データプライバシー法の比較 – フィリピン

    By John Paul M Gaba, ACCRALAW
    0
    203

    アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。


    インドネシア

    フィリピン

    タイ

     

    2012年のフィリピンのデータプライバシー法は、2012年8月15日に法制化されました。これは、国のデータプライバシー保護を管理する包括的な法律です。国家プライバシー委員会(NPC)–法の下で主に法の管理と実施を監督することを義務付けられた政府機関–は、法の実施規則と規制(IRR)によって2016年8月24日に公布されました。

    John Paul M Gaba, Partner, ACCRALAW, Manila
    John Paul M Gaba
    マニラの ACCRALAW のパートナー
    Tel: +632 830 8047
    Email: jmgaba@accralaw.com

    この法律は、グローバルな段階での個人データのより自由な交換、およびデータ保護のための国際基準の設定に対応して公布されました。フィリピンはビジネスプロセスアウトソーシング(BPO)サービスの世界的リーダーです。

    2012年に法が制定される前は、個人データ処理に対する一元化された規制監督やデータ主体に対する包括的な保護措置がなかったため、当時の豊富な個人データは悪用や誤用の対象でした。当初考えられていた目的を超えた目的での連絡先の詳細の緩和されない使用と共有から、個人情報の盗難やセキュリティ違反まで、データ主体のプライバシーに対する憲法上保証された権利を損なっていました。

    データプライバシー体制は、2006年に貿易産業省(DTI)が個人データの保護に関するガイドラインであるDTI管理命令第8-2006号を発行したときに始まりました。この発行は、現在の一般データ保護規則(GDPR)の前身である1995年のEUの当時のデータ保護指令に基づいて作成されました。したがって、この法律はGDPRによって支持されている基準と原則に深く根ざしています。

    プライバシー法は、あらゆる種類の個人情報の処理、および民間部門と政府部門の両方で個人情報処理に関与する自然人または法人に適用されます。フィリピンにはないデータ管理者と処理者を対象としていますが、次のいずれかが対象です。(1)フィリピンにある機器を使用する。 または(2)フィリピンに事務所、支店、または代理店を維持する。

    法律の適用可能性を判断する際のこのテストとは別に、法律は、データ主体の場所に関係なく、またそのような処理が行われる場所に関係なく、処理される個人データがフィリピン国民またはフィリピン居住者のいずれかに関係する場合の個人情報処理にも適用されます。

    たとえば、現在米国で働いている在外フィリピン人労働者(OFW)の個人データが、地元のフィリピンの銀行によって処理されている場合に、この法律が適用されます。また、同じOFWの個人データがフィリピン国外の外国銀行によって処理されている場合、フィリピンのプライバシー法が適用されます。NPCが当該外国銀行にどのように法を執行できるかについては全く別の問題です。

    「個人データの処理」とは、個人情報に対して実行される操作または一連の操作と定義されています(収集、記録、整理、保存、更新、変更、取得、相談、使用、統合、ブロック、消去および破壊等)「個人情報管理者」とは、個人情報の収集、保持、処理、または使用を管理する個人または組織を指します。(他の人または組織から指示されたような機能を実行する人、または個人、家族、または家事に関連して同じ機能を実行する個人を除きます)。「個人情報処理者」とは、個人情報管理者が個人データの処理を外部委託する可能性のある自然人または法人を指します。

    以下の種類の情報は、法律の適用範囲から除外されます。

        1. 当該個人の地位または職務に関連する現在または以前の公務員に関する情報。
        2. 政府との契約に基づいて個人が実行するサービスに関連する情報。
        3. 政府が個人に与える任意の経済的利益に関する情報。
        4. ジャーナリズム、芸術、文学、または研究の目的で処理される個人情報。
        5. 公的機関の機能を実行するために必要な情報。
        6. 銀行および金融機関がマネーロンダリング防止法を遵守するために必要な情報。 そして
        7. 外国の管轄区域の法律に従って外国の管轄区域の居住者から収集された個人情報。

    この法律は、合法的な処理のためのさまざまな要件が規定されているため、「個人情報」と「機密性の高い個人情報」を区別しています。個人情報とは、個人の身元が明らかであるか、合理的かつ直接的に確認できる情報、または他の情報と組み合わせると直接かつ確実に個人を特定できる情報を指します。

    機密性の高い個人情報とは、人種、結婚歴、年齢、宗教的、哲学的、または政治的所属に関する個人情報を指します。これには、健康と教育、訴訟手続き、個人に固有の政府機関によって発行された情報(社会保障番号、健康記録、ライセンス、納税申告書など)、および法律または規制によって分類されていると明確に宣言されたものが含まれます。

    法律とそのIRRは、個人データの処理が法律とそのIRRで明示的に概説されている条件のいずれかによってカバーされていない限り、一般に、個人データを有効に処理する前にデータ主体からの同意を必要とします。この法律は、有効な明示的同意のみを認識し、暗黙の同意に同意しないことに注意してください。これは、法律の下で「自由に与えられた、具体的な、情報に基づく意志の表示…[および]書面、電子、または記録された手段によって証明される」と定義されています。

    この法律は、GDPRで認められている権利と同様に、個人情報に関するデータ主体の権利を広範囲に概説しています。これらの権利には次のものが含まれます。

    (1)通知を受ける権利。

    (2)アクセスする権利。

    (3)異議を申し立てる権利。

    (4)消去およびブロックする権利。

    (5)是正する権利。

    (6)苦情を申し立てる権利。

    (7)損害賠償の権利。

    (8)データの移植性に対する権利。

    データ主体のこれらの権利は、個人情報が科学的および統計的研究に使用され、データ主体に関して活動が行われず、決定が行われない場合, または、データ主体の刑事、行政、または税金の責任に関連する調査の目的で収集される場合を除き、データ管理者およびデータ処理者によって遵守および尊重されなければなりません。

    法律は、個人情報のセキュリティに関する一般原則、および個人情報の転送に関する説明責任を概説しています。政府における機密性の高い個人情報のセキュリティに関する具体的な規定、およびデータ侵害に関する規定とデータ侵害の事例を報告するための基本的なガイドラインが定められています。

    GDPRに基づいて実施される制度と同様に、フィリピンのプライバシー法および規制は、個人データの侵害が発生した場合に、個人情報管理者に侵害通知義務を課しています。このような違反通知は、影響を受けるデータ主体に配信され、NPCに報告される必要があります。NPCに提出される侵害通知は、通知を必要とする個人データ侵害が発生したことを知った場合、または個人情報管理者または個人情報処理者が合理的に信じる場合、72時間以内に行う必要があります。

    フィリピンのプライバシー規制では、データプライバシーオフィサー(DPO)の指名または任命が義務付けられています。ただし、すべてのDPOがNPCに登録する必要があるわけではありません。 NPCへのDPO登録は、次の場合に必須です。(1)事業体が250人以上を雇用している場合。 (2)事業体が少なくとも1,000人の個人の機密個人情報を含むレコードを処理する場合。 または(3)事業体の個人情報を処理することが、データ主体の権利と自由にリスクをもたらす可能性がある場合、または不定期ではないと見なされる場合。

    最後の基準に関して、NPCは、データ主体の数や量、または処理される個人情報に関係なく、必須の登録要件の対象と見なされる分野を列挙したガイドラインを発行しました。重要と見なされるこれらの分野は次のとおりです。

    (1)政府機関;

    (2)銀行およびノンバンク金融機関。

    (3)電気通信およびインターネットサービスプロバイダー。

    (4)BPO企業;

    (5)大学、カレッジ、その他すべての学校および訓練機関。

    (6)病院、診療所、その他の医療施設。

    (7)保険会社およびブローカー。

    (8)ダイレクトマーケティング、ネットワーキング、およびポイントカードやポイントプログラムを提供するその他の企業に関与する者。

    (9)研究に従事する製薬会社。

    (10)これらの重要な分野のいずれかに含まれる個人情報管理者の個人データを処理する個人情報処理者。

    DPOとは別に、IRRは、特定の形式のデータ処理システムをNPCに登録する必要があることを具体的に規定しています。

    最後に、この法律の違反は、強制的な投獄と罰金で罰せられます。機密性の高い個人情報が含まれる場合、より高い範囲の罰則が課せられます。100人以上の個人情報が影響を受けた場合、最大の罰則が課せられ、大規模と見なされます。禁固刑の撤廃を含む法改正を提案する動きがNPCや他の関係部門によって開始されましたが、そのような取り扱いは現在のパンデミックのために保留されています。

    ACCRALAW

    22nd Floor, ACCRALAW Tower

    2nd Avenue corner, 30th Street
    Crescent Park West Bonifacio Global City,

    1635 Taguig, Metro Manila, Philippines

    Tel: +63 2 8830 8000

    Email: accra@accralaw.com


    www.accralaw.com