データプライバシーの監視: フィリピン

フィリピンにおける個人情報保護に関する包括的な法律、2012年フィリピンデータプライバシー法（DPA、共和国法第10173号）は、2012年8月15日に制定されました。その管理および施行の監督を主要な職務とする政府機関、国家プライバシー委員会（NPC）は2016年8月に、最後の実施規則および規定を公布しました。

データプライバシー法は、国際的な個人データ移転の自由化の進展と、データ保護に関する国際基準の策定に対応しています。ビジネス・プロセス・アウトソーシングにおいて世界的に重要な地位を占めるフィリピンにとって、同法の制定は大きな意味を持ちます。

同法が制定されるまで、個人データの処理一元的な規制監督や、データ主体に対する包括的な保護措置は存在しませんに対するでした。そのため、当時、大量の個人データが、当初の想定を超えた目的での詳細な連絡先の無断使用や共有をはじめ、なりすましやセキュリティ侵害などの悪用や誤用の対象となり、憲法で保証されるデータ主体のプライバシーに対する権利が害されていました。

フィリピン貿易産業省（DTI）は2006年という早い時期に、個人情報保護ガイドラインに関するDTI行政命令第８号を発行しています。これは現在のEU一般データ保護規則（GDPR）の前身である1995年EUデータ保護指令を踏襲して策定されました。したがって、フィリピンDPAはEUが支持する基準と原則に深く根ざしているといえます。

フィリピンDPAは、あらゆる種類の個人情報の処理、および、官民双方の個人情報の処理に関与するあらゆる自然人または法人に適用されます。フィリピンに存在しないデータ管理者および処理者が、以下のいずれかに該当する場合は適用対象になります。

• フィリピンに所在する設備を使用している
• フィリピンに事務所、支店または代理店を設置している

同法は、データ主体の所在地に関わりなく、またデータが処理される場所がどこであろうと、フィリピン国民またはフィリピンの居住者の個人データに適用されます。たとえば、同法は、米国に居住する海外出稼ぎフィリピン人労働者の個人データが、現地のフィリピン銀行によって処理される場合にも適用されます。また、この労働者の個人データがフィリピン国外の外国銀行によって処理される場合にも、フィリピンの個人情報保護法が適用されます。法律の執行可能性はまったくの別問題です。

同法では、データ処理は「データの収集、記録、整理、保存、更新、修正、検索、参照、使用、統合、遮断、消去、破壊を含むが、これらに限定されない、個人情報に対して実施される操作または一連の操作」と定義されています。

「個人情報管理者」とは、個人情報の収集、保有、処理、使用を管理する個人または組織（他の個人または組織から指示を受けてそのような役割を果たす者、個人の個人的・家族的・家庭的な問題に関連し

てそのような役割を果たす個人を除く）を指します。一方、「個人情報処理者」とは、個人情報管理者が個人データの処理を委託することができる自然人または法人を指します。

以下はフィリピンDPAの適用対象ではありません。

• 現在または過去の公務員に関する情報で、その地位や職務に関連するもの
• 政府契約に基づいて行われた個人の業務に関する情報
• 政府から個人に与えられる裁量的経済的利益に関する情報
• 報道、芸術、文学、研究の目的で処理される個人情報
• 公的機関の機能に必要な情報
• 銀行および金融機関がマネーロンダリング防止法を遵守するために必要な情報
• 外国司法管轄区の法律に基づき、当該外国司法管轄区の居住者から収集された個人情報

フィリピンDPAでは個人情報と機微（センシティブ）個人情報が区別されており、合法的処理について異なる要件が規定されています。

• 個人情報とは、個人の身元を特定できる、もしくは合理的かつ直接的に個人の身元を確認できる情報、または他の情報と組み合わせることにより、直接的かつ確実に個人を特定できる情報を指します。
• 機微（センシティブ）個人情報とは、人種、配偶者の有無、年齢、肌の色、宗教的・哲学的・政治的所属、健康状態、教育、政府機関が発行する個人に固有の裁判手続き（社会保障番号、健康記録、免許証、納税申告書、政府発行の身分証明書および／またはその番号のコピーなど）、および法律や規則により特に指定された個人情報を指します。

フィリピンDPAの下では、通常、同法、その規則または規定に明示されている条件のいずれかに該当する場合を除き、個人情報を有効に処理するには、それに先立って情報主体から同意を取得する必要があります。留意する必要があるのは、同法では、明示的な同意のみが認められており、黙示的な同意は認められない可能性があることです（同法では、同意とは「自由な意思に基づき与えられた、具体的な、情報に基づいた意思表示であり……（中略）書面、電子的手段、または記録された手段によって証明されるものとする」と定義されています）。

フィリピンDPAには、EUのGDPRで認められている権利に類似した、データ主体の個人情報に関する権利が詳細に規定されています。これらの権利には、情報取得、アクセス、異議申し立て、消去および遮断、修正、苦情申し立て、損害賠償、データポータビリティが含まれます。

データ管理者およびデータ処理者は、個人情報が科学的・統計的調査のためであり、データ主体に関するいかなる活動も行われず、いかなる決定もなされない場合、またはデータ主体の刑事、行政、または納税に関する義務の調査のために収集される場合を除き、これらの権利を遵守し尊重しなければなりません。

同法では、個人情報のセキュリティに関する一般原則と、個人情報の移転に関する説明責任について規定されています。政府における機微個人情報のセキュリティに関する具体的な規定に加え、データ侵害に関する規定、データ侵害事案報告のための基本的ガイドラインが定められています。

GDPRと同様に、フィリピンの個人情報保護法および規制は、個人データが侵害された場合に、個人情報管理者に対して侵害に関して通知する義務を課しています。個人情報管理者は、侵害に関するこのような通知を影響を受けるデータ主体に送付し、NPCに報告しなければなりません。侵害に関する通知は、「個人情報管理者または個人情報処理者が通知を要する個人データの侵害が発生したことを知った時点、または合理的に信じることができた時点」から72時間以内に、NPCに提出されなければなりません。

フィリピンの個人情報保護規則では、データプライバシー責任者（DPO）の指名／任命が義務付けられています。ただし、すべてのDPOにNPCへの登録義務があるわけではありません。以下のすべてに該当する場合には、NPCに登録する義務があります。

• 事業者の従業員数が250人以上
• 少なくとも1000人の機微個人情報を含む記録を「処理」する
• 事業者による個人情報の処理が、「データ主体の権利および自由に対するリスクをもたらす可能性がある」、または「臨時に実施されるものではない」と判断される

最後の基準については、データ主体や処理される個人情報の数／量にかかわらず、登録義務の対象となるとNPCが考えるセクターがNPCのガイドラインに記載されています。重要と考えられるこれらのセクターは以下の通りです。

• 政府機関
• 銀行およびノンバンク金融機関
• 電気通信事業者およびインターネット・サービス・プロバイダー
• BPO企業
• 大学をはじめ、すべての学校および研修機関
• 病院、診療所、その他の医療施設
• 保険会社および保険仲立人
• ダイレクトマーケティングおよびネットワーキングに関与する事業者、およびポイントカードやロイヤルティプログラムを提供するその他の企業
• 研究に従事する製薬会社
• これらの重要セクターのいずれかに属する個人情報管理者のために、個人データを処理する個人情報処理者

特定の形態のデータ処理システムは、DPOとは別途に、NPCに登録する必要があります。NPCが新たな登録ポータルを開設したことを受け、NPCの登録要件を満たすためには、DPOとDPS双方の詳細情報の提出要件を遵守しなければならなくなりました。

最後に、フィリピンDPAに違反した場合、禁固刑と罰金が科されます。罰則として禁固刑を規定するデータ保護法は稀ですが、同法はその一つです。機微個人情報が関与している場合は、より厳しい罰則が科されます。

100人以上の個人情報が影響を受けた場合には、最高限度の罰則が課されます。NPCや関係者が、禁固刑の撤廃を含むフィリピンDPAの改正の提案に取り組み始めていましたが、新型コロナウイルス感染症のパンデミックのために中断されています。

ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)

22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
30th Street, Crescent Park West, Bonifacio Global City
Taguig, Metro Manila, Philippines
電話番号: (632) 88308000
Eメール: accra@accralaw.com
www.accralaw.com