データ保護法の比較:フィリピン

    0
    88

    中国

    インド

    タイ

    フィリピンにおける情報保護法

    フィリピンの個人情報保護法(DPA)は、あらゆる種類の個人情報の処理および、個人情報管理者または処理者を問わず、それに関与するあらゆる自然人または法人に適用されます。

    フィリピン国内で設立されていない場合であっても、フィリピン国内にある設備を使用している場合、またフィリピン国内に事務所、支店、代理店を構えている場合は、個人情報保護法の第4条に記載される特例の対象となり、個人情報管理者(PIC)および個人情報処理者(PIP)に対して同法が域外適用されます。

    個人情報

    個人情報とは、「媒体への記録の有無を問わず、その情報を所有する事業体によって、個人の特定が明らかもしくは合理的かつ直接的に確定しうるもの、または他の情報と合わせることにより直接的かつ確実に個人を特定するあらゆる情報」を指します。

    また、本保護法は、年齢、民族、婚姻の有無、肌の色、信教、哲学または政治的信条に関する情報、個人の健康状態、学歴、遺伝または性生活、犯罪歴・犯罪容疑に関する情報、政府機関が発行する身分証明書、健康の記録、納税申告書などのセンシティブ個人情報と、個人情報を区別しています。また、裁判所規則に基づく秘匿特権情報、つまり、弁護士と依頼人との間の開示情報も、センシティブ個人情報とみなされます。

    統治原則

    Enrique Dela Cruz, DivinaLaw
    Enrique Dela Cruz
    シニアパートナー
    DivinaLaw(マカティ市)

    データ処理とは、本法で定められているように、「データの収集、記録、整理、保存、更新または修正、検索、参照、使用、統合、遮断、消去または破壊を含むが、それに限らない個人情報の運用、あるいは一連の運用」を指します。

    本個人情報保護法の第11条、12条に基づく要件に準拠している場合、個人情報を処理することができます。第11条に基づき、処理については、透明性、正当な目的、比例性を遵守しなければなりません。第12条には、処理が許可されるのは、処理が法律によって禁止されておらず、また、データ主体の同意があるか、もしくは契約の履行または法的義務の遵守のために必要であるなど、少なくとも1つの条件が存在する場合に限る、と明記されています。

    センシティブ個人情報の処理は、以下の除外事項に該当しない限り、一般的に禁止されています。除外事項には、データ主体が同意した場合、現行法令で許可されている場合、データ主体またはその他の人の生命および健康を保護するために必要であるが、データ主体が同意を表明することができない場合、公的機関およびその団体の法的に正当かつ非営利的な目的を達成するために必要な場合、治療のために必要な場合、訴訟手続きにおける自然人または法人の法的な権利および利益の保護のために必要な場合、法的要求の確立、行使、または保護を目的とする場合、もしくは政府または公的機関に提出される場合などが含まれます。

    最後に、2017年8月に発表された、国家プライバシー委員会(National Privacy Commission:NPC)のアドバイザリー・オピニオンによって、同意の表明方法が明確になりました。

    これにより、「沈黙、あらかじめチェック済みのボックスまたは不作為は、同意を構成するものとしてはならない」と規定するEU一般データ保護規則の前文32項を引用し、黙示同意や推定同意が有効ではないことが強調されました。

    データ主体の権利: 個人情報保護法(DPA)の第16条に基づき、データ主体は以下の権利を有します。

    • 自動意思決定やプロファイリングの存在など、個人情報の処理について知る権利、
    • さらに、これには、データ主体の個人情報の販売先や開示先、また処理された個人情報の内容を知る権利も含まれます。
    • アクセスする権利、
    • 処理に対して異議を述べる権利、
    • 削除または遮断する権利、
    • 破壊する権利、
    • 消耗性および適時性の要件に従い、苦情を申し立てる権利、
    • 修正する権利、および
    • データポータビリティの権利。

    データ保護責任者. 個人情報管理者(PIC)は、個人情報保護法に基づくコンプライアンスについて責任を負うデータ保護責任者を任命しなければなりません。

    登録.人情報保護法を履行するための規則や規定では、以下の場合に、組織の個人情報処理システムの登録を義務付けています。

    • 1,000人以上のセンシティブ個人情報を取り扱う場合、
    • 個人情報管理者または個人情報処理者が250人以上の人員を雇用している場合、
    • 雇用人員は250人未満であるが、定期的に個人情報を取り扱う場合、
    • 雇用人員は250人未満であるが、情報の取り扱いによって、データ主体の権利や自由にリスクが及ぶ恐れがある場合。

    個人データ移転:個人情報管理者は、第三者に移転する個人情報に対して責任を負っています。

    個人データ漏洩: 個人情報管理者または個人情報処理者は、個人情報の漏洩が発生した場合、その発見から72時間以内に、国家プライバシー委員会(NPC)および被害を受けたデータ主体に通知しなければなりません。

    適切な更新

    以下は、最近、個人情報保護法(DPA)の適用対象となったものです。

    Ian Jerny De Leon, DivinaLaw
    Ian Jerny De Leon
    ジュニアパートナー
    DivinaLaw(マカティ市)

    接触追跡アプリ:国家プライバシー委員会は、以下の点を明確に表明しています。接触追跡アプリでは、「ユーザーが、デジタル接触追跡の開始、中止を選択できなければなりません。またアプリの使用は任意でなければならず、データ主体はいつでも同意を取り消すことができます。(中略)アプリに異なる目的がある場合は、個別に同意を得なければならず、その目的についてユーザーに事前に説明する必要があります。」

    従業員調査:国家プライバシー委員会のアドバイザリー・オピニオンNo.2018-084に基づき、会社が支給するコンピュータ上での社員の監視は、「その情報の取り扱いが、個人情報保護法の12条および13条、またそのいずれかに基づく個人情報の合法的な取り扱い基準のいずれかに該当する場合、同法に基づき許可される場合があります。」

    同オピニオンによって、以下の点も明らかにされています。「内偵調査」は認められておらず、「従業員に対して、コンピュータの監視を実施すること、監視の具体的な目的、範囲、実施方法、個人情報保護のための安全対策、ならびにデータ主体である従業員の権利が侵害された場合の補償手続きについて説明することは、雇用主の義務です。(中略)コンピュータ上の監視、または従業員の監視を実施する雇用主はすべて、直接収集されたデータは、確実に監視の目的に沿っており、また組織のニーズや目的に明確にかなっていることを徹底しなければなりません。」

    国家プライバシー委員会は、後日、公衆衛生緊急事態(public health emergency)に関する広報第14号で、企業が支給する機器に、勤務を監視するソフトをインストールすることは可能であるが、雇用主は、そうしたソフトの存在について、従業員に通知し、プライバシー影響評価を実施し、リスクおよび緩和策を決定し、さらに従業員の監視にプライバシーの侵害度の低い手段を使用しなければならない、と明確に説明しました。

    Terence Mark Arthur Ferrer, DivinaLaw
    Terence Mark Arthur Ferrer
    シニアアソシエイト
    DivinaLaw(マカティ市)

    説明を加えると、監視の手段については、あくまで本来の目的に沿ったものでなければなりません。従って、仕事中に画面から離れないよう要求することは、行き過ぎであると見なされます。監視の手段については、「適正、妥当、適切、かつ必要なものでなければならず、度を越えてはなりません。」

    Eラーニング:国家プライバシー委員会(NPC)は、「オンラインクラスでは、教師は生徒のプライバシー、平等な扱い、特性に常に考慮する必要がある」、と提言しています

    NPCは、オンラインクラスでのウェブカメラの使用を任意とすることを提言していますが、テレビ会議がオンラインでの試験監督時に役立つことも理解しています。NPの勧告によれば、教師は、生徒と学校双方のメリットのバランスを考えなければならず、また常に生徒から明確な同意を得ることが必要です。

    さらに、NPCは、教師に対して、成績や宿題の結果などの個人情報を公表することのないよう注意しています。教師は、個人情報が保護され、個人のアカウントまたは機器に保存されるように徹底しなければなりません。

    また、課題や宿題を提出する代替手段を許可するとともに、ウェブカメラの不使用や、目を合わせないことを咎めず、生徒にウェブカメラの電源を入れるよう強要してはなりません。

    ワクチン接種証明書:民間施設では、ワクチン接種記録を提示しない場合、入場を拒否することができます。民間施設へのアクセスについては、当該施設の所有者が課す同意や条件の対象となります。しかし、ワクチン接種記録には、センシティブ個人情報が含まれているため、民間施設は、その開示をデータ主体に強要することができません。

    各官庁が基本的な行政サービスに関して、ワクチン接種記録の提示を義務付けることについては、現時点では議論の余地が大いにあります。なぜなら、これによって、基本的な行政サービスを利用するために、ワクチン接種が市民の間接的な義務となってしまうからです。しかし、ジェイコブソン対マサチューセッツ州の訴訟では、連邦最高裁判所は、州の警察権の下で、州政府は強制予防接種法を制定することができるとする判決を下しました。

    監視広告:国家プライバシー委員会(NPC)は、「公開されている個人情報は、何の規制もなく、いかなる目的に対しても、自由に利用あるいは開示することができるとするのは誤った認識である」と強調しています。

    また、マーケティング担当者は、公表されている情報源から取得した潜在顧客の個人情報を管理する立場にあると、NPCは明確に表明しています。従って、マーケティング担当者は、個人情報保護法が規定している、個人情報、センシティブ個人情報、秘匿特権情報の取り扱いについて、法律で定められた基準に従わなければなりません。

    DivinaLaw Logo

    DIVINALAW
    8/F Pacific Star Building
    Sen. Gil Puyat Ave. cor. Makati Ave.,
    Makati City, Metro Manila – 1200
    The Philippines
    電話: +632 8822 0808
    Eメール: info@divinalaw.com

    www.divinalaw.com