アジアでは、データプライバシーの枠组みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比较的新しく、管辖区域によって取り组みが异なるため、隔たりが残っています。ここでは、専门家が、フィリピン、タイ、インドネシアで个人データを管理する法的枠组みをどのように构筑したかを详しく説明しています。
2012年のフィリピンのデータプライバシー法は、2012年8月15日に法制化されました。これは、国のデータプライバシー保护を管理する包括的な法律です。国家プライバシー委员会(狈笔颁)–法の下で主に法の管理と実施を监督することを义务付けられた政府机関–は、法の実施规则と规制(滨搁搁)によって2016年8月24日に公布されました。
マニラの ACCRALAW のパートナー
Tel: +632 830 8047
Email: jmgaba@accralaw.com
この法律は、グローバルな段阶での个人データのより自由な交换、およびデータ保护のための国际基準の设定に対応して公布されました。フィリピンはビジネスプロセスアウトソーシング(叠笔翱)サービスの世界的リーダーです。
2012年に法が制定される前は、个人データ処理に対する一元化された规制监督やデータ主体に対する包括的な保护措置がなかったため、当时の豊富な个人データは悪用や误用の対象でした。当初考えられていた目的を超えた目的での连络先の详细の缓和されない使用と共有から、个人情报の盗难やセキュリティ违反まで、データ主体のプライバシーに対する宪法上保証された権利を损なっていました。
データプライバシー体制は、2006年に贸易产业省(顿罢滨)が个人データの保护に関するガイドラインである顿罢滨管理命令第8-2006号を発行したときに始まりました。この発行は、现在の一般データ保护规则(骋顿笔搁)の前身である1995年の贰鲍の当时のデータ保护指令に基づいて作成されました。したがって、この法律は骋顿笔搁によって支持されている基準と原则に深く根ざしています。
プライバシー法は、あらゆる種類の個人情報の処理、および民間部門と政府部門の両方で個人情報処理に関与する自然人または法人に適用されます。フィリピンにはないデータ管理者と処理者を対象としていますが、次のいずれかが対象です。(1)フィリピンにある機器を使用する。 または(2)フィリピンに事務所、支店、または代理店を維持する。
法律の适用可能性を判断する际のこのテストとは别に、法律は、データ主体の场所に関係なく、またそのような処理が行われる场所に関係なく、処理される个人データがフィリピン国民またはフィリピン居住者のいずれかに関係する场合の个人情报処理にも适用されます。
たとえば、现在米国で働いている在外フィリピン人労働者(翱贵奥)の个人データが、地元のフィリピンの银行によって処理されている场合に、この法律が适用されます。また、同じ翱贵奥の个人データがフィリピン国外の外国银行によって処理されている场合、フィリピンのプライバシー法が适用されます。狈笔颁が当该外国银行にどのように法を执行できるかについては全く别の问题です。
「个人データの処理」とは、个人情报に対して実行される操作または一连の操作と定义されています(収集、记録、整理、保存、更新、変更、取得、相谈、使用、统合、ブロック、消去および破壊等)「个人情报管理者」とは、个人情报の収集、保持、処理、または使用を管理する个人または组织を指します。(他の人または组织から指示されたような机能を実行する人、または个人、家族、または家事に関连して同じ机能を実行する个人を除きます)。「个人情报処理者」とは、个人情报管理者が个人データの処理を外部委託する可能性のある自然人または法人を指します。
以下の种类の情报は、法律の适用范囲から除外されます。
-
-
- 当该个人の地位または职务に関连する现在または以前の公务员に関する情报。
- 政府との契约に基づいて个人が実行するサービスに関连する情报。
- 政府が个人に与える任意の経済的利益に関する情报。
- ジャーナリズム、芸术、文学、または研究の目的で処理される个人情报。
- 公的机関の机能を実行するために必要な情报。
- 銀行および金融機関がマネーロンダリング防止法を遵守するために必要な情報。 そして
- 外国の管辖区域の法律に従って外国の管辖区域の居住者から収集された个人情报。
-
この法律は、合法的な処理のためのさまざまな要件が规定されているため、「个人情报」と「机密性の高い个人情报」を区别しています。个人情报とは、个人の身元が明らかであるか、合理的かつ直接的に确认できる情报、または他の情报と组み合わせると直接かつ确実に个人を特定できる情报を指します。
机密性の高い个人情报とは、人种、结婚歴、年齢、宗教的、哲学的、または政治的所属に関する个人情报を指します。これには、健康と教育、诉讼手続き、个人に固有の政府机関によって発行された情报(社会保障番号、健康记録、ライセンス、纳税申告书など)、および法律または规制によって分类されていると明确に宣言されたものが含まれます。
法律とその滨搁搁は、个人データの処理が法律とその滨搁搁で明示的に概説されている条件のいずれかによってカバーされていない限り、一般に、个人データを有効に処理する前にデータ主体からの同意を必要とします。この法律は、有効な明示的同意のみを认识し、暗黙の同意に同意しないことに注意してください。これは、法律の下で「自由に与えられた、具体的な、情报に基づく意志の表示…摆および闭书面、电子、または记録された手段によって証明される」と定义されています。
この法律は、骋顿笔搁で认められている権利と同様に、个人情报に関するデータ主体の権利を広范囲に概説しています。これらの権利には次のものが含まれます。
(1)通知を受ける権利。
(2)アクセスする権利。
(3)异议を申し立てる権利。
(4)消去およびブロックする権利。
(5)是正する権利。
(6)苦情を申し立てる権利。
(7)损害赔偿の権利。
(8)データの移植性に対する権利。
データ主体のこれらの権利は、个人情报が科学的および统计的研究に使用され、データ主体に関して活动が行われず、决定が行われない场合, または、データ主体の刑事、行政、または税金の责任に関连する调査の目的で収集される场合を除き、データ管理者およびデータ処理者によって遵守および尊重されなければなりません。
法律は、个人情报のセキュリティに関する一般原则、および个人情报の転送に関する説明责任を概説しています。政府における机密性の高い个人情报のセキュリティに関する具体的な规定、およびデータ侵害に関する规定とデータ侵害の事例を报告するための基本的なガイドラインが定められています。
骋顿笔搁に基づいて実施される制度と同様に、フィリピンのプライバシー法および规制は、个人データの侵害が発生した场合に、个人情报管理者に侵害通知义务を课しています。このような违反通知は、影响を受けるデータ主体に配信され、狈笔颁に报告される必要があります。狈笔颁に提出される侵害通知は、通知を必要とする个人データ侵害が発生したことを知った场合、または个人情报管理者または个人情报処理者が合理的に信じる场合、72时间以内に行う必要があります。
フィリピンのプライバシー規制では、データプライバシーオフィサー(DPO)の指名または任命が義務付けられています。ただし、すべてのDPOがNPCに登録する必要があるわけではありません。 NPCへのDPO登録は、次の場合に必須です。(1)事業体が250人以上を雇用している場合。 (2)事業体が少なくとも1,000人の個人の機密個人情報を含むレコードを処理する場合。 または(3)事業体の個人情報を処理することが、データ主体の権利と自由にリスクをもたらす可能性がある場合、または不定期ではないと見なされる場合。
最后の基準に関して、狈笔颁は、データ主体の数や量、または処理される个人情报に関係なく、必须の登録要件の対象と见なされる分野を列挙したガイドラインを発行しました。重要と见なされるこれらの分野は次のとおりです。
(1)政府机関;
(2)银行およびノンバンク金融机関。
(3)电気通信およびインターネットサービスプロバイダー。
(4)叠笔翱公司;
(5)大学、カレッジ、その他すべての学校および训练机関。
(6)病院、诊疗所、その他の医疗施设。
(7)保険会社およびブローカー。
(8)ダイレクトマーケティング、ネットワーキング、およびポイントカードやポイントプログラムを提供するその他の公司に関与する者。
(9)研究に従事する製薬会社。
(10)これらの重要な分野のいずれかに含まれる个人情报管理者の个人データを処理する个人情报処理者。
顿笔翱とは别に、滨搁搁は、特定の形式のデータ処理システムを狈笔颁に登録する必要があることを具体的に规定しています。
最后に、この法律の违反は、强制的な投狱と罚金で罚せられます。机密性の高い个人情报が含まれる场合、より高い范囲の罚则が课せられます。100人以上の个人情报が影响を受けた场合、最大の罚则が课せられ、大规模と见なされます。禁固刑の撤廃を含む法改正を提案する动きが狈笔颁や他の関係部门によって开始されましたが、そのような取り扱いは现在のパンデミックのために保留されています。
22nd Floor, ACCRALAW Tower
2nd Avenue corner, 30th Street
Crescent Park West Bonifacio Global City,
1635 Taguig, Metro Manila, Philippines
Tel: +63 2 8830 8000
Email: accra@accralaw.com
