シンガポールのビジネス情報サイト AsiaXビジネスTOPシンガポールにおける個人情報保護法 〜2021年2月1日施行シン...

法律相談

2021年2月15日

Q.シンガポールにおける個人情報保護法 〜2021年2月1日施行シンガポール改正個人情報保護法 情報漏えい時の留意点〜

Q. 昨今、世界各国で個人情報の規制が厳しくなっているように感じます。シンガポールでも改正個人情報保護法が施行されたと聞きました。シンガポールの日系企業が気をつけるべきポイントについて教えてください。
 
 2021年2月1日、シンガポール個人情報保護法(Personal Data Protection Act 2012)がシンガポールで施行されました。近年は、EUの一般データ保護規則(通称「GDPR(General Data Protection Regulation)」)の制定や日本の個人情報保護法の改正など、テクノロジーの発展や情報の取得・移転形態の多様化に合わせた法制定・法改正が行われており、今回のシンガポールの改正個人情報保護法も、このような趨勢に合わせたものと位置付けることができます。本稿では、シンガポールの改正個人情報保護法のうち、情報漏えいなどのいわゆるデータ侵害に対する報告義務に関する規定について、具体例を見ながら説明します。
 

改正個人情報保護法で新設されるデータ侵害に対する報告義務に関する規定について

1. データ侵害に対する報告義務

 改正個人情報保護法では、データ侵害に対する報告義務の規定が新たに設けられました。(1)「データ侵害」により(2)「 個人に重大な危害が生じるおそれ」がある場合、企業は個人情報保護委員会および被害を受ける個人に対して、データ侵害の事実を報告する義務を負います。まず、(1)「データ侵害」とは、①個人情報に対する不正なアクセス、収集、使用、開示、複製、修正もしくは処分行為、または②これらの侵害行為が生じうる状況において、個人情報が保管されている記憶媒体・装置を紛失することを指します。次に、(2)「個人に重大な危害が生じるおそれ」としては、以下の2パターンがあります。
 
●パターン1
 (a) 個人の氏名または個人特定番号(NRIC番号やパスポート番号)および
 (b) 個人の財務情報*、生命・健康保険、健康状態、監護や保護が必要とされる者の特定に繋がる情報、または電子記録や電子取引の承認権限や署名権限に関する情報が侵害される場合
 

※個人の財務情報の例としては、報酬、金銭貸し借りの履歴、口座番号、銀行口座、クレジット・デビットカード番号、信用情報等があります。

 
●パターン2
 (a) 銀行口座情報および
 (b) 口座へのアクセスまたは口座の使用を許可するために使用される生体認証データ、セキュリティコード、アクセスコード、パスワードまたはセキュリティに関する質問に対する回答であって、不正な取引または口座情報へのアクセスのために悪用される可能性があるものが侵害される場合
 
 例えば、ショップを営むA社が管理する顧客情報(顧客氏名およびクレジットカード情報)に、何者かが不正アクセスした場合を考えます。この場合、顧客の氏名は、上記パターン1の「(a)個人の氏名」に該当し、クレジットカード決済情報は、上記 パターン1の「(b)個人の財務情報」に該当します。そのため、A社の顧客情報へ不正アクセスがあった場合、(1)「データ侵害」により(2)「個人に重大な危害が生じるおそれ」があるとして、A社は、個人情報保護委員会および被害を受ける個人に対し、それぞれ報告義務を負うことになります。
 

2. 個人に重大な危害が生じるおそれがない場合の報告義務

 仮に上記の2パターンに該当しない場合でも、500人以上の個人情報が侵害された場合には、会社は個人に対して報告義務を負わないものの、個人情報保護委員会に対して報告義務を負います。
 
 例えば、上記の例と異なり、A社が管理する顧客情報(1,000人分)にクレジットカード情報などが含まれておらず、顧客のメールアドレスやA社のポイントカード情報のみが含まれている場合を考えます。この場合、上記の2パターンのいずれにも該当しないため、「個人に重大な危害が生じるおそれ」がないとされ、A社は被害者をうける個人に対して報告義務を負いません。しかし、500人以上の個人情報が侵害された場合には、A社はなお、個人情報保護委員会に対して報告義務を負います。
 

データ侵害が生じた場合の会社の対応

Q. データ侵害が実際に発生してしまった場合、会社としてはどのような対応を取る必要がありますか?
 
 会社がデータ侵害を認識し、個人情報保護委員会または個人に対して報告の必要があると判断した場合、会社は当該判断の日から3日以内に、少なくとも個人情報保護委員会へ報告する義務があります。
 
 なお、仮に上記の2パターンに該当する場合でも、おおよそ「個人に重大な危害が生じる恐れ」がない場合には、個人への報告義務が免除される場合があります。
 

最後に

 シンガポール改正個人情報保護法は、実務上留意すべき点が数多く含まれています。改正個人情報保護法のその他の規定については、次回以降解説していく予定です。
 

日本法弁護士・シンガポール外国法弁護士 山本裕子
会計・税制、法律に関する皆様の疑問にQ&A形式でお答えします。
e-mail: editors@mediajapan.sg もしくは www.asiax.biz/inquiryまで、どしどしご質問をお寄せください。
※注:本記事は一般的情報の提供のみを目的として作成されており、個別のケースについて正式な助言をするものではありません。本記事内の情報のみに依存された場合は責任を負いかねます。

おすすめ・関連記事

シンガポールのビジネス情報サイト AsiaXビジネスTOPシンガポールにおける個人情報保護法 〜2021年2月1日施行シン...