フィリピンのデータプライバシー法

世界中の国々が、個人データの収集、処理、使用の規制を急いでいます。プライバシー規制は、国民の権利と国家安全保障およびビジネスのニーズとのバランスをとろうとする、ほとんどの政府にとって難問です。

2012年、フィリピンはデータプライバシー法（DPA）を可決し、政府と民間分野の両方で情報通信システムの個人データを保護しました（共和国法第10173号）。この包括的なプライバシー法は、施行、規則作成、助言、準司法権を有する国家プライバシー委員会（NPC）も設立し、同法の規定を実施するように任命しました。

2016年9月9日、施行規則（IRR）が施行されました。この法律は、フィリピンを次のレベルに引き上げ、データ保護の国際基準を確実に準拠することを目的としています。

応用。フィリピンのDPAは、「社会的関心事」と見なされる特定の例外は除き、あらゆる種類の個人情報の処理に適用されます。これは、フィリピン国内（または場合によっては外部）の個人情報処理に関わるあらゆる自然人および法人を対象としています。NPAはDPAの域外の範囲に基づいて、2018年4月にケンブリッジアナリチカスキャンダルで独自の調査を開始し、これには、約120万人のフィリピン人を含む、個人情報の不正共有が含まれました。

一般的な考え方として、個人情報が公開されている場合、DPAは適用されません。NPCは、これは誤解であると考え直し、「データ主体が公的にアクセス可能なプラットフォームで個人データを提供したとしても、それは個人が個人のどのような使用についても全面的な同意をしたことを意味するものではないと述べました。NPCの意見は、ソーシャルメディア時代の個人と一般の間の崩壊する境界を注意深く認識しているため、重要です。

統治原則。DPAは、初期の国際的なプライバシーの枠組み下でいくつかの原則、特に透明性、正当な目的、および比例性を採用しています。法律の目的に沿って、個人情報の処理は、たとえば、個人情報管理者（PIC）の正当な関心など、処理するための少なくとも1つの合法的な根拠がある場合に許可されます。

この点に関して、NPCは、処理の基礎としてのPICの正当な関心が、次の3つの部分からなる検査を考慮しなければならないことをすでに明確にしています。（1）目的検査–特定の処理操作が達成しようとしている決定を含め、正当な関心の存在を明確に確立する必要がある。（2）必要性検査-個人情報の処理は、個人情報が、そのような目的が他の手段によって合理的に果たされない場合、PICまたは、個人情報が開示される第三者によって、追求される正当な関心の目的のために必要である。（3）バランス検査-データ主体に対する処理の影響の可能性を考慮して、PICまたは第三者の正当な関心によってデータ主体の基本的な権利と自由を無効にしてはならない。対照的に、機密性の高い個人情報の処理は、処理の法的根拠が存在する場合（同意、法律、または物理的な必要性など）を除いて、一般的に禁止されています。

データ主体の権利。DPAはデータ主体に次の特定の権利を提供しました。（1）通知を受ける権利（とりわけ、自動意思決定とプロファイルの存在について）。（2）アクセス権。（3）反対する権利（ダイレクトマーケティング、自動処理またはプロファイルを含む、個人データの処理に対する）。（4）指定された理由で（PICのファイルシステムからの個人データを）消去またはブロックする権利。（5）損害賠償の権利。（6）枯渇と適時性の要件に従って、苦情を申し立てる権利。（7）修正する権利。 （8）データの移植性に対する権利。

義務。IRRの下では、PICとPIP（個人情報処理装置）は、次の条件下でデータ処理システムをNPCに登録することが義務付けられています。（1）1,000人以上の機密個人情報が処理される場合。（2）個人情報の管理者または処理者が少なくとも250人を雇用している場合。（3）250人未満の従業員でも、処理が不定期でない場合。又は（4）採用が250人未満であるが、情報の処理により、データ主体の権利と自由が危険にさらされる可能性がある場合。

IRRは、個人データの保護のために次の必須の安全対策を定めています。

• データ保護責任者、遵守責任者、またはデータのプライバシーと安全に関する適用法と規制の遵守を確保する責任を負うその他の責任者として機能する人物を割り当てます。
• 組織、物理的および技術的な安全対策を提供する適切なデータ保護政策を実施します。
• データ処理システムを十分に説明し、個人データへのアクセス権を持つ個人の義務と責任を特定する記録を維持します。
• 個人データにアクセスする従業員、エージェント、または代表者を選択、訓練、監督します。
• 個人データの収集と処理、データ主体、DPA、アクセス管理、システム監視、安全インシデントまたは技術的問題のプロトコル、およびデータ保持に基づく権利を行使するための、個人データの収集と処理に関する政策と手順を開発、実施、審査します。
• 適切な契約上の合意を通じて、PIPが法律とIRRで要求される安全対策も実施することを確認します。
• 必要に応じて、IRRに記載されている物理的な安全ガイドラインに準拠します。そして
• 次のような（ただしこれらに限定されない）技術的な安全対策を採用して確立。個人データの処理に関する安全政策。コンピュータネットワークを保護するための保護手段。 安全対策の有効性の定期的な評価。 個人データの暗号化。

PICとPIPの法律への準拠を監視するには、文書化された安全インシデントと個人データ違反の概要をPICとPIPからNPCに報告する必要があります。データ侵害の場合、NPCおよび影響を受けるデータ主体は、個人データ侵害の発見から72時間以内に、関係するPICまたはPIPから通知を受ける必要があります。

遵守要件

個人データ処理に従事する人々がDPA遵守を達成するのを助けるために、NPCは「遵守の5つの柱」と呼ばれる5つのステップガイドを開発しました。このガイドはチェックリストとして機能し、DPAに基づく主要なデータプライバシーの責任とNPCの関連する発布について概説します。

データ保護担当者（DPO）の任命。DPOの任命は法律で義務付けられており、組織の遵守への取り組みの証拠と見なされます。 DPOは、組織が法律の要件を遵守していることに対し責任があります。担当者の主な役割は、データ保護政策の策定、リスク評価の実施、個人データ侵害の管理など、組織のデータ保護プログラムとその実施を監督することです。担当者はまた、データ主体とNPCに関する組織の連絡窓口としての役割も果たします。DPOは独立し、データ保護に精通しており、組織によって実行されている処理システムを十分に理解している必要があります。

プライバシー影響評価（PIA）の実施。PIAは、個人情報の処理によってもたらされる潜在的なプライバシーリスクを識別および評価するプロセスです。理想的には、個人情報を含むすべてのプロジェクト、プログラム、および活動に対してPIAを実施する必要があります。PIAには、特に次のものを含める必要があります。（1）組織の個人データの流れと処理活動の体系的な説明。（2）データプライバシーの原則および安全対策の実施に対する組織の遵守の評価。（3）付随するリスクの特定と評価。（4）それらに対処する対策の提案。

プライバシー管理プログラム（PMP）の作成。PMPは、プライバシーとデータ保護が組織のすべてのプログラム、活動、サービス、取り組みに確実に組み込まれるようにする包括的なアプローチです。データ主体の個人情報を保護するという組織の取り組みを示し、そのような情報の処理と取り扱いにおける組織の慣行と手順を詳しく説明します。PMPの実施には、組織が法律の要件に準拠するのに役立つプライバシー政策、手順、およびプロトコルを導入することが含まれます。

プライバシーとデータ保護対策を実施。PMPに定められた方針と措置が実施されるべきです。PMPプログラムの実行を確実にするために、組織の確固たるコミットメントとは別に、管理を組織の日常業務に統合する必要があります。プログラムの管理には、次のものを含める必要があります。（1）処理活動の記録。（2）リスク評価ツール。（3）登録。（4）政策と手順。（5）データの安全性。（6）能力開発。（7）違反管理。（8）通知。（9）第三者管理。（10）コミュニケーション。組織はまた、プログラム管理の有効性を定期的に評価する必要があります。

個人情報侵害の管理。個人データの侵害が発生した場合、組織は迅速かつ効果的に対応できるように準備する必要があります。組織には、違反管理の手順を定めた方策が必要です。方策は、防止、インシデント対応、調査、違反の影響の軽減、通知要件の遵守、および再発防止を対象とする必要があります。違反を管理する責任を明確に定義して割り当てること、および得られた教訓を組織の手順と実践に統合することが不可欠です。