フィリピンの個人情報保護法は、正式にはData Privacy Act of 2012(DPA)と呼ばれており、その名のとおり2012年にできたものである。しかし、施行規則の制定や監督機関メンバーの選定が遅れ、実質的に運用が開始されたのは、2016年であった。その後も執行状況は厳しくない傾向が続いていたが、2020年後半になってからというもの、監督機関のNational Privacy Commission(NPC)は、積極的に規制を厳しくしようとしている。これは、ヨーロッパのGDPRを端緒に、アジア各国でも対応が迫られているという背景もあるだろう。
Data Protection OfficerとData Processing Systemの登録
今回は、その中でも、Data Protection OfficerとData Processing Systemを登録するための新システムを紹介するとともにどのようにして対応するのかについて、報告する。2021年6月現在、私が知る限り、日本語の文献でここまで解説したものはないと思うので、ぜひ参考にしてもらいたい。
まず、Data Protection Officerは、「DPO」と約され、日本語で言えば個人情報保護責任者ともいうべき人。特に要件はない。しかしながら、DPAへの対応を指揮・管理し、またITのセキュリティ対策も講じる立場であることから、通常は法務やITの責任者がこの役職に就くことが多い。
他方で、Data Processing Systemは「DPS」と略され、簡単に言えば個人情報を管理するシステムやマニュアルを指す。この点、後述するが、当局も具体的にどういったものを想定しているのかあいまいな部分が残っており、このあたりは実務を重ねることで明らかになっていくものと思われる。
登録が必要な会社は?
このシステムは、すべての会社に登録を義務付けるものではない。次の条件のいずれかに該当する場合、登録が義務付けられている:
- 1000人以上のセンシティブ情報(身体、思想、宗教、政治的な情報など)を扱う
- 250人以上の従業員を有する
- NPCが指定する業界、事業に属している
上記3の業界については、NPC Circular 17-01 Attachmentに記載されているとおりで、次のとおり指定されている:
- 銀行
- 通信会社、インターネトプロバイダ
- BPO
- 大学、教育関係
- 病院
- 生命保険、損害保険
- ダイレクトマーケティング
- 製薬
つまりは、個人情報を大量に扱う業界やセンシティブ情報を多く扱う業界が指定されている。
新システム「eRehistro」
NPCが2021年の3月に公表<eRehistro: NPC’s new registration and renewal platform » National Privacy Commission>したものが「eRehistro」である。何の略であるかちょっと不明なのであるが、タガログ語も関係しているようである。
現在は、DPOの登録がNPCへの届出により行われているだけで、DPSの登録は制度として存在していない。NPCは、この新システムにより、DPO、DPSともに登録を義務付けようとしている。
eRehistroアカウントの作成
まず何といってもアカウントを作らないことには、始まらないらしい。
次のとおり情報を入力できればアカウントを作成できる。①から③はさほど難しくはないだろう。④からレベルが上がってくる。
会社によっては、Board決議に時間がかかるということもあるので、前もって計画して取り組む必要がある。
- 社長の氏名、メールアドレス、連絡先
- DPOの氏名、メールアドレス、連絡先と性別
- サイン
- DPO選任に係る、対象会社の取締役会決議書類またはSecretary’s Certificate
Secretary’s Certificateは、取締役会決議(Board決議ともいう)を経ていないと通常書けないはずなので、決議とSecretary’s Certificateはセットでやる必要がある。
通常決議書類には、他の決議事項が含まれており、第三者には見せたくないであろうから、Secretary’s CertificateにDPO選任のことだけ記載して提出するのが良いだろう。 - 会社の登記簿謄本
SEC (Securities and Exchange Commission)やDTI (Department of Trade and Industry)などが発行する、会社の存在を証明する書類を提出する必要がある - 公証を受けたeRehistroの申込フォーム
- 公証は、当たり前だけど社内だけで完結できないので、第三者の公証サービスを使う。
DPSの登録
DPSは日本語で言えばデータ処理システムとでもいうべきもので、大層な電子システムを思い浮かべてしまうが、紙のマニュアルでもシステムと呼ぶらしい。
DPSについては、次の情報を登録することになる:
- DPSの名称
- DPSの種類(紙ベースか、マニュアルか、電子・自動処理システムか、その両方か)
- DPSの目的
- 登録会社がデータコントローラーか、プロセッサーか
(対象会社自身はコントローラーになる。プロセッサーはアウトソース先のこと) - DPSが自動意思決定機能を有するか
- データ処理がアウトソースされているか
- 個人のカテゴリー(従業員、顧客など)
- 個人データのカテゴリー(おそらく、センシティブ情報に該当するかどうかをみるのだと思う)
- 個人情報保護の担当部門の人数
- 第三者に開示されるであろう個人の数
- フィリピン国外に移転するかどうか
個人的には、これくらいの情報はあまり企業にとって負担にならないものと思われる。上記にアンダーラインを引いた部分は、少し時間がかかる可能性もあるので、早めに調べておくと良いだろう。
銀行や通信会社など顧客を多く持つ企業は、登録自体よりも実際の対応で問題を起こさないようにすることがより重要であろう。
これらの規制は、そういった企業に対してポーズ、つまりNPCは「やるときはやるぞ」、という意思表示にも見える。
登録証明書の発行
アカウントの作成を経て、DPO、DPSの登録が完了すると、Certificate of Registration、つまり登録証明書が発行される。これをもってはじめて義務を完了したといえる。
いつからシステムに登録するのか
NPCは、3月にシステムについて発表したものの、いつから使えるようになるのかは2021年6月現在はっきりしていない。
現在のマニュアル的DPO登録が2021年6月末日まで有効であるため、おそらく7月以降のどこかで公開されることになるだろう。企業としては、公開後速やかに登録できるよう準備しておくことである。
登録しなかった場合の罰則は?
罰則はまだ決まっていない。実際、NPCは、ホームページ上のFAQにおいても未定であることを示している。しかしながら、個人情報漏洩の容疑がかけられ、調査が入った場合に、未登録の状況であれば会社としてコンプライアンス体制が不十分だったといわれる可能性は十分ある。こんなつまらないことで、罰金額が増えることも情けないので、きちんと登録を済ませておこう。
なお、今回は、登録実務について解説してきたが、登録はDPA対応の一部であってすべてではない。実際の情報管理やセキュリティ対策こそより重要であるので、形式面が整備出来たら運用にも力を入れていくことが望まれる。
アクションプラン
まこなり社長のように、最後はアクションプランで終わることとする。
アクションプランは次のとおり:
- そもそも登録義務があるのか判断しておく。わからなかったら、NPCに聞く。メールで聞くことは可能(info@privacy.gov.ph)
- DPOを誰にするか決める
- DPOの選任につきBoard決議を行う。Secretary’s Certificateを発行する(Secretaryに頼んで作ってもらう。社内にいなければ社外に頼む)
- DPSに関連する情報に回答できるように準備する
- NPCのホームページを定期的にチェックして、eRehistroの登録手続きを事前に読んでおく
