2012年に制定された共和国法第10173号(RA10173)、または2012年フィリピンデータプライバシー法(DPA)は、フィリピンにおける個人データのプライバシー保護を規定する包括的な法律です。この法律は、国家プライバシー委員会(NPC)がその実施規則に基づいて監督しています。
フィリピンはビジネス・プロセス・アウトソーシング の世界的リーダーであり、RA10173はグローバルな個人データのより自由な交換と国際的なデータ保護基準の設定に対応するために制定されました。
パートナー
ACCRALAW
マニラ
Tel: (632) 8830-8000
Email: jmgaba@accralaw.com
RA10173の制定以前は、個人データ処理に関する中央集権的な規制監督やデータ主体を保護する包括的な措置が存在せず、当時の膨大な個人データは乱用や悪用の対象となっていました。
これは当初は想定されなかった連絡先情報の無制限な使用や共有を引きおこし、憲法が保障するところのデータ主体のプライバシー権の損害によるなりすましと安全の侵害が発生しました。
実際、RA10173の起源は2006年に遡り、当時フィリピン 貿易産業省(DTI)が「個人データ保護に関するガイドライン」を発行しました。
このガイドラインは、1995年のEUデータ保護指令(現在の一般データ保護規則(GDPR)の前身)をモデルにしいます。
フィリピンDPAはGDPRが提唱する基準と原則に深く根ざしています。
法律の適用範囲
RA10173は、すべての種類の個人情報の処理、および個人情報処理に関与する官民双方のすべての自然人または法人に適用されます。
この法律は、データ管理者、データ処理者がフィリピン国内にいなくても、
-
- フィリピンに所在する機器を使用している、または
- フィリピンにオフィス、支店、代理店を持つ場合は適用されます。
さらに、RA10173の適用性を判断する基準として、処理される個人データがフィリピン国民または居住者に関連する場合、データ主体の所在地や処理が行われる場所に関係なく、法律が適用されます。
例えば、海外で働くフィリピン人労働者(OFW)の個人データがフィリピン国内の銀行によって処理される場合や、外国の銀行がフィリピン国外でOFWの個人データを処理する場合にも適用されます。ただし、NPCがその法律をどのように執行するかは別の問題です。
RA10173では、「処理」を収集、記録、整理、保存、更新、修正、検索、参照、使用、統合、遮断、消去、破壊など、個人情報に対して行われる一連の操作または操作と定義しています。
「個人情報管理者」とは、他者の指示を受けたり、個人的、家族的または家庭的な事柄に関連して行動したりする場合を除き、個人情報の収集、保持、処理または使用を管理する個人または組織を指します。
一方、「個人情報処理者」とは、個人情報管理者から委託を受けて個人データを処理する自然人または法人を指します。ただし、RA10173の適用外となる情報も存在します。
これには以下が含まれます:
-
- 現職または元公務員に関する職務または職務に関連する情報;
- 政府契約に基づいて個人が提供するサービスに関する情報;
- 政府が個人に与える裁量的な財政的利益に関する情報;
- ジャーナリズム、芸術、文学または研究目的で処理される個人情報;
- 公的機関の機能を遂行するために必要な情報;
- 銀行および金融機関が反マネーロンダリング法を遵守するために必要な情報;
- 外国の法令に基づき外国の居住者から収集された個人情報;
個人情報と機密情報
RA10173(フィリピンのデータプライバシー法)は、「個人情報」と「機密個人情報」を区別し、それぞれの合法的な処理に異なる要件を定めています。「個人情報」とは、個人の身元が明らかであるか、他の情報と組み合わせることで合理的に識別可能で直接確認できる情報を指します。
「機密個人情報」とは、人種、婚姻状況、年齢、民族性、宗教的、哲学的または政治的な所属、健康記録、学歴、裁判手続き、社会保障番号、免許証、税務申告書、政府発行のIDおよび/またはその番号、または法律や規制で機密と明示的に宣言された詳細を指します。
この法律およびその実施規則は、データ主体の個人データを処理する前に、明示的に規定された条件に該当しない限り、一般的にデータ主体の同意を必要とします。
なお、この法律は有効な明示的同意のみを認めており、「自由意思に基づき、具体的かつ情報に基づいた意思表示、書面、電子的または録音された手段によって証明される」と定義されており、暗黙の同意を認めていません。
認められる権利
RA10173は、個人情報に関するデータ主体の権利を広範に規定しており、これらはEUのGDPRで認められている権利と類似しています。
これには以下が含まれます:
-
- 知らされる権利;
- アクセスする権利;
- 異議を申し立てる権利;
- 消去およびブロックの権利;
- 修正する権利;
- 苦情を申し立てる権利;
- 損害賠償を求める権利;そして
- データポータビリティの権利。
これらの権利は、データ管理者および処理者によって遵守され、尊重されなければなりません。ただし、科学的および統計的研究のために使用され、データ主体に関する活動が行われず、決定が下されない場合、またはデータ主体に関する犯罪、行政または税務調査の目的で収集された場合は例外です。
監視
個人情報のセキュリティに関する一般原則に加え、この法律は個人情報の送信に関する責任を規定しています。
政府における機密個人情報のセキュリティに関する具体的な規定、データ漏洩に関する規定、およびデータ侵害の報告に関する基本的なガイドラインが定められています。
GDPRの下で実施されている制度と同様に、プライバシー法および規則は「個人データ漏洩」の場合に個人情報管理者に漏洩通知義務を課しています。このような漏洩通知は、影響を受けたデータ主体に提供され、NPCに報告されなければなりません。
漏洩通知は、「個人情報管理者または個人情報処理者が通知を必要とする個人データ漏洩が発生したと合理的に信じる場合、または知識を得た場合」に、72時間以内にNPCに提出されなければなりません。
プライバシー規則はまた、データプライバシーオフィサー(DPO)の任命を要求しています。ただし、すべてのDPOがNPCに登録する必要があるわけではありません。
NPCへのDPO登録が義務付けられるのは以下の場合のみです:
-
- 企業が250人以上を雇用している場合;または
- 企業が少なくとも1,000人の機密個人情報を含む記録を処理している場合;または
- 企業の「個人情報の処理」が「データ主体の権利と自由にリスクをもたらす可能性がある」または「偶発的でない」と見なされる場合
最後の基準に関して、NPCは、義務登録要件の対象と見なされるセクターを列挙したガイドラインを発行しました。
これらの「重要」と見なされるセクターは以下の通りです:
-
- 政府機関;
- 銀行および非銀行金融機関;
- 通信およびインターネットサービスプロバイダー;
- BPO企業;
- 大学、カレッジ、その他すべての学校および研修機関;
- 病院、診療所、その他の医療施設;
- 保険会社および保険ブローカー;
- ダイレクトマーケティング、ネットワーキング、リワードカードおよびロイヤルティプログラムを提供する企業;
- 研究を行う製薬会社;
- これらの「重要」セクターのいずれかに含まれる個人情報管理者のために個人データを処理する個人情報処理者。
DPOに加え、実施規則は特定の形式のデータ処理システム(DPS)をNPCに登録する必要があると明記しています。NPCの新しい登録ポータルの立ち上げに伴い、DPOおよびDPSの詳細の提出がNPC登録要件を完了するために必要です。
罰則
RA10173の違反には、義務的な懲役および/または罰金が科されます。これは、懲役を罰則として課すことができる数少ないデータプライバシー法の1つです。
機密個人情報が関与する場合、より高い範囲の罰則が適用されます。
少なくとも100人の個人情報が影響を受ける場合、「大規模」と見なされ、最大の罰則が科されます。
NPCおよびその他の関係分野によって、懲役罰則の削除を含むRA10173の改正を提案する動きが開始されましたが、直近のパンデミックのため、この取り組みは保留されています。
ACCRALAW
22nd to 26th Floors, ACCRALAW Tower
Second Avenue corner 30th Street,
Crescent Park West, Bonifacio Global City,
Taguig 1635, Metro Manila, Philippines
Tel: (632) 8830-8000
Fax: (632) 8403-7007 / (632) 8403-7009
Email: jmgaba@accralaw.com | ipd@accralaw.com
www.accralaw.com
