2017年10月13日、シンガポール個人情報保護委員会(PDPC)は、同国の個人情報保護法(PDPA)上、NRIC番号(日本のマイナンバーに相当)等の一定の類型の個人情報は、センシティブ(sensitive)情報にあたり、これを取り扱う企業等に「より高度の保護義務」(higher standard of protection)が課されると判示するとともに、企業等が定める個人情報保護指針が、抽象的な法令遵守を定めるに留まり、必要な措置の具体性および詳細性を欠く等の場合には、同義務を尽くしていない旨判断しました。

シンガポールのみならず、域外におけるセンシティブな個人情報の取扱いの実務に影響を与えるものであるといえ、シンガポールに拠点を置く日本企業にとっても、個人情報保護規定の確認が必要になる可能性があるため、重要な判断といえます。

ポイント

骨子

  • シンガポール個人情報保護法(PDPA)上、センシティブ(sensitive)な個人情報に関する区分はないものの、一定の類型の個人情報については、その性質上、他の個人情報と比較して、よりセンシティブ(sensitive)であることが認められている。
  • センシティブ個人情報については、通常の個人情報と比較して、より高度の保護義務(higher standard of protection)が課せられる。
  • 個人情報の取扱過程が、従業員が適切な処理を行うであろうことに全面的に依存する形で設計されている場合、たとえ、必要な訓練および指導を行っていたとしても、センシティブ個人情報が無断で公開される高度の危険を全く軽減するものでなく、PDPA24条の「合理的な情報保護対策」と評価できない。
  • 個人情報保護指針が、基礎的な「べき・べからず」集に留まり、各従業員が、その日常業務を遂行する上で如何にしてPDPA24条の義務に従うべきかを明示せず、具体性および詳細性を欠く場合には、PDPA24条の「合理的な情報保護対策」と評価できない。

判断概要

判断機関 シンガポール個人情報保護委員会(Personal Data Protection Commission)
判断言渡日 2017年10月13日
判断番号 [2017] SGPDPC14
判断者 Yeong Zee Kin, Deputy Commissioner

解説

シンガポール個人情報保護法とは

シンガポール個人情報保護法Personal Data Protection Act 2012。以下「PDPA」といいます。)はシンガポールにおける個人情報の保護に関して適用される法律で、EUや英国、カナダ等の個人情報保護規制を参考にして立法されています。

PDPAは、2013年に監督機関である個人情報保護委員会(Personal Data Protection Commission。以下「委員会」といいます。PDPA5条以下。)の設立に関する定めが一部施行され、その後、2014年7月に、個人情報保護義務に関する各種定めが施行されました。

シンガポールにおける個人情報保護法制は、PDPAおよび個人情報保護規則(Personal Data Protection Regulation 2014。以下「PDPR」といいます。)を含む各種規則や、委員会が制定する各種ガイドラインにより実務上運用されています。

個人情報(Personal data)

個人情報の定義

PDPAの対象は「個人情報(Personal data)」です。個人情報は、真偽を問わず、①その情報そのものから、または、②その情報と「団体等(organisation)」(後述します。)がアクセス可能な他の情報とあわせて、個人を識別することができる情報(PDPA2条)を意味します。

日本の改正後個人情報保護法と異なり、死者の個人情報も対象に含まれており(PDPA3条)、また、真偽を問わないところにも特徴があります。

ここで、①情報そのものから個人を識別することができる情報(「特定識別情報(unique identifier)」と呼ばれることもあります。)には、顔形状(face geometry)や指紋(finger print)の他に、個人を識別するために付与された番号(NRIC番号・パスポート番号)も含まれます。委員会が、①の類型に該当する情報と通常判断する情報としては、次の各情報があります。

  • 氏名
  • NRIC番号(日本のマイナンバーに相当)またはFIN番号(外国人登録番号)
  • パスポート番号
  • 個人の携帯電話番号
  • 個人の顔画像(写真やビデオ録画など)
  • 個人の声(音声録音など)
  • 指紋
  • 虹彩画像
  • DNAプロファイル

他方、性別、国籍、年齢および血液型は、それのみでは、①特定識別情報に該当しないものの、①と組み合わさった場合、または、その他の情報と組み合わせることにより、個人を識別可能である場合には、②の類型の個人情報に該当すると考えられています。

ビジネス連絡先情報

PDPA上、上記①または②に該当する場合であっても、個人情報保護規制の適用除外が設けられている情報もあります。

例えば、「個人の氏名、役職名または肩書、事業電話番号、事業所住所、事業用電子メールアドレスまたはファックス番号その他個人に関する同様の情報で、その個人の個人的目的のみで提供されていないもの」である「ビジネス連絡先情報(Business contact information)」については、個人情報保護義務の適用はありません。

そのため、例えば、ビジネス上の取引等で名刺を受領しても、受領者がこれを個人情報として取扱う必要はありません。これに対して、例えば、休日にジムに登録する際に、名刺を渡す場面では、むしろ、私生活上の(個人的)目的で提供されているため、名刺を受領したジムは、これを個人情報として取り扱う必要があると判断される可能性があります。

センシティブ個人情報

日本の改正個人情報保護法では、通常の個人情報と比較して、より慎重に取り扱うべき個人情報(センシティブな情報)を要配慮個人情報と位置づけていますが、PDPA上、センシティブ個人情報は通常の個人情報から区別されていません。

団体等(organisation)

PDPAの対象となる「団体等(organisation)」は、シンガポールの法律に基づき設立または承認されたか否か、また、シンガポールに居住しているか、事務所または事業実施場所を有している否かを問わず個人、企業、社団(法人格の有無を問わない)を幅広く含むものとされています(PDPA2条)。

そのため、日本の改正前個人情報保護法のように保有する個人情報の件数によって適用の有無が変わることはなく、わずか1件でも個人情報を保持している場合には、規制の対象となります。ただし、個人や家庭内の事項に関して行動している個人や従業員として活動している個人には適用されない等の例外規定が設けられています。

また、他の団体等のためにデータを処理する「中間処理業者(intermediaries)」については、後述する⑤保護義務や⑥保持制限の義務の適用はあるものの、その余の個人情報保護義務は適用されません。

PDPA上の義務

PDPAの適用を受ける場合、団体等は、次の9つの義務を負います(整理および各義務の呼称は、委員会によります。)。

①同意取得義務(Consent Obligation)

団体等は、個人からの同意(みなし同意を含みます。)を得た目的の範囲内でのみ、個人情報を収集、使用、または開示することができます(PDPA13条)。

個人は、その同意を撤回することができますが、団体等はそのような同意撤回を禁止することができず(PDPA16条(3))、また、撤回を申し出た個人に対して、撤回により生じるであろう結果を知らせることが必要です(PDPA16条(2))。

加えて、同意が撤回された場合には、その範囲において、個人情報の収集、使用または開示を中止する義務があります(ただし、緊急避難等、個人の同意なく個人情報が利用できるとPDPA上定められた場合はその限りではありません。PDPA16条(4))。

②目的制限義務(Purpose Limitation Obligation)

団体等は、個人が通知を受けた目的の範囲内で、かつ、その目的が状況に応じて適切であると合理的な人間が判断するであろう場合に限り、その個人に関する個人情報を収集、使用、または開示することができます(PDPA18条)。

③通知義務(Notification Obligation)

団体等は、個人に対して、個人情報を収集する際またはその前に、利用目的を通知し、また、その使用・開示の際に別の利用目的がある場合には、使用・開示前に、個人に対して、その目的を通知しなければなりません(PDPA20条)。

④アクセス・訂正義務(Access and Correction Obligation)

個人からの要請がある場合、団体等は、個人情報およびその要求前1年以内にその情報がどのように使用または開示されたかについて情報提供しなければなりません。ただし、団体等は、個人情報その他の情報の提供に次のいずれかが合理的に予想される場合には提供する必要がありません(PDPA21条(1)および(3))。

  • 要請した個人以外の個人の安全または身体的または精神的健康を脅かす場合
  • 要請した個人の安全または身体的または精神的健康に直接または重大な害を及ぼす場合
  • 別の個人に関する個人情報を明らかにする場合
  • 別の個人に関する個人情報を提供した個人の素性を明らかにするものであって、個人情報を提供する個人がその素性の開示に同意しない場合
  • 国益に反する場合

また、団体等は、個人情報の誤りや欠落を、個人の要求に応じて訂正する必要があります(PDPA22条(1))。そして、団体等は、是正措置を講ずるべきではない合理的な理由がない限り、速やかに個人情報を訂正し、原則として、訂正が行われる前の1年以内に個人情報が公開された他の団体等に、修正後の個人情報を送付しなければなりません(PDPA22条(2))。

⑤正確性確保義務(Accuracy Obligation)

団体等が、①個人に影響を与える決定に使用する、または②他の団体等に開示される可能性が高い場合は、団体等によって収集された個人情報が正確で完全なものであることを担保するべく合理的な措置を取る必要があります(PDPA23条)。

⑥保護義務(Protection Obligation)

団体等は、権限のないアクセス、収集、使用、開示または類似のリスクを防止するために、団体等が所有または管理する個人情報を保護するための合理的なセキュリティ対策を講じる必要があります(PDPA24条)。

⑦保持制限の義務(Retention Limitation Obligation)

団体等は、①個人情報を取得した目的が個人情報を保持することにより達成できない場合、または、②保持が法的もしくはビジネス上の目的から必要でなくなったと判断することが合理的な場合には、速やかに、個人情報が含まれる書面の保持を中止し、または特定の個人に関連付ける手段を削除することが必要です(PDPA25条)。

⑧移転制限義務(Transfer Limitation Obligation)

団体等は、「団体等が、移転される個人情報の保護についてPDPAと同程度の保護がなされる基準を設けること」を担保するためにPDPAで定められた要件を満たす場合を除いて、シンガポール以外の国または地域に個人情報を移転することができません(PDPA26条(1))。もっとも、委員会は、団体等からの申請に基づき、域外移転を許可することができます(PDPA26条(2))。

移転制限義務はグループ企業間でも等しく適用されるため、シンガポールの現地法人から、日本の本社に個人情報を移転する場合には、PDPA上の要件を充足する必要があります。そして、域外移転が認められるための要件としては、個人情報を移転する団体等は、域外移転をする前に、次の両方を満たすことが求められています(PDPR9条(1))。

  • 個人情報を移転する団体等が、未だ個人情報を保有または管理している場合は、PDPAの保護基準に従うことを担保するために適切な各種対応をすること
  • シンガポール以外の国または地域における個人情報の受領者が、移転される個人情報について、少なくともPDPAと同程度の「法的執行可能な義務(legally enforceable obligations)」に拘束されることを確認し担保するために適切な各種対応をすること

ここで、PDPRは第10条において「法的に執行可能な義務(legally enforceable obligations)」を、法律(law)のみならず、契約(contract)または拘束的企業規則(binding corporate rules)により課すことを許容していますので、移転先の国がPDPAと同程度の保護を課す場合はもとより、PDPAと同程度の保護義務等を課す、合意(グループ外移転の場合)をするか、または、企業規則(グループ内移転の場合)を定めることにより、域外移転が認められることになります(PDPR10条)。

そのため、実務上は、契約またはグループ企業内ポリシーの整備を適切に行うことが重要になります。

⑨開示義務(Openness Obligation)

団体等は、個人情報保護指針の策定を含む、PDPAの遵守を担保すべく、1人以上の責任者を定めなければなりません(PDPA11条(3))。そして、団体等は、その責任者のうち最低1名のビジネス連絡先情報(business contact information)を公開しなければなりません(PDPA11条(4))。

罰則

委員会は、団体等がPDPA上の各種義務に関する定めに反していると判断した場合には、法令遵守をさせるべく適切と考える命令をすることができ(PDPA29条(1))、最大SGD1,000,000の罰金を科すことができます(PDPA29条(2))。

事案の概要

本件は、大手保険会社であるAviva Ltd(以下「Aviva社」といいます。)が、ある保険契約者に対して、別の保険契約者の個人情報を送付したことの当否について、委員会が判断した事案です。Aviva社ではPDPAを遵守する旨定められた個人情報保護指針の定めがあったものの、それ以上にPDPA上の保護義務(PDPA24条)を遵守するべく、より積極的な秘密管理措置が必要であるかが問題となりました。

Aviva社は、保険情報管理に必要な書面を送付するため、専用の処理部門(Processing Department)を設けており、保険契約者に対して、申請書や保険商品概要書等の必要書面を送付する運用としていました。当該業務には4人の従業員が従事し、1日あたり16通のレターが発送されていました。

本件では、処理部門の従業員が、ある保険契約者(First Policyholder。以下「第1保険契約者」といいます。)に送付された2つの封筒に誤って、別人である保険契約者(Second Policyholder。「第2保険契約者」といいます。)に関する書類を送付した結果、第2保険契約者の個人情報が漏洩しました(Incident。以下「本件事故」といいます。)。

漏洩した個人情報は、次のとおりです(以下「本件個人情報」と総称します。)

  1. 第2保険契約者について、その氏名、住所、保険種類、NRIC番号(日本のマイナンバーに相当)、CPF番号(中央積立基金番号)、国籍、連絡先、誕生日、性別、婚姻状況、職業および雇用者名
  2. 第2保険者の配偶者について、その氏名、ID種類、FIN番号(外国人登録番号)、国籍、誕生日、性別、婚姻状況および第2保険契約者との関係

本件事故発生当時、Aviva社は、処理部門の従業員が行う発送業務について、何ら事前確認を行っていませんでした。

委員会の判断

センシティブ個人情報の保護義務

委員会は、まず、本件個人情報が、PDPA上の個人情報に該当し、かつ、第2保険契約者の同意なく他者に開示されたことを認定します。

その上で、本件個人情報のうち、第2保険契約者の保険に関する詳細、NRIC番号およびCPF番号並びに第2保険契約者の配偶者の指名およびFIN番号は、センシティブ個人情報(sensitive personal data)に該当すると述べます。

その上で、PDPA上、センシティブ個人情報に関する区分はないものの、ガイドライン上では、一定の類型の個人情報については、その性質上、他の個人情報と比較して、より、センシティブであることが認められていると述べます。

その上で、委員会は、センシティブ個人情報に含まれる情報として、次の各情報を列挙しています。

  • NRIC番号・パスポート番号
  • 金融関連の個人情報(口座情報、中央基金口座情報、証券保持状況、取引・支払情報)
  • 保険契約者の配偶者または受益者の氏名、保険契約の保険金額、保険料額、保険の種類
  • 薬物使用および不貞に関する個人の履歴
  • センシティブな医療状況
  • 未成年者の個人情報

17 Even though there is no special category for sensitive personal data in the PDPA, past decisions and advisory guidelines have highlighted that certain types of personal data would typically be more sensitive in nature. These include: NRIC/Passport numbers; personal data of a financial nature such as bank account details, Central Depository account details, securities holdings, transaction and payment summaries; names of the policyholder’s dependants or beneficiaries, the sum insured under the insurance policy, the premium amount and type of coverage; an individual’s personal history involving drug use and infidelity; sensitive medical conditions; and personal data of minors.

委員会は、更に、センシティブ個人情報には、より高度の保護義務(higher standard of protection)が必要である旨明示します。

18 The Advisory Guidelines on Key Concepts in the PDPA states that an organisation should “implement robust policies and procedures for ensuring appropriate levels of security for personal data of varying levels of sensitivity”. This means that a higher standard of protection is required for more sensitive personal data. More sensitive personal data, such as insurance, medical and financial data, should be accorded a commensurate level of protection. In addition, the Guide to Preventing Accidental Disclosure When Processing and Sending Personal Data expressly states that documents that contain sensitive personal data should be “processed and sent with particular care”. …

標準処理手続(SOPs)が効果的でなかったこと

委員会は、本件事故が生じた原因は、Aviva社の標準処理手続が実効的ではなかったためであると述べます。すなわち、委員会は、同社の処理手続において、宛先や同封封筒が正しいことを確認する別個の手続がなかったことが、構造的な弱点(systematic weakness)であり、個人情報を保護するための適切な対応を怠ったものと述べています。

26 In this case, the Commissioner finds that the absence of a second layer of basic checks to ensure that the letters and the enclosed documents were correctly addressed and mailed to the right policyholder pointed to a systemic weakness in the Organisation’s processing SOPs and constituted a failure on the part of the Organisation to put in place reasonable security arrangements to protect the Personal Data.

特に、委員会は、標準処理手続が、Aviva社の従業員が適切な処理を行うであろうことに全面的に依存する形で設計されていることは、たとえ、同社が必要な訓練および指導を行っていたとしても、センシティブ個人情報が無断で公開される高度の危険を全く軽減するものではなく、むしろ、保険業界における多国籍企業であり、日常的に、顧客のセンシティブ個人情報を大量に扱うAviva社がかかる十分であると判断していることそれ自体が、懸念である旨述べ、結論として、保護義務を尽くしていない旨述べています。

27 The processing SOPs were designed in such a way that the Organisation was entirely reliant on its processing staff to check that the follow-up letters had the correct documents enclosed. Although the Organisation claimed that it provided the necessary training and coaching to its processing staff to ensure their proficiency in performing their duties, the high risk of sensitive personal data being disclosed without authorisation was wholly unmitigated and dependent on the infallibility and consistency of the processing staff performing the enveloping work. The fact that the Organisation considered this to be an adequate form of protection is of concern, given that the Organisation is a well-established multinational organisation in the insurance business which handles large amounts of sensitive client personal data on a daily basis.

個人情報保護指針の不十分さについて

また、委員会は、本件個人情報がセンシティブ個人情報であることを前提とした場合のAviva社の個人情報保護指針の不十分さも指摘します。

同社の保護指針は、上述したPDPA上の9つの個人情報保護義務と、各従業員の責任について説明するものです。しかしながら、その中身は、例えば、

  • 「Aviva社が定める各種情報保護指針および基準を継続して遵守する」
  • 「ある個人の個人情報を自らの義務を履行するために関連し、かつ、必要な場合以外には、他の従業員も含む他者に共有/公開してはならない」

等の「べき・べからず」集に留まり、従業員に対して、その個別の義務を遂行するために十分な指示または指導をするものではないことを指摘します。

31 For completeness, the Commissioner notes that at the material time, the Organisation had in place a general data protection policy (“PDPA Compliance Policy”). This was a high-level policy which listed out the nine data protection obligations in the PDPA and the responsibilities of employees. However, the PDPA Compliance Policy merely sets out some dos and don’ts concerning the protection obligation, examples of which follow:

“Do continue to comply with the various information security policies and standards issued by Aviva.

Do not share / disclose individual’s personal data to anyone, including other staff, unless it is relevant and necessary for their performance of the duties.”

These dos and don’ts did not provide sufficient instructions or guidance for the processing staff concerning their specific duties.

そして、特に、保護指針が、単なる注意喚起ではなく、個人情報保護の管理基準として機能することが予定されている場合には、各団体は、従業員に対して、その業務遂行に際する個人情報の取扱いについて、具体的かつ実践的な手引きを提供することの重要性を指摘します。

33 Where a data protection policy is meant to serve as an administrative security measure to protect personal data, organisations should note the importance of providing employees with specific practical guidance on handling personal data in the course of their employment…

その上で、委員会は、本件では、基礎的な「べき・べからず」集の範囲を超えて、各従業員が、その日常業務を遂行する上で如何にしてPDPA24条の義務に従うかを明示しておらず、このような具体性および詳細性の欠如に照らせば、委員会としては、かかる保護指針は、PDPA24条の「合理的な情報保護対策」と評価できないと述べました。

34 In the present case, the Organisation’s PDPA Compliance Policy did not contain any mention of the preparation of the envelopes for the sending of follow-up letters to the Organisation’s policyholders, nor any reference to the checking or verification of the enclosed documents. Whilst there was some attempt to elaborate on the protection obligation through the provision of basic dos and don’ts, the PDPA Compliance Policy did not go further to provide practical guidance on how an employee could comply with section 24 of the PDPA in the course of his/her daily work. Due to this lack of specificity and detail, the Commissioner is not satisfied that the PDPA Compliance Policy constituted a reasonable security arrangement under section 24 of the PDPA.

委員会の結論および処分

委員会は、次の各事情を総合考慮した上で、Aviva社に対してSGD6,000の支払いを命じました。

  • 漏洩した個人情報がセンシティブ個人情報であったこと、
  • Aviva社は大量の個人情報を取り扱っており、その漏洩が多大な損害等を招きうること
  • Aviva社が委員会の調査に協力し、その過ちを認めていたこと
  • Aviva社が被害者(第2保険契約者)に漏洩を告知し、謝罪と金券の提供を行い、かつ、第1保険契約者の個人情報を回収したこと
  • 個人情報の漏洩先が第1保険者とその家族の3名に限定されていたこと
  • 漏洩による実害や損害が発生したことが認められないこと

コメント

本委員会判断は、シンガポールのPDPA上、明示の定めがないセンシティブ個人情報を、通常の個人情報と区別した上で、より高度の保護義務を課したところに特徴があります。

また、本件の事実関係の下、委員会は、センシティブ個人情報について、①従業員に教育・指導をし、これら従業員による適切な処理に依存するのでは足りず、情報漏洩を防ぐための仕組みを構築することが必要であること、そして、②個人情報保護指針についても、単なる法令遵守にとどまらない、個人情報保護のためのより具体的かつ実践的な手引きを定める必要があると述べており、これらを怠った場合には、PDPA24条違反であると述べています。これら認定は他の事例にも適用しうるものと考えられ、シンガポールにおけるセンシティブ個人情報の取扱いの実務に大きな示唆を与えるものであるといえます。

特に、②抽象的な個人情報保護指針がPDPA24条に違反するとの判断については、PDPR10条に定められた域外移転をする際の必要条件としての合意や、会社規則の内容にも直接的な影響を与えうるところです。そのため、もしもセンシティブ個人情報を日本の本社や、東南アジアの関連会社あるいは取引先等、シンガポール国外に移転する際には、これら合意や会社規則においても、適切な基準が定められているか改めて確認をすることが望ましく、実務上の影響は小さくないと考えられます。

本記事に関するお問い合わせはこちらから

(文責・松下)