しないですけど。
岡田:今年9月にNRICの番号などの取得、使用、開示の原則禁止というガイドラインも施行されます。
佐藤:求職者の中には、自発的にNRICを記載してこられる方々がいらっしゃいますが、それは問題ありませんか?
伊奈:PDPC的には今後はNRICを取らないで、下4桁だけプラス電話番号とか、個人の識別方法を変えていきなさい、とかそういう言い方をしています。
岡田:NRICってある意味、背番号じゃないですか。シンガポールでは、なんにでも書かせるのが習慣になっちゃってる。
伊奈:MOMとかに電話すると、最初にボタンでFIN番号とか押さないとですよね。
一同:ああ、あれね。
伊奈:全然必要ないような気もしますが、政府機関は結構例外になっているんですよ。
岡田:ある意味、文化が変わる、大きなターニングポイントなのかな。
成田:私どもは絶対(個人情報を)使わないとできない。そういった例外のところをしっかりしてもらわないと、例えば、源泉徴収票作る時、そこだけ空欄になってしまいます。
奈良:うちの業界で割とよくあるのが、携帯を落として・・・
一同:ああ・・・
奈良:セキュリティをかけていなくて、タレントさんの情報がダ―ッとでてしまったり。そういうのはシンガポールでは結構厳しい対象になるんでしょうか。
伊奈:外部の方の個人情報が入っているのに、それでパスワードかけてないとなると・・・まずは会社としてせめて社内規則でちゃんと徹底させてますと言えるようにしておくとか。
成田:iPhoneとかだったら落としても、一度遠隔で全部データを消してしまえば、別に罰則はないですか?
伊奈:潜在的にリスクがあるだけでは、罰せられないと思います。最近5月末に出たガイドラインで、そういう潜在的リスクが発見された場合は30日以内に措置をとること。もし漏れてしまって、それが500人以上か、または特定な個人の重大な利益に関わる場合は、PDPCに72時間以内に報告しないといけないと、そういう指針が出たんですよ。
企業側にこれだけは伝えておかなければということはありますか。
岡田:B2Bの企業さんに多いのが、個人情報はないというマインドセット。従業員のデータは個人情報にあたります。PDPA対策は必要です。
伊奈:従業員の就業規則と同じぐらいのレベル意識をもって、体制を整えておくのが結構重要です。仮に入られてしまっても最悪ノーブリーチで名前が出るくらいで収まるとかそういうこともあるので。
一同:うーん、微妙・・・
奈良:一番単純な、これだけはやっておいた方がいいというのはありますか。
伊奈:DPOの選任は、単にPDPCのウェブサイトで名前とか登録するだけ。あとは社内規則、プライバシーポリシーですね。
岡田:こうやってPDPAマニュアルファイルを作っておいて、社内でいつでもだれでも見れるようにしておく。取得したDPTM(Data Protection Trust Mark)が見えるように意図的に貼るとかして、注意喚起する。
奈良:ハードコピーでちゃんと作ってる!お願いしたら、作っていただけるんですか?
一同:(笑)
奈良:いやね、理屈はわかるんですけど、全部一から自分で作るというと、ちょっとですね・・・
情報の国境越えには必ず「同意」を
佐藤:今やほとんどの企業さんはクラウドベースで、そのサーバーは国内にないケースが多い。これってPDPCさんのおっしゃってる(情報)の国外移転には当たらないんですか。以前、グーグルさんとか大手であればセキュリティもしっかりしているから大丈夫、だけど小さなサービスプロバイダーさんなどの場合は、同意書を取った方がいいと話を聞きました。その会社よりも、さらに小さな会社のうちが同意書を依頼して、果たしてサインしてもらえるのか。
伊奈:いやあ、どうすればいいんですかね。確かにサーバーのある場所がデータの場所。在星グローバル企業のデータは今、ほとんどシンガポールにないという・・・
成田:お願いしておいて、拒否されたエビデンスを取っておけばいいんじゃないかな?
佐藤:お返事くれるんですかねえ。
抜き打ちで入られて、やってなかった場合、すぐ罰金ですか?
岡田:すぐに罰金というケースはこれまで聞いたことがない。PDPCへの報告・通告があって、PDPCのプロセスに基づいて捜査後、発表という流れです。
伊奈:必ずしもいきなり捜査とはならない。何回も注意しているのに言うこときかないと、結構来たりする。
奈良:捜査の端緒というのは・・・
岡田:今は報告や通告ベースで動いていると思われます。辞めた従業員が、以前働いていた美容室のデータベースから顧客情報を盗み出して、それに気づいた美容院がPDPCに通報して捜査になったケースがある。DPOがいない、社内マニュアルもない、PDPAにコンプライアンスもしていないとの理由で、結局データを取られたほうも指導を受けることになりましたが。
生年月日、性別、写真の請求は規程で禁止
佐藤:MOMさんは採用前の求職者とのやり取りの中で、年齢や性別、NRICは聞いてはならない(コピーもだめ)といっています。たまに採用企業さんから、履歴書に写真貼って提出してくださいとリクエストがあるのですが、写真もダメなんです。これは蛇足ですが、日本では面接時に愛読書や尊敬している人物を聞くのもダメと聞きました。
一同:ええっ!思想の問題?
佐藤:あくまでも仕事に対する部分というか、能力や経験についてを聞く。尊敬する人物は”坂本龍馬”、とか聞いても言ってもダメみたいですよ。
一同:そうなんですか!
佐藤:欧米の方がもっと厳しいらしいです。果たしてそれがシンガポールに合っているのかわかりませんが。
メディアはどうしたらいいんでしょうか。
伊奈:一筆とるといいんじゃないですかね。
奈良:放送なんかでも、使えない言葉がたくさんあって。
伊奈:あしたのジョーとかの再放送とか見ると、ピーピーっていっぱいありますよね。
一同:(笑)
最後に一言、お願いします。
奈良:こちらからあらかじめ防衛線を張っておく、一番最小限のことを最小限のエネルギーでやっておこうと思いました。何もしないというのは怖い話だなと今日勉強できたので。
岡田:今年の1月からDPTMという制度が始まりました。(日本の)プライバシーマークのシンガポール版です。PDPCの調査では、3人中2人はDPTMマークの入ったブランドを選ぶという発表もありました。戦略的にこの認証をとることも選択肢かと思います。
伊奈:ビジネスの都合とコンプラとのバランスをどのように取るか、これは本当に難しい問題だなと。あと、労務管理と同じくらいに個人情報管理にも意識を向けていただきたいと、僭越ながら、改めて申し上げたいです。
佐藤:正直言いますと、以前と比べてどんどん規制の幅が広がってビジネスがやりにくくなったと感じています。一方で、技術の進歩に伴って便利になった面も多々あります。PDPAに関しては、今のところネガティブな面しか感じられませんが、できるだけ明るい面も見つけてやっていこうと思っています。
一同:(笑)
佐藤:駐在事務所や現地法人の皆さんは、ご本社からのサポートがあると思うので、セキュリティ対策も導入が容易だと思うのですが、私たちのような独資では、PDPCさんからのさらなる要求に対して、今後コスト面から対応が可能かどうか、とても心配なのです。
AsiaX:佐藤さん、ポジティブにならないと!
佐藤:なろうなろうと努力はしてるんですけど。
一同:(笑)
成田:会計税務に関しては注意喚起できていますけど、PDPAに関しても、さっさとやってしまってお客さん側に注意喚起できるようにしようと思います。法律ができていますし、やらざるを得ないので。粛々と従おうと思っています。