2021年6月2日
Q.【2021年施行】シンガポール個人情報保護法③ 〜事業改善目的の例外〜
2021年2月1日施行シンガポール改正個人情報保護法 事業改善目的の例外
Q. 前回の解説では、「正当な利益」がある場合には、本人の同意を得ずに、個人情報を取得・利用・開示できる場合があることを知りました。他にも、このような例外があれば、教えて下さい。
シンガポールの個人情報保護法では、原則として、個人情報を取得・利用・開示する場合、あらかじめ、その目的を本人に通知した上で、本人から同意を取得しなければならないとされています。今回の法改正により、この目的通知義務と同意取得義務が緩和されました。前回は「正当な利益」の例外について説明しましたので、今回は「事業改善目的」の例外について解説します。
事業改善目的の例外についての概要
具体例には、次のようなケースがあります。
【ケース1】
クレジットカード会社A社は、顧客のクレジットカードの支払履歴から顧客の購買習慣を分析して、クレジットカードの利用限度額や還元枠組を新たに設計する予定です。この場合、A社は、顧客の同意を得ることなく、顧客のクレジットカードの支払い履歴に関する個人情報を利用することができるでしょうか。
このケースの場合、クレジットカードの利用限度額や還元枠組を新たに設計するという「事業改善目的」が存在すると考えられています。したがって、A社は、顧客の同意を得ずに、顧客のクレジットカードの支払い履歴に関する個人情報を利用することが認められるようになりました。
事業改善目的
シンガポール改正個人情報保護法は、次のような場合に「事業改善目的」を認めています。
(1) 新商品や新サービスの改善、強化、開発目的
(2) 製品やサービスに関連する事業活動の新方法や新プロセスの改善、強化、開発目的
(3) 個人の行動や嗜好を学習、理解する目的
(4) 個人に適する商品やサービスを特定またはカスタマイズする目的
なお、ダイレクトマーケティングの目的でメッセージを送信することは、「事業改善目的」に該当しないことに注意が必要です。企業は、あらかじめ本人の同意を得なければ、ダイレクトマーケティングの目的でメッセージを送信することはできません。
グループ企業内での共有についての概要
さらに、今回の法改正では、「事業改善目的」が存在する場合に、一定の要件を満たすことを条件として、グループ企業内で個人情報を共有することができるようになりました。
【ケース2】
保険会社B社は、業務効率を改善し、新しい保険商品を開発する目的で、医療サービス提供会社C社から、患者の医療記録、支払い情報などを取得して、自動請求査定システムを設計する予定です。なお、B社とC社は、同一のグループ企業に属しています。この場合、B社は、C社が患者から取得した医療記録、支払い情報などに関する個人情報を、患者の同意を得ることなく、C社から取得・利用することができるでしょうか。
このケースの場合、業務効率を改善し、新しい保険商品を開発するという「事業改善目的」が存在すると考えられています。また、B社とC社は同一のグループ企業に属しています。したがって、B社は、C社が患者から取得した医療記録、支払い情報などに関する個人情報を、患者の同意を得ることなく、C社から取得・利用することができる可能性があります。
グループ企業内での共有についての要件
グループ企業内で個人情報を共有するためには、「事業改善目的」があること、および「グループ企業」であることに加えて、以下の要件を全て充足する必要があります。
(1) 個人を特定できる形で個人情報を共有しなければ、事業改善目的を合理的に達成できないこと
(2) 事業改善目的のための個人情報の共有が、具体的状況下において適切と考えられること
(3) 個人情報を共有する相手方が、個人情報の保護を定める適切な契約、合意、企業内の規則などに拘束されていること
ケース2の場合、B社は、上記条件を全て充足するかを検討する必要があります。
なお、グループ企業内で個人情報を共有する場合には、「事業改善目的」の範囲が若干狭く解釈される点に注意が必要です。
最後に
2021年2月1日施行シンガポール改正個人情報保護法について、これまで3回にわたって、以下の内容について解説しました。
・1回目 情報漏洩時の注意点
・2回目 目的通知義務と同意取得義務に関する「正当な利益」の例外
・3回目 目的通知義務と同意取得義務に関する「事業改善目的」の例外(本記事)
本稿では、細かい要件については捨象しているため、具体的に検討する際には、法令や、Personal Data Protection Commission が発行しているガイドラインを参照することが推奨されます。