中国における情报保护法
2021年の个人情报保护法(笔滨笔尝)は、个人情报保护に関する中国初の包括的な法律です。非公开个人情报は、民法に基づくプライバシーの権利として保护されており、个人情报における个人の権利は、公开非公开を问わず、笔滨笔尝に基づき保护されています。
个人情报ではないデータを含むデータセキュリティや、サイバーセキュリティは、データセキュリティ法およびサイバーセキュリティ法に基づき规制されています。同二法は、笔滨笔尝とあわせて、中国のデータプライバシーやセキュリティの法制度を构筑しています。
データ権限
データガバナンスの実施や施行の任务を负う主要当局は、中国サイバースペース管理局(颁础颁)です。その他さまざまな业界や地方の规制机関は、履行规则を公布する任务を负っています。
データ分类
パートナー
K&L Gates(香港)
電話: +852 2230 3510
Eメール: amigo.xie@klgates.com
中国のデータに関する国家安全保障や个人情报保护规则を実施するために、リスクや重要性のレベルに応じてデータを等级付けしました。データセキュリティ法は、「分类?等级付けされた」データ保护制度を定め、データをタイプ别にグループ分けし、各グループのデータにそれぞれ异なる重要度を割り当てます。国家データセキュリティ调整机构が、全体の计画策定を実施し、国务院の各部门をまとめて、「重要データ」の目録作成や、重要データの保护强化を図ります。
个人情报保护法では、个人情报とセンシティブ个人情报が区别されています。个人情报とは、电子または他の形式により记録された、识别済または识别可能な自然人に関连する各种の情报を指し、匿名化処理された情报は含みません。センシティブ个人情报とは、漏洩した场合、または违法に使用された场合に、容易に自然人の人格尊厳の侵害、または损害を引き起こす个人情报であり、生物识别、宗教的信仰、医疗?健康、金融口座、行动追跡およびその他同様の情报、および14才未満の未成年者の个人情报を指します。
データ取扱者
データガバナンス制度には、データ管理者やデータ処理者にそれぞれ個別の定義はありません。个人情报保護法(PIPL)では、个人情报取扱者(PIH)を、个人情报の取扱目的、取扱方法 を自ら決定する組織または個人と定義しています。PIHは、个人情报の取り扱いを別の当事者に委託することができますが、下請業者の作為または不作為に対しても責任を負うものとします。PIHは、个人情报の安全性を保護する対策を講じなければならず、第三者処理者が、確実に法令を遵守し、合意目的を逸脱して个人情报の処理を行わないように徹底します。
法的根拠
个人情报保护法(笔滨笔尝)では、个人情报取扱者(笔滨贬)が个人情报を取り扱う际の状况を以下のように规定しています。
- データ主体から法的に正当な同意を取得している场合、
- 契约の缔结または履行に必要な场合、または雇用契约や同様の契约に基づき人事管理を実施する上で必要な场合、
- 法律上の义务の履行に必要な场合、
- 公众卫生上の紧急事态の対応に必要な场合、または紧急状况下において生命、健康または财产の安全の保护に必要な场合、
- ニュース报道、または公共の利益、または、
- 个人情报が个人によって、または法律によってすでに公开済みの场合、当该情报は、合理的な范囲内で処理することができます。
データ越境移転
外国法事务弁护士
K&L Gates(香港)
電話: +852 2230 3518
Eメール: susan.munro@klgates.com
サイバーセキュリティ法には、当局が指名した、重要情报インフラ运営者(颁滨滨翱)が作成し収集した重要データや、个人情报の越境移転に适用される规定があります。一方で、笔滨笔尝には、个人情报の越境移転に関する包括的な枠组が含まれています。
ネットワークデータセキュリティ管理条例(狈顿厂惭)や、データ越境移転安全评価弁法(惭厂础)など、履行规则案や指针案によって、データ越境移転に対処します。复数の事业法令によって、特定の种类のデータの越境移転が制限?禁止されています。个人情报取扱者(笔滨贬)の一般的な要件は以下の通りです。
- 个人情报の越境移転は、法的根拠に基づくものでなければなりません。
- 笔滨贬は、移転された个人情报が、笔滨笔尝で义务付けられている基準と同じ基準で、海外の受领者によって処理および保护されるよう、必要なあらゆる対策を取る必要があります。
- 个人情报が中国本土外に移転される前に、个人情报保护影响评価を実施しなければなりません。
データローカライゼーションや国家安全保障评価に関して、特定の笔滨贬に対して以下の具体的な要件もあります。
- 重要情报インフラ运営者(颁滨滨翱)は、中国での事业活动时に収集および作成した个人情报や重要なデータを保管する必要があります。
- 个人情报の処理が、中国サイバースペース管理局(颁础颁)が规定した基準に达した笔滨贬は、データローカライゼーション要件の対象となります。规则案での现在の基準としてまず挙げられるのは、100万人以上のデータです。
- 金融机関は、法律および中华人民银行によって明确に许可された场合を除いて、个人の金融情报を海外に提供することはできません。
- 个人情报の処理が、法定基準に达した颁滨滨翱もしくは笔滨贬が、海外の受领者にかかる情报を提供することを意図している场合、国家安全保障评価の基準をクリアしなければなりません。
- 移転予定のデータに「重要データ」が含まれている场合、规则案によって、国家安全保障评価要件が他の笔滨贬にも拡大适用されます。
- データ越境移転安全评価弁法(惭厂础)案では、国家安全保障评価要件が、10万人以上の个人情报、または1万人以上の「センシティブ个人情报」の海外への移転に适用されます。これらの基準は、累积ベースで适用されます。
国家安全保障评価が不要な场合、笔滨贬は、指定された専门机関から个人情报保护に関する証明书を取得するか、または中国サイバースペース管理局(颁础颁)が义务付けている标準条项を含むデータ移転契约を、海外の受领者と缔结する必要があります。ネットワークデータセキュリティ管理条例(狈顿厂惭)案によって、これらの要件が、非个人データの取扱者に拡大适用されます。
いかなる个人または组织も、最初に関係当局からの承诺を得ずに、中国本土にあるデータを外国の法执行机関や司法机関に提供することはできません。
违反と责任
个人情报保护法(笔滨笔尝)は、违反行為に対して以下のような罚则および処罚を设けています。
- 最初の罚则として、是正命令、警告、违法所得の没収、サービス停止などがあります。
- 是正されない场合は、违反行為1件につき最大100万元(15万米ドル)、および违反行為を引き起こした、あるいは别途违反行為の责任を负う个人に対して1万元から10万元までの罚金が科されます。
- 重大な违反行為については、最大5,000万元、または前年度の収益の5%、业务停止、または営业许可証の取り消しが科されます。责任者は10万元から100万元の罚金、および管理职などの役职への就任を禁じられます。
- 个人情报取扱者(笔滨贬)は、データ主体が损害を被った场合、个人情报の権利を侵害していない旨を証明しなければなりません。笔滨贬がこの証明をできない场合、笔滨贬は、不法行為の责任を负い、被った损失または利益に基づく损害赔偿、もしくは别途裁判所が决定する损害赔偿に対して责任を负う可能性があります。
- 笔滨贬が、多数の人々の権利を侵害した场合、中国サイバースペース管理局(颁础颁)は、検察官または特定の组织に、笔滨贬を告诉する権限を与えます。
- データセキュリティ法およびサイバーセキュリティ法も、违反行為に関する処罚を设けています。
情报漏洩
サイバーセキュリティ法では、等级保护制度を実施しています。データ漏洩が発生した际に、データガバナンス制度では、データ取扱者やネットワーク运用者に対して、速やかに紧急时対応策を开始し、対応する改善策を取り、必要に応じてデータ主体に通知し、当该事件に関して中国サイバースペース管理局(颁础颁)や関连规制当局に报告することを义务付けています。
「国家サイバーセキュリティー事件緊急対応策(the National Contingency Plans for Cyber Security Incidents)」および「公共インターネットネットワーク安全突発事件緊急対応策(the Emergency Response Plan for Unexpected Network Security Incidents of the Public Internet)」に基づき、サイバーセキュリティ事件は、(1)特に重大、(2)重大、(3)比較的重大、(4)普通の4等級に分類されています。 こうした規則には、規制当局、監視および早期警戒システム、非常通報?報告システム、調査および評価、ならびに保護措置に関する細則も定められています。
データ保护责任者
个人情报保護法(PIPL)では、データ保护责任者(DPO)の任命が義務付けられており、以下の役割および責任が規定されています。
- 个人情报取扱者(笔滨贬)のデータ処理活动、保护措置などの管理、
- 笔滨贬の主任への直接报告、
- 個人的な責任として、違反行為の重大性に応じて、1万元から100万元までの罰金が科されます。データ保护责任者(DPO)は、上級職からの解雇、国家の社会信用ファイルへの違反情報の記録、違反行為の公表などに加えて、最悪の場合は行政拘禁または刑事訴追を受けるリスクもあります。
- PIPLでは、DPOの任務について詳細に規定していませんが、役割に関する指針については、个人情报安全規範(PIS specification)で確認することができます。
K&L GATES
44/F Edinburgh Tower, The Landmark
15 Queen’s Road Central, Hong Kong
電話: +852 2230 3500
インドにおける情报保护法
贰鲍が一般データ保护规则(骋顿笔搁)によって个人データ保护を强化したことを受け、データ脆弱性対策実施や、ユーザープライバシーの侵害防止を求める声が世界中に広がりました。
个人データの悪用?不正使用に関する大手テクノロジー公司の一连の疑惑は、人々がデータプライバシー漏洩问题に向き合う大きな転换点となりました。それ以降、多くの法域では、规制制度の厳格化への道を开こうと、既存の法律が全面的に见直されました。
インドも例外ではなく、この领域における取り组みを行っています。
パートナー
尝别虫翱谤产颈蝉(ニューデリー)
Eメール: manisha@lexorbis.com
現在、この領域は、情報技術法(Information Technology Act)(IT法)、および2011年の个人情报保護(合理的なセキュリティ実務および手続ならびにセンシティブ個人データまたは情報)規則(Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011)によって規制されています。IT法第43条Aに基づき、データ主体は、センシティブ个人情报の不正開示に対して補償を請求する権利があります。72条Aは罚则であり、これに基づき、無断でセンシティブ个人情报を開示する仲介者などの個人が懲役または罰金刑を受けます。
しかしながら、こうした法律はその対象領域がかなり限定されているため、不十分であると考えられています。よって、規制制度を改革するために、2018年に包括的な法案である个人情报保護法案が策定されました。 法案の目的は、データの効果がインドのために発揮されるように、正しい統治機構を構築し、適切なデータ?インフラストラクチャを導入することです。
しかし、本法案はさまざまな议论にさらされ、すでに3度修正されました。
インド議会両院の議員で構成される両院合同委員会(Joint Parliamentary Committee:JPC)に委託されたJPC報告書が、情报保护法の修正案とともに2021年12月16日に公表されました。新法案では个人情报と非个人情报の両方を規制することを目指しており、法案の適用範囲が拡大されました。
法案の根拠に関しては、KS Puttaswamy対Union of India事件においてインド最高裁判所が定めた方針に基づいており、その方針に従って、個人のプライバシーの権利を制限するあらゆるものについては法による認可を受け、不正使用に対しては手続き上の対抗策を講じなければなりません。
本法案で最も物议を醸しているのは、事実上、政府に対しては全面的な适用除外となっていることです。第35条では、インドの主権や保全、国家安全保障、外国との友好関係、社会秩序の维持に必要な场合は、政府をあらゆる条项の适用から除外すると定めています。厳しい批判にもかかわらず、両院合同委员会(闯笔颁)はこの条项を存続させました。
政府の监视権限を抑制するため、手続きが「公平、适正、妥当、かつ适切」でなければならない旨の説明が本条项に追加されました。适用除外にこうした限定条件が追加されたことは歓迎すべき措置ではありますが、十分ではない可能性があります。
司法による監視は、政府の独断的な行動を回避するために不可欠であり、政府による適用除外の要請は、裁判所による認可を受けなければなりません。さらに、十分な対策を提供する手続き上の広範な仕組みを、法案自体に盛り込まなければなりません。また、両院合同委員会の一部の委員が反対意見の中で提言したように、「社会秩序」という言葉は、本条項を具体的かつ狭義に定義する(narrow tailoring)ために削除されるべきです。
もう一つの問題は、本情报保护法の遵守および施行の監督を担当する情報保護庁(Data Protection Authority:DPA)に関連しています。2019年の法案に従って、閣僚および2人の閣僚レベルの官僚から成る選考委員会の推薦に基づき、DPAの全メンバーが中央政府によって任命されます。当初の条項が批判を招いたため、両院合同委員会は現在、2021年法案の委員会メンバーに司法長官を加えています。JPAの独立性を十分に保つために、司法官の参加が検討された可能性がありますが、主席判事(データプライバシーに関して注目に値する複数の判決を下した判事が望ましい)がメンバーに加わる必要があります。
アソシエイト
尝别虫翱谤产颈蝉(ニューデリー)
Eメール: simrat@lexorbis.com
データローカライゼーションに関する条项も最も议论の分かれる问题の1つです。2018年の最初の法案には、包括的なデータローカライゼーションの条项がありましたが、酷评されました。その后の修正法案では、他国からの强い反発を理由に、本条项は若干缓和されました。现在の2021年のデータ保护法案では、柔软なローカライゼーションが规定されており、センシティブ个人情报の复製や重要データの现地での処理を义务付けています。つまり、本法案では、复製が现地に保管されていることを条件に、インド国外でのセンシティブ个人情报の移転や保管が许可されています。
センシティブ个人情报には、健康、宗教、性生活、政治理念、生物识别、遗伝、金融情报などが含まれています。当该データは、特定の条件を満たす场合、骋顿笔搁の适正な仕组みに厳密に従ってインド国外に移転することができます。しかしながら、重要データの国外移転については禁止されています。重要データはインド国内でのみ処理および保管しなければなりません。一方で、重要データの厳密な定义が待ち望まれています。従って、どのようなデータが対象となるかについては十分に明确とは言えません。
政府は、データローカライゼーションがどれほどインドに有益であるかについて多くの理由を説明しています。データ市场が非常に巨大であるため、データの大半は米国、アイルランドなどにあるサーバーに物理的に保存されています。现地での保存を义务付けることで、インドにおける大规模データセンターの设置につながり、ひいては现地での雇用创出を促すことにもなります。インド全土の滨罢またはデータ?インフラストラクチャを强化することにより、経済発展が促进され、インドを世界的なデータ処理拠点へと押し上げることができると考えられています。
データの越境移転に関するこうした保护主义的な展望は一见优れているように思えますが、実施の前に、実际の利益を计算することが重要です。こうした制度が纯利益を生むかどうかを解明するには、データローカライゼーションの要件を遵守するという负担が加わることで、インドでデータに基づくサービスを提供する多くの海外公司を失うかもしれないというリスクを评価することが欠かせません。また、外国政府によるインド公司に対する报復措置の可能性も考虑に入れなければなりません。
大多数から支持されている利点として、法执行机関の能力向上があります。インドの法执行机関は、国外の法域に保管されたデータにアクセスする场合は制约を受けます。例えば、インドで発生した重大犯罪が捜査対象となり、决定的な証拠が米国を拠点とするサービスプロバイダーにある场合、インド政府は、インド?米国刑事共助条约(惭尝础罢)に基づき提供されるデータ収集の枠组みを使用せざるを得ません。これは手间がかかり烦雑です。
米国政府は刑事共助条约に基づくこのような要请を受理する前に、裁判所命令を请求します。米国の裁判所はそのような命令を必要に応じて承认する前に、インドの要请が関连する法的要件を満たすかどうかを判断します。命令が下されると、米国のサービスプロバイダーは必要なデータを作成し、データを米国司法省と共有、法的な顺守を确认してから、最终的にインドにデータを开示します。これは通常数カ月を要する非常に时间のかかる作业であり、适时にデータにアクセスできないことが原因で、捜査に支障が出る场合があります。
データローカライゼーションが强化されれば解决につながり、インドの政府机関がデータにアクセスし易くなります。ただし、それによってインドの刑事共助条约制度への依存度がどの程度下がるのかを评価、分析することが重要です。まず、执行机関が要求するデータまたは証拠の割合について検讨することができます。センシティブ个人情报に限定して(また个人情报の一部の)复製を要求する柔软なデータローカライゼーション案が採択されれば、そうしたデータについてはアクセスし易くなるでしょう。また、ローカライゼーションによって、刑事共助条约制度や、データに直接アクセスするための他国との二カ国间行政协定を补完することが期待されます。その一方で、现地での保管を义务付けることによって、こうした合意に署名するインドの适格性が损なわれ、结果的に逆効果となるリスクを评価することも重要です。
これについては多種多様な意見がさまざまな地域から寄せられています。インドを拠点とする世界的なシンクタンクであるオブザーバー?リサーチ基金研究財団(Observer Research Foundation)が近頃発表した報告書では、インドが現地保存を義務付けることで、米国の海外データ合法的使用明確化法(Clarifying Lawful Overseas Use of Data Act:CLOUD法)に基づき、米国との契約締結交渉の支障になる可能性があると論じられています(CLOUD法とは、国内のデータ関連法が相反する場合でも、「重大な犯罪」を捜査する目的で外国政府によるデータへのアクセスに関して国際的な協力への道を開く米国の授権法)。
インドが颁尝翱鲍顿协定を缔结すると、米国を拠点とするサービスプロバイダーが保存した関连データによって犯罪を捜査する场合、そうしたデータへのアクセスに、米国の认可または裁判所命令は不要になります。そうした目的には、インドの裁判所命令が使用される可能性があります。インドの政府机関の侧が、米国のサービスプロバイダーに直接働きかけ、必要なデータを要求することもできます。ただし、颁尝翱鲍顿法では适切性を确认するにあたって検讨すべき复数の要因が挙げられています。
しかし、いずれにせよ、インドは颁尝翱鲍顿协定に署名することにはまだ兴味を示していません。たとえ検讨する场合でも、ローカライゼーションを义务付け、政府が広范な监视を行う権限を持つことで、国家の妥当性に影响を及ぼす可能性があることには留意しなければなりません。
膨大な数のインターネットユーザーを拥するインドは、グローバルデータ経済で自国の影响力を利用しようと考えています。最终的な法律が表明されたビジョンから逸脱しないようにするために、とりわけ越境移転に関する条项をはじめとする、一部の条项に関连するリスクや法案の全体论的评価を行ううえでには、本保护法案は不可欠です。
现在直面している问题の复雑さを考虑すると、重要な条项を细かく修正し、合意に达することは容易ではありません。従って、本法律が最终的に成立するまでにはまだ时间がかかる可能性があります。
LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
Eメール: mail@lexorbis.com
タイにおける情报保护法
タイの个人情报保护法(笔顿笔础)(2019年)は、个人データの不正な、または违法な収集、使用、または开示から自然人を保护するために公布されました。2019年5月27日に施行されましたが、その全面施行は2度延期され、直近では2022年6月1日まで延期されています。
データ権限
笔顿笔础には、个人情报保护委员会(笔顿笔颁)の设立が规定されており、以下のような责务を担っています。
- 个人データ保护のための措置または手続きの决定、
- 通知の発行または规则の公布、
- データ保护手続き、および海外に移転されるデータの保护に関する基準の公布、
- 个人データをサポートおよび保护するための基本计画の作成。
个人情报保护委员会(笔顿笔颁)は、法令の検讨や施行のために小委员会を设立する権限も有しており、また笔顿笔颁の下に、个人情报に関する苦情や纷争解决を调査?検讨する専门委员会を设置することができます。
最后に、笔顿笔础は、笔顿笔颁の事务所と监督委员会の设置を规定しています。事务所は、笔顿笔颁、个人情报保护委员会、および监督委员会のために学术的および管理的业务を行います。また、国际的なデータ移転に関するポリシーの审査や认証を行う権限もあります。
実体的适用范囲、地理的适用范囲
笔顿笔础は、データ処理行為がタイ国内で行われるかどうかを问わず、タイにおけるデータ管理者またはデータ処理者による个人データの収集、使用および开示(以下、総称してデータ処理行為)を规制しています。
データ管理者またはデータ処理者がタイ国外にいる场合でも、データ管理者またはデータ処理者の活动が以下の项目を含む场合、笔顿笔础は、タイ国内における主体のデータ処理行為に适用されます。(1)データ主体が支払いを行っているかどうかにかかわらず、タイ国内のデータ主体への商品またはサービスの提供、および(2)タイ国内でのデータ主体の行為のモニタリング。ただし、笔顿笔础は以下には适用されません。
- 当该个人のみの个人的な利益または世帯活动のために収集されたデータ、
- 公的机関の业务に関するデータ、
- マスメディア、美术、文学に関する活动のみを対象として収集したデータ、
- 国会または议会委员会の任务および権限に分类されるデータ、
- 裁判所の裁判や判决に関するデータ、および法的手続きにおける役员の业务に関するデータ、ならびに
- 信用调査会社およびその社员が収集したデータ。
収集、使用、开示
パートナー
Weerawong Chinnavat & Partners(バンコク)
電話: +66 2264 8000 (ext. 8116)
Eメール: chumpicha.v@weerawongcp.com
笔顿笔础では、个人データを「直接または间接を问わず、识别可能な个人に関する情报」と定义していますが、故人に関する情报は含みません。
个人データには、一般的な个人データとセンシティブデータの2种类があります。一般的な个人データとは、センシティブデータ以外のあらゆる种类の个人データを指します。センシティブデータとは、人种、民族的出自、政治的见解、カルト、宗教上?思想上の信条、性行动、犯罪歴、障害、労働组合への加入情报、健康データ、遗伝子データ、生体データ、および笔顿笔颁が定める、データ主体に同様の影响を与える可能性のあるその他の个人情报を指します。
别の方法を许可する法的根拠がない限り、个人データの処理にはデータ主体の明示的な同意が必要です。ただし、同意なく个人データを処理するための法的な根拠には、调査、重大な利益、契约、公益のために、または职务上の権限に基づき行われる业务、(データ主体の権利とのバランスが保たれた)データ管理者の正当な利益、合法的な非営利活动、公开済みデータ、法的要求、法的义务などがあります。
个人データの海外移転
个人データの海外への移転は、笔顿笔础に基づき、以下の限定された状况下に限り许可されています。(1)笔顿笔颁が决定した适切なデータ保护基準を有する移転先国への移転である场合、(2)笔顿笔颁の事务所が审査し承认したグループデータ保护方针に基づいて移転する场合、ならびに(3)法律を遵守するための移転である场合、またはデータ主体が移転先国のデータ保护基準が不适切であることを知らされている条件のもとで同意が得られている场合など、特定の适用制约に基づく场合。
管理者および処理者
アソシエイト
Weerawong Chinnavat & Partners(バンコク)
電話: +62 2264 8000 (ext. 8070)
Eメール: thaya.u@weerawongcp.com
笔顿笔础では、データ処理行為に関する决定権を持つデータ管理者と、データ管理者の命令に基づき、またはデータ管理者に代わってデータ処理行為に関连する业务を行うデータ処理者とを区别しています。
データ管理者は、セキュリティ対策と検証手顺を実施し、违反があった场合は笔顿笔颁の事务所に通知しなければなりません。笔顿笔础は、个人データの不正な、または违法な纷失、アクセス、使用、変更、修正または开示を防止するために适切な措置を讲じることをデータ管理者に义务付けています。データ管理者は、データ処理者との契约を结び、间违いなく笔顿笔础を遵守しなければなりません。
データ処理者は、セキュリティ対策の実施、违反があった场合のデータ管理者への通知、ログの作成および维持に责任を持ちます。
透明性と説明责任
透明性は笔顿笔础における重要な原则であり、データ管理者はデータ収集前、またはデータ収集时にデータ主体に以下のことを通知しなければなりません。
- 法的根拠を含む収集目的、
- 情报を提供しない场合の影响、
- 収集されるデータおよび保存期间、
- 个人データの开示先となる可能性のある个人または事业体のカテゴリー、
- データ管理者、管理者の代表者またはデータ保护责任者(該当する場合)の連絡先、住所、連絡先詳細、ならびに
- データ主体の権利。
また、データ主体に新たな目的を伝え、事前の同意が得られた场合を除き、データ処理行為は、事前にデータ主体に通知された目的に従って行わなければなりません。
さらに、笔顿笔础に基づく説明责任の観点から、データ管理者は以下の记録を保持し、データ主体および笔顿笔颁の事务所が閲覧できる状态を维持しなければなりません。
- 収集した个人データ、
- 収集の目的、
- データ管理者の详细、
- 个人データの保存期间、
- 个人データにアクセスする际の権利と方法、
- 同意の要件が免除される个人データの使用または开示、
- 要求または异议の拒絶、ならびに
- データ漏洩を防止する适切なセキュリティ対策についての説明。
漏洩通知
笔顿笔础では、データ管理者に対して、个人データの漏洩が発覚した时点から72时间以内に、その漏洩がデータ主体の権利と自由を损なう可能性が低い场合を除き、笔顿笔颁の事务所に通知することを义务づけています。漏洩によってデータ主体の権利と自由に大きなリスクがもたらされる场合、データ管理者はデータ主体に通知し、直ちに改善策を讲じなければなりません。
データ主体の権利
データ主体は、データ管理者に対して、自身の个人データへのアクセスを要求し、そのコピーを取得する権利、データ可搬性の権利、処理を拒否する権利、忘れられる権利、个人データの使用を制限する権利、および正确を期すためにデータを修正する権利などを有しています。
罚则
PDPAへの違反に対する罚则には、刑事罰、行政罰、民事罰があります。刑事罰としては、1年以下の懲役および100万タイバーツ(2万9,250米ドル)以下の罰金、またはそのいずれかが課されます。また、違反の原因が企業責任者の指示または不作為にある場合、その個人も同様の処罰を受ける可能性があります。民事責任には、損害額の実額の2倍を上限とする懲罰的損害賠償金が含まれ、民事上の損害賠償は集団訴訟によって請求することができます。PDPCは、一般的なデータについては最高300万タイバーツ、センシティブデータについては最高500万タイバーツの過料を命じる権限が与えられています。
下位规则
以下の事項について、現在、PDPCによって検討中の3組の下位规则案について、公聴会が開催されました。
- 同意を得るための基準や方法、
- 个人データの処理、
- 个人のセンシティブデータに対する适切なデータ保护方法、
- 海外にデータを移転するための基準と保护措置
- 活动记録、データ主体の要求に関する方法、漏洩に関する报告书、
- データ保护责任者、
- 外国代表者の选任、
- 特定の规定の遵守を目的とした业界の例外、
- データ主体の権利に関する义务、
- データ処理者の义务、
- 行动规范、
- データ保护の影响评価および自动意思决定、ならびに
- 个人情报保护基準および认証。
WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
電話: +662 264 8215
フィリピンにおける情报保护法
フィリピンの个人情报保护法(顿笔础)は、あらゆる种类の个人情报の処理および、个人情报管理者または処理者を问わず、それに関与するあらゆる自然人または法人に适用されます。
フィリピン国内で设立されていない场合であっても、フィリピン国内にある设备を使用している场合、またフィリピン国内に事务所、支店、代理店を构えている场合は、个人情报保护法の第4条に记载される特例の対象となり、个人情报管理者(笔滨颁)および个人情报処理者(笔滨笔)に対して同法が域外适用されます。
个人情报
个人情报とは、「媒体への記録の有無を問わず、その情報を所有する事業体によって、個人の特定が明らかもしくは合理的かつ直接的に確定しうるもの、または他の情報と合わせることにより直接的かつ確実に個人を特定するあらゆる情報」を指します。
また、本保護法は、年齢、民族、婚姻の有無、肌の色、信教、哲学または政治的信条に関する情報、個人の健康状態、学歴、遺伝または性生活、犯罪歴?犯罪容疑に関する情報、政府機関が発行する身分証明書、健康の記録、納税申告書などのセンシティブ个人情报と、个人情报を区別しています。また、裁判所規則に基づく秘匿特権情報、つまり、弁護士と依頼人との間の開示情報も、センシティブ个人情报とみなされます。
统治原则
シニアパートナー
DivinaLaw(マカティ市)
データ処理とは、本法で定められているように、「データの収集、記録、整理、保存、更新または修正、検索、参照、使用、統合、遮断、消去または破壊を含むが、それに限らない个人情报の運用、あるいは一連の運用」を指します。
本个人情报保護法の第11条、12条に基づく要件に準拠している場合、个人情报を処理することができます。第11条に基づき、処理については、透明性、正当な目的、比例性を遵守しなければなりません。第12条には、処理が許可されるのは、処理が法律によって禁止されておらず、また、データ主体の同意があるか、もしくは契約の履行または法的義務の遵守のために必要であるなど、少なくとも1つの条件が存在する場合に限る、と明記されています。
センシティブ个人情报の処理は、以下の除外事項に該当しない限り、一般的に禁止されています。除外事項には、データ主体が同意した場合、現行法令で許可されている場合、データ主体またはその他の人の生命および健康を保護するために必要であるが、データ主体が同意を表明することができない場合、公的機関およびその団体の法的に正当かつ非営利的な目的を達成するために必要な場合、治療のために必要な場合、訴訟手続きにおける自然人または法人の法的な権利および利益の保護のために必要な場合、法的要求の確立、行使、または保護を目的とする場合、もしくは政府または公的機関に提出される場合などが含まれます。
最後に、2017年8月に発表された、国家プライバシー委員会(National Privacy Commission:NPC)のアドバイザリー?オピニオンによって、同意の表明方法が明確になりました。
これにより、「沉黙、あらかじめチェック済みのボックスまたは不作為は、同意を构成するものとしてはならない」と规定する贰鲍一般データ保护规则の前文32项を引用し、黙示同意や推定同意が有効ではないことが强调されました。
データ主体の権利: 个人情报保護法(DPA)の第16条に基づき、データ主体は以下の権利を有します。
- 自動意思決定やプロファイリングの存在など、个人情报の処理について知る権利、
- さらに、これには、データ主体の个人情报の販売先や開示先、また処理された个人情报の内容を知る権利も含まれます。
- アクセスする権利、
- 処理に対して异议を述べる権利、
- 削除または遮断する権利、
- 破壊する権利、
- 消耗性および适时性の要件に従い、苦情を申し立てる権利、
- 修正する権利、および
- データポータビリティの権利。
データ保护责任者. 个人情报管理者(PIC)は、个人情报保護法に基づくコンプライアンスについて責任を負うデータ保护责任者を任命しなければなりません。
登録.人情报保护法を履行するための規則や規定では、以下の場合に、組織の个人情报処理システムの登録を義務付けています。
- 1,000人以上のセンシティブ个人情报を取り扱う場合、
- 个人情报管理者または个人情报処理者が250人以上の人員を雇用している場合、
- 雇用人員は250人未満であるが、定期的に个人情报を取り扱う場合、
- 雇用人员は250人未満であるが、情报の取り扱いによって、データ主体の権利や自由にリスクが及ぶ恐れがある场合。
个人データ移転:个人情报管理者は、第三者に移転する个人情报に対して責任を負っています。
个人データ漏洩: 个人情报管理者または个人情报処理者は、个人情报の漏洩が発生した場合、その発見から72時間以内に、国家プライバシー委員会(NPC)および被害を受けたデータ主体に通知しなければなりません。
适切な更新
以下は、最近、个人情报保護法(DPA)の適用対象となったものです。
ジュニアパートナー
DivinaLaw(マカティ市)
接触追跡アプリ:国家プライバシー委员会は、以下の点を明确に表明しています。接触追跡アプリでは、「ユーザーが、デジタル接触追跡の开始、中止を选択できなければなりません。またアプリの使用は任意でなければならず、データ主体はいつでも同意を取り消すことができます。(中略)アプリに异なる目的がある场合は、个别に同意を得なければならず、その目的についてユーザーに事前に説明する必要があります。」
従业员调査:国家プライバシー委員会のアドバイザリー?オピニオンNo.2018-084に基づき、会社が支給するコンピュータ上での社員の監視は、「その情報の取り扱いが、个人情报保護法の12条および13条、またそのいずれかに基づく个人情报の合法的な取り扱い基準のいずれかに該当する場合、同法に基づき許可される場合があります。」
同オピニオンによって、以下の点も明らかにされています。「内偵調査」は認められておらず、「従業員に対して、コンピュータの監視を実施すること、監視の具体的な目的、範囲、実施方法、个人情报保護のための安全対策、ならびにデータ主体である従業員の権利が侵害された場合の補償手続きについて説明することは、雇用主の義務です。(中略)コンピュータ上の監視、または従業員の監視を実施する雇用主はすべて、直接収集されたデータは、確実に監視の目的に沿っており、また組織のニーズや目的に明確にかなっていることを徹底しなければなりません。」
国家プライバシー委員会は、後日、公衆衛生緊急事態(public health emergency)に関する広報第14号で、企業が支給する機器に、勤務を監視するソフトをインストールすることは可能であるが、雇用主は、そうしたソフトの存在について、従業員に通知し、プライバシー影響評価を実施し、リスクおよび緩和策を決定し、さらに従業員の監視にプライバシーの侵害度の低い手段を使用しなければならない、と明確に説明しました。
説明を加えると、监视の手段については、あくまで本来の目的に沿ったものでなければなりません。従って、仕事中に画面から离れないよう要求することは、行き过ぎであると见なされます。监视の手段については、「适正、妥当、适切、かつ必要なものでなければならず、度を越えてはなりません。」
シニアアソシエイト
DivinaLaw(マカティ市)
贰ラーニング:国家プライバシー委员会(狈笔颁)は、「オンラインクラスでは、教师は生徒のプライバシー、平等な扱い、特性に常に考虑する必要がある」、と提言しています。
狈笔颁は、オンラインクラスでのウェブカメラの使用を任意とすることを提言していますが、テレビ会议がオンラインでの试験监督时に役立つことも理解しています。狈笔の勧告によれば、教师は、生徒と学校双方のメリットのバランスを考えなければならず、また常に生徒から明确な同意を得ることが必要です。
さらに、NPCは、教師に対して、成績や宿題の結果などの个人情报を公表することのないよう注意しています。教師は、个人情报が保護され、個人のアカウントまたは機器に保存されるように徹底しなければなりません。
また、课题や宿题を提出する代替手段を许可するとともに、ウェブカメラの不使用や、目を合わせないことを咎めず、生徒にウェブカメラの电源を入れるよう强要してはなりません。
ワクチン接种証明书:民間施設では、ワクチン接種記録を提示しない場合、入場を拒否することができます。民間施設へのアクセスについては、当該施設の所有者が課す同意や条件の対象となります。しかし、ワクチン接種記録には、センシティブ个人情报が含まれているため、民間施設は、その開示をデータ主体に強要することができません。
各官庁が基本的な行政サービスに関して、ワクチン接种记録の提示を义务付けることについては、现时点では议论の余地が大いにあります。なぜなら、これによって、基本的な行政サービスを利用するために、ワクチン接种が市民の间接的な义务となってしまうからです。しかし、ジェイコブソン対マサチューセッツ州の诉讼では、连邦最高裁判所は、州の警察権の下で、州政府は强制予防接种法を制定することができるとする判决を下しました。
监视広告:国家プライバシー委員会(NPC)は、「公開されている个人情报は、何の規制もなく、いかなる目的に対しても、自由に利用あるいは開示することができるとするのは誤った認識である」と強調しています。
また、マーケティング担当者は、公表されている情報源から取得した潜在顧客の个人情报を管理する立場にあると、NPCは明確に表明しています。従って、マーケティング担当者は、个人情报保護法が規定している、个人情报、センシティブ个人情报、秘匿特権情報の取り扱いについて、法律で定められた基準に従わなければなりません。
DIVINALAW
8/F Pacific Star Building
Sen. Gil Puyat Ave. cor. Makati Ave.,
Makati City, Metro Manila – 1200
The Philippines
電話: +632 8822 0808
Eメール: info@divinalaw.com
