フィリピンでは、2012年にData Privacy Act of 2012(”DPA”, データプライバシー法)が制定され、2016年にはImplementing Rules and Regulations(“IRR”, 施行規則)が整備された。2020年から、企業への本格導入が始まっている。
適用範囲
DPAは、”Controllers”および”Processors”によるフィリピン国民または居住者の個人情報についてのProcessingに適用される。
- Processing:個人データに対するあらゆる運用をいう。例; 収集、保管、利用、再製、削除。
- Controllers:プロセスされる個人データの種類を決めたり、自己の代わりにプロセスを外部の会社に指示したりする者。
- Processors:データプロセッシングをアウトソースされた者。
DPAで保護される個人情報
- 個人情報または個人が特定できる情報
- Sensitive個人情報(人種、民族、結婚の有無、年齢、宗教、政治、健康、学歴、社会保障番号を含む)
- Privileged情報(弁護士とクライアント間の情報)
プロセッシングの原則ルール
プロセッシングの前に、データ主体によるインフォームドコンセントが必要。Advisory Opinion No.2017-42, the National Privacy Commission (“Commission”)は、暗黙、推測の同意が認識できない場合や、事前にチェックがついている同意が同意とみなされないことを明らかにしている。なお、政府の要請や法的要請に基づき個人情報をプロセッシングする場合は、データ主体に対する通知で足りる。
Controller/Processorとしての一般義務
- データ主体がプロセスされる個人データの性質や範囲を知る権利、収集に反対できる権利、合理的なアクセスや情報の修正、削除ができる権利を確保すること
- 個人データの秘密性や統一性を保護するセキュリティ対策を実施すること。例えば、データプロテクションポリシーの制定、従業員によるアクセス方法を定めるなど。
- Data Protection Officer (DPO)を置くこと。法制に従うことを確実にし、データ主体や政府関係からあがってくる問題へのコンタクトパースンになる。
- 次に該当する会社は、フィリピンで運用するデータプロセスシステムの利用から2か月以内に、当該システムをCommissionに登録すること。年一回の更新あり。
・250人以上の従業員がいる場合。
・250人未満だがシステムが自動意思決定を含んだり、子どもや高齢者などの個人データを含んだりする場合、データプロセッシングそのものがコアのビジネスである場合、また、少なくとも1000人のsensitive個人情報を扱う場合。 - すべてのセキュリティ事故と違反についての年次レポートを作成すること
- Commissionとデータ主体に対し、72時間以内に違反があった旨を知らせること。何が違反となるかの詳細は、Circular No.16-03にある。
データシェアリングとアウトソース
データシェアリングは、ControllerまたはProcessorによる第三者へのデータ移転・開示を含む。この場合は、常にデータ主体によるインフォームドコンセントが必要。たとえ移転・開示先がControllerの子会社や親会社への開示だとしても必要。データシェアリングが商業目的になされる場合は、当事者間でdata sharing agreementを締結する。
Processorsへのアウトソースにおいては、Controllerが個人データの包括的なプロセッシングについての同意をすでに取得できていれば、アウトソースについて改めてデータ主体から同意を取得することは不要。しかしながら、「the Commission in Advisory Opinion No. 2018-05」によれば、privacy notice,、policyや社内コミュニケーションにより、特定の個人データプロセスがアウトソースされることをデータ主体に通知することが必須である。
ControllerとProcessorは、施行規則IRRで示されている事項を最低限盛り込んだアウトソース契約を締結する必要がある。例えば、Processorによるサブコントラクトは、Controllerの同意なしにできないという趣旨の条文を規定することが求められている。
制裁
PHP500,000から4,000,000、6か月から7年の禁固
最大のペナルティが科される場合は、sensitive個人情報を含む違反や、1000人以上に影響が出た場合である。責任部門の役員が制裁を受け得る。
