データ保護法の比較

    0
    40

    中国

    インド

    タイ

    フィリピン

    中国における情報保護法

    2021年の個人情報保護法(PIPL)は、個人情報保護に関する中国初の包括的な法律です。非公開個人情報は、民法に基づくプライバシーの権利として保護されており、個人情報における個人の権利は、公開非公開を問わず、PIPLに基づき保護されています。

    個人情報ではないデータを含むデータセキュリティや、サイバーセキュリティは、データセキュリティ法およびサイバーセキュリティ法に基づき規制されています。同二法は、PIPLとあわせて、中国のデータプライバシーやセキュリティの法制度を構築しています。

    データ権限

    データガバナンスの実施や施行の任務を負う主要当局は、中国サイバースペース管理局(CAC)です。その他さまざまな業界や地方の規制機関は、履行規則を公布する任務を負っています。

    データ分類

    Amigo L Xie, K&L Gates
    Amigo L Xie
    パートナー
    K&L Gates(香港)
    電話: +852 2230 3510
    Eメール: amigo.xie@klgates.com

    中国のデータに関する国家安全保障や個人情報保護規則を実施するために、リスクや重要性のレベルに応じてデータを等級付けしました。データセキュリティ法は、「分類・等級付けされた」データ保護制度を定め、データをタイプ別にグループ分けし、各グループのデータにそれぞれ異なる重要度を割り当てます。国家データセキュリティ調整機構が、全体の計画策定を実施し、国務院の各部門をまとめて、「重要データ」の目録作成や、重要データの保護強化を図ります。

    個人情報保護法では、個人情報とセンシティブ個人情報が区別されています。個人情報とは、電子または他の形式により記録された、識別済または識別可能な自然人に関連する各種の情報を指し、匿名化処理された情報は含みません。センシティブ個人情報とは、漏洩した場合、または違法に使用された場合に、容易に自然人の人格尊厳の侵害、または損害を引き起こす個人情報であり、生物識別、宗教的信仰、医療・健康、金融口座、行動追跡およびその他同様の情報、および14才未満の未成年者の個人情報を指します。

    データ取扱者

    データガバナンス制度には、データ管理者やデータ処理者にそれぞれ個別の定義はありません。個人情報保護法(PIPL)では、個人情報取扱者(PIH)を、個人情報の取扱目的、取扱方法 を自ら決定する組織または個人と定義しています。PIHは、個人情報の取り扱いを別の当事者に委託することができますが、下請業者の作為または不作為に対しても責任を負うものとします。PIHは、個人情報の安全性を保護する対策を講じなければならず、第三者処理者が、確実に法令を遵守し、合意目的を逸脱して個人情報の処理を行わないように徹底します。

    法的根拠

    個人情報保護法(PIPL)では、個人情報取扱者(PIH)が個人情報を取り扱う際の状況を以下のように規定しています。

    • データ主体から法的に正当な同意を取得している場合、
    • 契約の締結または履行に必要な場合、または雇用契約や同様の契約に基づき人事管理を実施する上で必要な場合、
    • 法律上の義務の履行に必要な場合、
    • 公衆衛生上の緊急事態の対応に必要な場合、または緊急状況下において生命、健康または財産の安全の保護に必要な場合、
    • ニュース報道、または公共の利益、または、
    • 個人情報が個人によって、または法律によってすでに公開済みの場合、当該情報は、合理的な範囲内で処理することができます。

    データ越境移転

    Susan Munro, K&L Gates
    Susan Munro
    外国法事務弁護士
    K&L Gates(香港)
    電話: +852 2230 3518
    Eメール: susan.munro@klgates.com

    サイバーセキュリティ法には、当局が指名した、重要情報インフラ運営者(CIIO)が作成し収集した重要データや、個人情報の越境移転に適用される規定があります。一方で、PIPLには、個人情報の越境移転に関する包括的な枠組が含まれています。

    ネットワークデータセキュリティ管理条例(NDSM)や、データ越境移転安全評価弁法(MSA)など、履行規則案や指針案によって、データ越境移転に対処します。複数の事業法令によって、特定の種類のデータの越境移転が制限・禁止されています。個人情報取扱者(PIH)の一般的な要件は以下の通りです。

    • 個人情報の越境移転は、法的根拠に基づくものでなければなりません。
    • PIHは、移転された個人情報が、PIPLで義務付けられている基準と同じ基準で、海外の受領者によって処理および保護されるよう、必要なあらゆる対策を取る必要があります。
    • 個人情報が中国本土外に移転される前に、個人情報保護影響評価を実施しなければなりません。

    データローカライゼーションや国家安全保障評価に関して、特定のPIHに対して以下の具体的な要件もあります。

    • 重要情報インフラ運営者(CIIO)は、中国での事業活動時に収集および作成した個人情報や重要なデータを保管する必要があります。
    • 個人情報の処理が、中国サイバースペース管理局(CAC)が規定した基準に達したPIHは、データローカライゼーション要件の対象となります。規則案での現在の基準としてまず挙げられるのは、100万人以上のデータです。
    • 金融機関は、法律および中華人民銀行によって明確に許可された場合を除いて、個人の金融情報を海外に提供することはできません。
    • 個人情報の処理が、法定基準に達したCIIOもしくはPIHが、海外の受領者にかかる情報を提供することを意図している場合、国家安全保障評価の基準をクリアしなければなりません。
    • 移転予定のデータに「重要データ」が含まれている場合、規則案によって、国家安全保障評価要件が他のPIHにも拡大適用されます。
    • データ越境移転安全評価弁法(MSA)案では、国家安全保障評価要件が、10万人以上の個人情報、または1万人以上の「センシティブ個人情報」の海外への移転に適用されます。これらの基準は、累積ベースで適用されます。

    国家安全保障評価が不要な場合、PIHは、指定された専門機関から個人情報保護に関する証明書を取得するか、または中国サイバースペース管理局(CAC)が義務付けている標準条項を含むデータ移転契約を、海外の受領者と締結する必要があります。ネットワークデータセキュリティ管理条例(NDSM)案によって、これらの要件が、非個人データの取扱者に拡大適用されます。

    いかなる個人または組織も、最初に関係当局からの承諾を得ずに、中国本土にあるデータを外国の法執行機関や司法機関に提供することはできません。

    違反と責任

    個人情報保護法(PIPL)は、違反行為に対して以下のような罰則および処罰を設けています。

    • 最初の罰則として、是正命令、警告、違法所得の没収、サービス停止などがあります。
    • 是正されない場合は、違反行為1件につき最大100万元(15万米ドル)、および違反行為を引き起こした、あるいは別途違反行為の責任を負う個人に対して1万元から10万元までの罰金が科されます。
    • 重大な違反行為については、最大5,000万元、または前年度の収益の5%、業務停止、または営業許可証の取り消しが科されます。責任者は10万元から100万元の罰金、および管理職などの役職への就任を禁じられます。
    • 個人情報取扱者(PIH)は、データ主体が損害を被った場合、個人情報の権利を侵害していない旨を証明しなければなりません。PIHがこの証明をできない場合、PIHは、不法行為の責任を負い、被った損失または利益に基づく損害賠償、もしくは別途裁判所が決定する損害賠償に対して責任を負う可能性があります。
    • PIHが、多数の人々の権利を侵害した場合、中国サイバースペース管理局(CAC)は、検察官または特定の組織に、PIHを告訴する権限を与えます。
    • データセキュリティ法およびサイバーセキュリティ法も、違反行為に関する処罰を設けています。

    情報漏洩

    サイバーセキュリティ法では、等級保護制度を実施しています。データ漏洩が発生した際に、データガバナンス制度では、データ取扱者やネットワーク運用者に対して、速やかに緊急時対応策を開始し、対応する改善策を取り、必要に応じてデータ主体に通知し、当該事件に関して中国サイバースペース管理局(CAC)や関連規制当局に報告することを義務付けています。

    「国家サイバーセキュリティー事件緊急対応策(the National Contingency Plans for Cyber Security Incidents)」および「公共インターネットネットワーク安全突発事件緊急対応策(the Emergency Response Plan for Unexpected Network Security Incidents of the Public Internet)」に基づき、サイバーセキュリティ事件は、(1)特に重大、(2)重大、(3)比較的重大、(4)普通の4等級に分類されています。 こうした規則には、規制当局、監視および早期警戒システム、非常通報・報告システム、調査および評価、ならびに保護措置に関する細則も定められています。

    データ保護責任者

    個人情報保護法(PIPL)では、データ保護責任者(DPO)の任命が義務付けられており、以下の役割および責任が規定されています。

    • 個人情報取扱者(PIH)のデータ処理活動、保護措置などの管理、
    • PIHの主任への直接報告、
    • 個人的な責任として、違反行為の重大性に応じて、1万元から100万元までの罰金が科されます。データ保護責任者(DPO)は、上級職からの解雇、国家の社会信用ファイルへの違反情報の記録、違反行為の公表などに加えて、最悪の場合は行政拘禁または刑事訴追を受けるリスクもあります。
    • PIPLでは、DPOの任務について詳細に規定していませんが、役割に関する指針については、個人情報安全規範(PIS specification)で確認することができます。
    K&L Gates Logo

    K&L GATES
    44/F Edinburgh Tower, The Landmark
    15 Queen’s Road Central, Hong Kong
    電話: +852 2230 3500
    www.klgates.com

    インドにおける情報保護法

    EUが一般データ保護規則(GDPR)によって個人データ保護を強化したことを受け、データ脆弱性対策実施や、ユーザープライバシーの侵害防止を求める声が世界中に広がりました。

    個人データの悪用・不正使用に関する大手テクノロジー企業の一連の疑惑は、人々がデータプライバシー漏洩問題に向き合う大きな転換点となりました。それ以降、多くの法域では、規制制度の厳格化への道を開こうと、既存の法律が全面的に見直されました。

    インドも例外ではなく、この領域における取り組みを行っています。

    Manisha Singh, LexOrbis
    Manisha Singh
    パートナー
    LexOrbis(ニューデリー)
    Eメール: manisha@lexorbis.com

    現在、この領域は、情報技術法(Information Technology Act)(IT法)、および2011年の個人情報保護(合理的なセキュリティ実務および手続ならびにセンシティブ個人データまたは情報)規則(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011)によって規制されています。IT法第43条Aに基づき、データ主体は、センシティブ個人情報の不正開示に対して補償を請求する権利があります。72条Aは罰則であり、これに基づき、無断でセンシティブ個人情報を開示する仲介者などの個人が懲役または罰金刑を受けます。

    しかしながら、こうした法律はその対象領域がかなり限定されているため、不十分であると考えられています。よって、規制制度を改革するために、2018年に包括的な法案である個人情報保護法案が策定されました。 法案の目的は、データの効果がインドのために発揮されるように、正しい統治機構を構築し、適切なデータ・インフラストラクチャを導入することです。

    しかし、本法案はさまざまな議論にさらされ、すでに3度修正されました。

    インド議会両院の議員で構成される両院合同委員会(Joint Parliamentary Committee:JPC)に委託されたJPC報告書が、情報保護法の修正案とともに2021年12月16日に公表されました。新法案では個人情報と非個人情報の両方を規制することを目指しており、法案の適用範囲が拡大されました。

    法案の根拠に関しては、KS Puttaswamy対Union of India事件においてインド最高裁判所が定めた方針に基づいており、その方針に従って、個人のプライバシーの権利を制限するあらゆるものについては法による認可を受け、不正使用に対しては手続き上の対抗策を講じなければなりません。

    本法案で最も物議を醸しているのは、事実上、政府に対しては全面的な適用除外となっていることです。第35条では、インドの主権や保全、国家安全保障、外国との友好関係、社会秩序の維持に必要な場合は、政府をあらゆる条項の適用から除外すると定めています。厳しい批判にもかかわらず、両院合同委員会(JPC)はこの条項を存続させました。

    政府の監視権限を抑制するため、手続きが「公平、適正、妥当、かつ適切」でなければならない旨の説明が本条項に追加されました。適用除外にこうした限定条件が追加されたことは歓迎すべき措置ではありますが、十分ではない可能性があります。

    司法による監視は、政府の独断的な行動を回避するために不可欠であり、政府による適用除外の要請は、裁判所による認可を受けなければなりません。さらに、十分な対策を提供する手続き上の広範な仕組みを、法案自体に盛り込まなければなりません。また、両院合同委員会の一部の委員が反対意見の中で提言したように、「社会秩序」という言葉は、本条項を具体的かつ狭義に定義する(narrow tailoring)ために削除されるべきです。

    もう一つの問題は、本情報保護法の遵守および施行の監督を担当する情報保護庁(Data Protection Authority:DPA)に関連しています。2019年の法案に従って、閣僚および2人の閣僚レベルの官僚から成る選考委員会の推薦に基づき、DPAの全メンバーが中央政府によって任命されます。当初の条項が批判を招いたため、両院合同委員会は現在、2021年法案の委員会メンバーに司法長官を加えています。JPAの独立性を十分に保つために、司法官の参加が検討された可能性がありますが、主席判事(データプライバシーに関して注目に値する複数の判決を下した判事が望ましい)がメンバーに加わる必要があります。

    Simtrat Kaur, LexOrbis
    Simtrat Kaur
    アソシエイト
    LexOrbis(ニューデリー)
    Eメール: simrat@lexorbis.com

    データローカライゼーションに関する条項も最も議論の分かれる問題の1つです。2018年の最初の法案には、包括的なデータローカライゼーションの条項がありましたが、酷評されました。その後の修正法案では、他国からの強い反発を理由に、本条項は若干緩和されました。現在の2021年のデータ保護法案では、柔軟なローカライゼーションが規定されており、センシティブ個人情報の複製や重要データの現地での処理を義務付けています。つまり、本法案では、複製が現地に保管されていることを条件に、インド国外でのセンシティブ個人情報の移転や保管が許可されています。

    センシティブ個人情報には、健康、宗教、性生活、政治理念、生物識別、遺伝、金融情報などが含まれています。当該データは、特定の条件を満たす場合、GDPRの適正な仕組みに厳密に従ってインド国外に移転することができます。しかしながら、重要データの国外移転については禁止されています。重要データはインド国内でのみ処理および保管しなければなりません。一方で、重要データの厳密な定義が待ち望まれています。従って、どのようなデータが対象となるかについては十分に明確とは言えません。

    政府は、データローカライゼーションがどれほどインドに有益であるかについて多くの理由を説明しています。データ市場が非常に巨大であるため、データの大半は米国、アイルランドなどにあるサーバーに物理的に保存されています。現地での保存を義務付けることで、インドにおける大規模データセンターの設置につながり、ひいては現地での雇用創出を促すことにもなります。インド全土のITまたはデータ・インフラストラクチャを強化することにより、経済発展が促進され、インドを世界的なデータ処理拠点へと押し上げることができると考えられています。

    データの越境移転に関するこうした保護主義的な展望は一見優れているように思えますが、実施の前に、実際の利益を計算することが重要です。こうした制度が純利益を生むかどうかを解明するには、データローカライゼーションの要件を遵守するという負担が加わることで、インドでデータに基づくサービスを提供する多くの海外企業を失うかもしれないというリスクを評価することが欠かせません。また、外国政府によるインド企業に対する報復措置の可能性も考慮に入れなければなりません。

    大多数から支持されている利点として、法執行機関の能力向上があります。インドの法執行機関は、国外の法域に保管されたデータにアクセスする場合は制約を受けます。例えば、インドで発生した重大犯罪が捜査対象となり、決定的な証拠が米国を拠点とするサービスプロバイダーにある場合、インド政府は、インド・米国刑事共助条約(MLAT)に基づき提供されるデータ収集の枠組みを使用せざるを得ません。これは手間がかかり煩雑です。

    米国政府は刑事共助条約に基づくこのような要請を受理する前に、裁判所命令を請求します。米国の裁判所はそのような命令を必要に応じて承認する前に、インドの要請が関連する法的要件を満たすかどうかを判断します。命令が下されると、米国のサービスプロバイダーは必要なデータを作成し、データを米国司法省と共有、法的な順守を確認してから、最終的にインドにデータを開示します。これは通常数カ月を要する非常に時間のかかる作業であり、適時にデータにアクセスできないことが原因で、捜査に支障が出る場合があります。

    データローカライゼーションが強化されれば解決につながり、インドの政府機関がデータにアクセスし易くなります。ただし、それによってインドの刑事共助条約制度への依存度がどの程度下がるのかを評価、分析することが重要です。まず、執行機関が要求するデータまたは証拠の割合について検討することができます。センシティブ個人情報に限定して(また個人情報の一部の)複製を要求する柔軟なデータローカライゼーション案が採択されれば、そうしたデータについてはアクセスし易くなるでしょう。また、ローカライゼーションによって、刑事共助条約制度や、データに直接アクセスするための他国との二カ国間行政協定を補完することが期待されます。その一方で、現地での保管を義務付けることによって、こうした合意に署名するインドの適格性が損なわれ、結果的に逆効果となるリスクを評価することも重要です。

    これについては多種多様な意見がさまざまな地域から寄せられています。インドを拠点とする世界的なシンクタンクであるオブザーバー・リサーチ基金研究財団(Observer Research Foundation)が近頃発表した報告書では、インドが現地保存を義務付けることで、米国の海外データ合法的使用明確化法(Clarifying Lawful Overseas Use of Data Act:CLOUD法)に基づき、米国との契約締結交渉の支障になる可能性があると論じられています(CLOUD法とは、国内のデータ関連法が相反する場合でも、「重大な犯罪」を捜査する目的で外国政府によるデータへのアクセスに関して国際的な協力への道を開く米国の授権法)。

    インドがCLOUD協定を締結すると、米国を拠点とするサービスプロバイダーが保存した関連データによって犯罪を捜査する場合、そうしたデータへのアクセスに、米国の認可または裁判所命令は不要になります。そうした目的には、インドの裁判所命令が使用される可能性があります。インドの政府機関の側が、米国のサービスプロバイダーに直接働きかけ、必要なデータを要求することもできます。ただし、CLOUD法では適切性を確認するにあたって検討すべき複数の要因が挙げられています。

    しかし、いずれにせよ、インドはCLOUD協定に署名することにはまだ興味を示していません。たとえ検討する場合でも、ローカライゼーションを義務付け、政府が広範な監視を行う権限を持つことで、国家の妥当性に影響を及ぼす可能性があることには留意しなければなりません。

    膨大な数のインターネットユーザーを擁するインドは、グローバルデータ経済で自国の影響力を利用しようと考えています。最終的な法律が表明されたビジョンから逸脱しないようにするために、とりわけ越境移転に関する条項をはじめとする、一部の条項に関連するリスクや法案の全体論的評価を行ううえでには、本保護法案は不可欠です。

    現在直面している問題の複雑さを考慮すると、重要な条項を細かく修正し、合意に達することは容易ではありません。従って、本法律が最終的に成立するまでにはまだ時間がかかる可能性があります。

    LexOrbis Logo

    LEXORBIS
    709-710 Tolstoy House
    15-17 Tolstoy Road
    New Delhi – 110001, India
    Eメール: mail@lexorbis.com

    www.lexorbis.com

    タイにおける情報保護法

    タイの個人情報保護法(PDPA)(2019年)は、個人データの不正な、または違法な収集、使用、または開示から自然人を保護するために公布されました。2019年5月27日に施行されましたが、その全面施行は2度延期され、直近では2022年6月1日まで延期されています。

    データ権限

    PDPAには、個人情報保護委員会(PDPC)の設立が規定されており、以下のような責務を担っています。

    • 個人データ保護のための措置または手続きの決定、
    • 通知の発行または規則の公布、
    • データ保護手続き、および海外に移転されるデータの保護に関する基準の公布、
    • 個人データをサポートおよび保護するための基本計画の作成。

    個人情報保護委員会(PDPC)は、法令の検討や施行のために小委員会を設立する権限も有しており、またPDPCの下に、個人情報に関する苦情や紛争解決を調査・検討する専門委員会を設置することができます。

    最後に、PDPAは、PDPCの事務所と監督委員会の設置を規定しています。事務所は、PDPC、個人情報保護委員会、および監督委員会のために学術的および管理的業務を行います。また、国際的なデータ移転に関するポリシーの審査や認証を行う権限もあります。

    実体的適用範囲、地理的適用範囲

    PDPAは、データ処理行為がタイ国内で行われるかどうかを問わず、タイにおけるデータ管理者またはデータ処理者による個人データの収集、使用および開示(以下、総称してデータ処理行為)を規制しています。

    データ管理者またはデータ処理者がタイ国外にいる場合でも、データ管理者またはデータ処理者の活動が以下の項目を含む場合、PDPAは、タイ国内における主体のデータ処理行為に適用されます。(1)データ主体が支払いを行っているかどうかにかかわらず、タイ国内のデータ主体への商品またはサービスの提供、および(2)タイ国内でのデータ主体の行為のモニタリング。ただし、PDPAは以下には適用されません。

    • 当該個人のみの個人的な利益または世帯活動のために収集されたデータ、
    • 公的機関の業務に関するデータ、
    • マスメディア、美術、文学に関する活動のみを対象として収集したデータ、
    • 国会または議会委員会の任務および権限に分類されるデータ、
    • 裁判所の裁判や判決に関するデータ、および法的手続きにおける役員の業務に関するデータ、ならびに
    • 信用調査会社およびその社員が収集したデータ。

    収集、使用、開示

    Chumpicha Vivitasevi, Weerawong Chinnavat & Partners
    Chumpicha Vivitasevi
    パートナー
    Weerawong Chinnavat & Partners(バンコク)
    電話: +66 2264 8000 (ext. 8116)
    Eメール: chumpicha.v@weerawongcp.com

    PDPAでは、個人データを「直接または間接を問わず、識別可能な個人に関する情報」と定義していますが、故人に関する情報は含みません。

    個人データには、一般的な個人データとセンシティブデータの2種類があります。一般的な個人データとは、センシティブデータ以外のあらゆる種類の個人データを指します。センシティブデータとは、人種、民族的出自、政治的見解、カルト、宗教上・思想上の信条、性行動、犯罪歴、障害、労働組合への加入情報、健康データ、遺伝子データ、生体データ、およびPDPCが定める、データ主体に同様の影響を与える可能性のあるその他の個人情報を指します。

    別の方法を許可する法的根拠がない限り、個人データの処理にはデータ主体の明示的な同意が必要です。ただし、同意なく個人データを処理するための法的な根拠には、調査、重大な利益、契約、公益のために、または職務上の権限に基づき行われる業務、(データ主体の権利とのバランスが保たれた)データ管理者の正当な利益、合法的な非営利活動、公開済みデータ、法的要求、法的義務などがあります。

    個人データの海外移転

    個人データの海外への移転は、PDPAに基づき、以下の限定された状況下に限り許可されています。(1)PDPCが決定した適切なデータ保護基準を有する移転先国への移転である場合、(2)PDPCの事務所が審査し承認したグループデータ保護方針に基づいて移転する場合、ならびに(3)法律を遵守するための移転である場合、またはデータ主体が移転先国のデータ保護基準が不適切であることを知らされている条件のもとで同意が得られている場合など、特定の適用制約に基づく場合。

    管理者および処理者

    Thaya Uthayophas, Weerawong Chinnavat & Partners
    Thaya Uthayophas
    アソシエイト
    Weerawong Chinnavat & Partners(バンコク)
    電話: +62 2264 8000 (ext. 8070)
    Eメール: thaya.u@weerawongcp.com

    PDPAでは、データ処理行為に関する決定権を持つデータ管理者と、データ管理者の命令に基づき、またはデータ管理者に代わってデータ処理行為に関連する業務を行うデータ処理者とを区別しています。

    データ管理者は、セキュリティ対策と検証手順を実施し、違反があった場合はPDPCの事務所に通知しなければなりません。PDPAは、個人データの不正な、または違法な紛失、アクセス、使用、変更、修正または開示を防止するために適切な措置を講じることをデータ管理者に義務付けています。データ管理者は、データ処理者との契約を結び、間違いなくPDPAを遵守しなければなりません。

    データ処理者は、セキュリティ対策の実施、違反があった場合のデータ管理者への通知、ログの作成および維持に責任を持ちます。

    透明性と説明責任

    透明性はPDPAにおける重要な原則であり、データ管理者はデータ収集前、またはデータ収集時にデータ主体に以下のことを通知しなければなりません。

    • 法的根拠を含む収集目的、
    • 情報を提供しない場合の影響、
    • 収集されるデータおよび保存期間、
    • 個人データの開示先となる可能性のある個人または事業体のカテゴリー、
    • データ管理者、管理者の代表者またはデータ保護責任者(該当する場合)の連絡先、住所、連絡先詳細、ならびに
    • データ主体の権利。

    また、データ主体に新たな目的を伝え、事前の同意が得られた場合を除き、データ処理行為は、事前にデータ主体に通知された目的に従って行わなければなりません。

    さらに、PDPAに基づく説明責任の観点から、データ管理者は以下の記録を保持し、データ主体およびPDPCの事務所が閲覧できる状態を維持しなければなりません。

    • 収集した個人データ、
    • 収集の目的、
    • データ管理者の詳細、
    • 個人データの保存期間、
    • 個人データにアクセスする際の権利と方法、
    • 同意の要件が免除される個人データの使用または開示、
    • 要求または異議の拒絶、ならびに
    • データ漏洩を防止する適切なセキュリティ対策についての説明。

    漏洩通知

    PDPAでは、データ管理者に対して、個人データの漏洩が発覚した時点から72時間以内に、その漏洩がデータ主体の権利と自由を損なう可能性が低い場合を除き、PDPCの事務所に通知することを義務づけています。漏洩によってデータ主体の権利と自由に大きなリスクがもたらされる場合、データ管理者はデータ主体に通知し、直ちに改善策を講じなければなりません。

    データ主体の権利

    データ主体は、データ管理者に対して、自身の個人データへのアクセスを要求し、そのコピーを取得する権利、データ可搬性の権利、処理を拒否する権利、忘れられる権利、個人データの使用を制限する権利、および正確を期すためにデータを修正する権利などを有しています。

    罰則

    PDPAへの違反に対する罰則には、刑事罰、行政罰、民事罰があります。刑事罰としては、1年以下の懲役および100万タイバーツ(2万9,250米ドル)以下の罰金、またはそのいずれかが課されます。また、違反の原因が企業責任者の指示または不作為にある場合、その個人も同様の処罰を受ける可能性があります。民事責任には、損害額の実額の2倍を上限とする懲罰的損害賠償金が含まれ、民事上の損害賠償は集団訴訟によって請求することができます。PDPCは、一般的なデータについては最高300万タイバーツ、センシティブデータについては最高500万タイバーツの過料を命じる権限が与えられています。

    下位規則

    以下の事項について、現在、PDPCによって検討中の3組の下位規則案について、公聴会が開催されました。

    • 同意を得るための基準や方法、
    • 個人データの処理、
    • 個人のセンシティブデータに対する適切なデータ保護方法、
    • 海外にデータを移転するための基準と保護措置
    • 活動記録、データ主体の要求に関する方法、漏洩に関する報告書、
    • データ保護責任者、
    • 外国代表者の選任、
    • 特定の規定の遵守を目的とした業界の例外、
    • データ主体の権利に関する義務、
    • データ処理者の義務、
    • 行動規範、
    • データ保護の影響評価および自動意思決定、ならびに
    • 個人情報保護基準および認証。
    WCP Logo

    WEERAWONG CHINNAVAT & PARTNERS
    22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
    Pathumwan, Bangkok 10330, Thailand
    電話: +662 264 8215
    www.weerawongcp.com

    フィリピンにおける情報保護法

    フィリピンの個人情報保護法(DPA)は、あらゆる種類の個人情報の処理および、個人情報管理者または処理者を問わず、それに関与するあらゆる自然人または法人に適用されます。

    フィリピン国内で設立されていない場合であっても、フィリピン国内にある設備を使用している場合、またフィリピン国内に事務所、支店、代理店を構えている場合は、個人情報保護法の第4条に記載される特例の対象となり、個人情報管理者(PIC)および個人情報処理者(PIP)に対して同法が域外適用されます。

    個人情報

    個人情報とは、「媒体への記録の有無を問わず、その情報を所有する事業体によって、個人の特定が明らかもしくは合理的かつ直接的に確定しうるもの、または他の情報と合わせることにより直接的かつ確実に個人を特定するあらゆる情報」を指します。

    また、本保護法は、年齢、民族、婚姻の有無、肌の色、信教、哲学または政治的信条に関する情報、個人の健康状態、学歴、遺伝または性生活、犯罪歴・犯罪容疑に関する情報、政府機関が発行する身分証明書、健康の記録、納税申告書などのセンシティブ個人情報と、個人情報を区別しています。また、裁判所規則に基づく秘匿特権情報、つまり、弁護士と依頼人との間の開示情報も、センシティブ個人情報とみなされます。

    統治原則

    Enrique Dela Cruz, DivinaLaw
    Enrique Dela Cruz
    シニアパートナー
    DivinaLaw(マカティ市)

    データ処理とは、本法で定められているように、「データの収集、記録、整理、保存、更新または修正、検索、参照、使用、統合、遮断、消去または破壊を含むが、それに限らない個人情報の運用、あるいは一連の運用」を指します。

    本個人情報保護法の第11条、12条に基づく要件に準拠している場合、個人情報を処理することができます。第11条に基づき、処理については、透明性、正当な目的、比例性を遵守しなければなりません。第12条には、処理が許可されるのは、処理が法律によって禁止されておらず、また、データ主体の同意があるか、もしくは契約の履行または法的義務の遵守のために必要であるなど、少なくとも1つの条件が存在する場合に限る、と明記されています。

    センシティブ個人情報の処理は、以下の除外事項に該当しない限り、一般的に禁止されています。除外事項には、データ主体が同意した場合、現行法令で許可されている場合、データ主体またはその他の人の生命および健康を保護するために必要であるが、データ主体が同意を表明することができない場合、公的機関およびその団体の法的に正当かつ非営利的な目的を達成するために必要な場合、治療のために必要な場合、訴訟手続きにおける自然人または法人の法的な権利および利益の保護のために必要な場合、法的要求の確立、行使、または保護を目的とする場合、もしくは政府または公的機関に提出される場合などが含まれます。

    最後に、2017年8月に発表された、国家プライバシー委員会(National Privacy Commission:NPC)のアドバイザリー・オピニオンによって、同意の表明方法が明確になりました。

    これにより、「沈黙、あらかじめチェック済みのボックスまたは不作為は、同意を構成するものとしてはならない」と規定するEU一般データ保護規則の前文32項を引用し、黙示同意や推定同意が有効ではないことが強調されました。

    データ主体の権利: 個人情報保護法(DPA)の第16条に基づき、データ主体は以下の権利を有します。

    • 自動意思決定やプロファイリングの存在など、個人情報の処理について知る権利、
    • さらに、これには、データ主体の個人情報の販売先や開示先、また処理された個人情報の内容を知る権利も含まれます。
    • アクセスする権利、
    • 処理に対して異議を述べる権利、
    • 削除または遮断する権利、
    • 破壊する権利、
    • 消耗性および適時性の要件に従い、苦情を申し立てる権利、
    • 修正する権利、および
    • データポータビリティの権利。

    データ保護責任者. 個人情報管理者(PIC)は、個人情報保護法に基づくコンプライアンスについて責任を負うデータ保護責任者を任命しなければなりません。

    登録.人情報保護法を履行するための規則や規定では、以下の場合に、組織の個人情報処理システムの登録を義務付けています。

    • 1,000人以上のセンシティブ個人情報を取り扱う場合、
    • 個人情報管理者または個人情報処理者が250人以上の人員を雇用している場合、
    • 雇用人員は250人未満であるが、定期的に個人情報を取り扱う場合、
    • 雇用人員は250人未満であるが、情報の取り扱いによって、データ主体の権利や自由にリスクが及ぶ恐れがある場合。

    個人データ移転:個人情報管理者は、第三者に移転する個人情報に対して責任を負っています。

    個人データ漏洩: 個人情報管理者または個人情報処理者は、個人情報の漏洩が発生した場合、その発見から72時間以内に、国家プライバシー委員会(NPC)および被害を受けたデータ主体に通知しなければなりません。

    適切な更新

    以下は、最近、個人情報保護法(DPA)の適用対象となったものです。

    Ian Jerny De Leon, DivinaLaw
    Ian Jerny De Leon
    ジュニアパートナー
    DivinaLaw(マカティ市)

    接触追跡アプリ:国家プライバシー委員会は、以下の点を明確に表明しています。接触追跡アプリでは、「ユーザーが、デジタル接触追跡の開始、中止を選択できなければなりません。またアプリの使用は任意でなければならず、データ主体はいつでも同意を取り消すことができます。(中略)アプリに異なる目的がある場合は、個別に同意を得なければならず、その目的についてユーザーに事前に説明する必要があります。」

    従業員調査:国家プライバシー委員会のアドバイザリー・オピニオンNo.2018-084に基づき、会社が支給するコンピュータ上での社員の監視は、「その情報の取り扱いが、個人情報保護法の12条および13条、またそのいずれかに基づく個人情報の合法的な取り扱い基準のいずれかに該当する場合、同法に基づき許可される場合があります。」

    同オピニオンによって、以下の点も明らかにされています。「内偵調査」は認められておらず、「従業員に対して、コンピュータの監視を実施すること、監視の具体的な目的、範囲、実施方法、個人情報保護のための安全対策、ならびにデータ主体である従業員の権利が侵害された場合の補償手続きについて説明することは、雇用主の義務です。(中略)コンピュータ上の監視、または従業員の監視を実施する雇用主はすべて、直接収集されたデータは、確実に監視の目的に沿っており、また組織のニーズや目的に明確にかなっていることを徹底しなければなりません。」

    国家プライバシー委員会は、後日、公衆衛生緊急事態(public health emergency)に関する広報第14号で、企業が支給する機器に、勤務を監視するソフトをインストールすることは可能であるが、雇用主は、そうしたソフトの存在について、従業員に通知し、プライバシー影響評価を実施し、リスクおよび緩和策を決定し、さらに従業員の監視にプライバシーの侵害度の低い手段を使用しなければならない、と明確に説明しました。

    説明を加えると、監視の手段については、あくまで本来の目的に沿ったものでなければなりません。従って、仕事中に画面から離れないよう要求することは、行き過ぎであると見なされます。監視の手段については、「適正、妥当、適切、かつ必要なものでなければならず、度を越えてはなりません。」

    Terence Mark Arthur Ferrer, DivinaLaw
    Terence Mark Arthur Ferrer
    シニアアソシエイト
    DivinaLaw(マカティ市)

    Eラーニング:国家プライバシー委員会(NPC)は、「オンラインクラスでは、教師は生徒のプライバシー、平等な扱い、特性に常に考慮する必要がある」、と提言しています。

    NPCは、オンラインクラスでのウェブカメラの使用を任意とすることを提言していますが、テレビ会議がオンラインでの試験監督時に役立つことも理解しています。NPの勧告によれば、教師は、生徒と学校双方のメリットのバランスを考えなければならず、また常に生徒から明確な同意を得ることが必要です。

    さらに、NPCは、教師に対して、成績や宿題の結果などの個人情報を公表することのないよう注意しています。教師は、個人情報が保護され、個人のアカウントまたは機器に保存されるように徹底しなければなりません。

    また、課題や宿題を提出する代替手段を許可するとともに、ウェブカメラの不使用や、目を合わせないことを咎めず、生徒にウェブカメラの電源を入れるよう強要してはなりません。

    ワクチン接種証明書:民間施設では、ワクチン接種記録を提示しない場合、入場を拒否することができます。民間施設へのアクセスについては、当該施設の所有者が課す同意や条件の対象となります。しかし、ワクチン接種記録には、センシティブ個人情報が含まれているため、民間施設は、その開示をデータ主体に強要することができません。

    各官庁が基本的な行政サービスに関して、ワクチン接種記録の提示を義務付けることについては、現時点では議論の余地が大いにあります。なぜなら、これによって、基本的な行政サービスを利用するために、ワクチン接種が市民の間接的な義務となってしまうからです。しかし、ジェイコブソン対マサチューセッツ州の訴訟では、連邦最高裁判所は、州の警察権の下で、州政府は強制予防接種法を制定することができるとする判決を下しました。

    監視広告:国家プライバシー委員会(NPC)は、「公開されている個人情報は、何の規制もなく、いかなる目的に対しても、自由に利用あるいは開示することができるとするのは誤った認識である」と強調しています。

    また、マーケティング担当者は、公表されている情報源から取得した潜在顧客の個人情報を管理する立場にあると、NPCは明確に表明しています。従って、マーケティング担当者は、個人情報保護法が規定している、個人情報、センシティブ個人情報、秘匿特権情報の取り扱いについて、法律で定められた基準に従わなければなりません。

    DivinaLaw Logo

    DIVINALAW
    8/F Pacific Star Building
    Sen. Gil Puyat Ave. cor. Makati Ave.,
    Makati City, Metro Manila – 1200
    The Philippines
    電話: +632 8822 0808
    Eメール: info@divinalaw.com

    www.divinalaw.com