法律

フィリピン個人情報保護法 2021年現在の対応チェックリスト

 

フィリピンの個人情報保護法(Data Privacy Act(DPA))は、2012年9月に施行された。しかしながら、施行規則(Implementing Rules and Regulations (IRR))ができたのは、2016年9月であり、以降、段階的に執行が厳格化されている。今回は、DPA対応のチェックリストを紹介する。

チェックリストの使い方

DPA対応をするといっても、現状は、はじめから100点満点を目指す必要はない。正直、100点の対応をしている会社は稀であるし、そもそも個人情報をあまり扱わない会社であれば70点くらいとれていれば御の字、というのが私の考えである。

そこで、今回のチェックリストは、全部チェックできるにこしたことはないが、必須の項目をこなしたうえで、なお対応できるポイントがないかをチェックすることにも優れている。

今回お伝えするチェックリストは、現在の対応状況に応じて、次のようにお使いいただけると思う。

  1. これからDPA対応を行う会社
    必須項目を対応することに全神経を集中させる。ほかの項目は流してよい。
  2. 少し対応したが、合っているかどうかわからないという会社
    まず必須項目について対応できているかをチェック。あとは現状把握のために、現在どこまでできていて、どの範囲でできていないか、改善すべき点があるかをチェックする。
  3. 必須項目は対応済みであり、あとは何をすればいいかと悩む会社
    全体の項目をチェックし、足りていないところがないか改めてチェックしてほしい。あとは、チェックできても、どれだけしっかりできているかも考えてみよう。

特に対応を気をつけたい会社や業界

フィリピンにおいては、貸金業者などの個人情報を多く扱う会社には執行が厳しい。監督機関であるNational Privacy Commission(NPC)もやたらめったら摘発するのではなく、個人へのインパクトが大きい、センシティブ情報を扱う会社や業界を摘発している。

センシティブ情報は、次のとおり

  • 個人の人種、民族、婚姻の有無、年齢、肌の色、信教、哲学又は政治的信条に関する情報
  • 個人の健康状態、学歴、遺伝若しくは性生活、又は犯罪歴・犯罪容疑に関する情報
  • 公的機関により発行されたソーシャルセキュリティーナンバー、病歴、ライセンスの取得・拒否・取消し・破棄、及び納税申告書等の情報
  • 行政命令又は法律により特に指定された情報

貸金業者をはじめとする金融業者、Amazonのようなオンライン販売業者、病院などの医療系、GRABなどの配車業者、UBER EATSなどのフードデリバリー業者、シェアリングサービス提供会社といった顧客を個人とする業界はかなり気を使って対応すべきだ。形式的に対応できていることはもちろん、実務として事故記録や報告も含めて対応できる組織的な能力も身につけておかなければならない。

チェックリスト

チェックリストは、5つのカテゴリーに分けている。対応が必須の項目については、★マークをつけている。NPCは、今後もOrderを出して細かい対応を促す可能性が高いので、継続して現地情報のウォッチも行っていただきたい。当然、私もアップデートがあれば、ここでお伝えしたい。

(1) Data Protection Officer(DPO, データ保護責任者)の選任、NPCへの登録

  • ★DPOの選任はできているか
  • ★DPOのNPCへの登録は行ったか(従業員250人以上、または1000人以上のセンシティブ情報を扱う会社は必須)
  • ウェブサイトなどにおいて、個人情報に関する質問の連絡先が明記されているか(たいがいはDPOの連絡先を記載)
  • DPOへの教育が行われているか

(2)リスク評価の実施

  • 個人情報がどこに存在するかのマッピング、管理者、管理方法について定 期的に確認、アップデートしているか
  • リスク評価は、形式的な確認で終わらず、管理者や関係部門へのインタビューなど実効的に行われているか

(3)プライバシー3大原則の透明性、正当な目的、比例(Transparency, Legitimate Purpose, Proportionality)の遵守

  • Transparency: 個人に対し、データ処理の目的、性質、リスクと対策を知らせているか。個人がどのような権利を持ち、またどのようにそれを行使すればよいか伝えているか。
  • Legitimate Purpose: 法や社内ポリシーに反することなく、特定の目的に応じた情報処理がなされているか
  • Proportionality: 情報処理は、個人に知らされた特定の目的に関連して、正確で、相応の、必要な、そして過度ではない範囲で行われているか
  • 上記3大原則は、HR, マーケティング、ITなどの関連部門に周知されているか
  • 個人情報を管理する者は、上記3原則を含め教育されているか。
  • プライバシー通知が社外のWebsiteに掲示されているか
  • プロセッサーに個人情報の管理、処理を委託している場合、プロセッサーとの契約がなされているか。
  • ★プロセッサーはNPCに登録しているか(従業員250人以上、または1000人以上のセンシティブ情報を扱う会社は必須)
  • 組織として、DPA遵守を確認できる仕組みが整っているか(eg 定期的な社内モニタリング)
  • 情報処理の記録がきちんとなされているか

(4)データ保護対応、セキュリティ対策の実施

  • データ保護のリスクを認識し、書面化しているか
  • 個人情報への物理的またはデジタルでのアクセス制限がなされているか
  • ★社内のポリシーを制定し、従業員に周知されているか
  • 個人情報を管理するための社内マニュアルは整備されているか
  • フィリピン国外に個人情報を移転する場合、移転先の国は特定できているか
  • 個人情報をクラウドで管理している場合、クラウド業者がISO:IEC 27018に従っているか(Circular 16-01参照)
  • ★データ処理システム(情報収集・処理に関する構造、手続きなど)のNPCへの登録しているか(従業員250人以上、または1000人以上のセンシティブ情報を扱う会社は必須)

(5)データ違反時の対応

  • 漏洩などのデータ違反時に対応するチームが組織され、メンバーの責任と役割が明確になっているか
  • データ違反時の社内報告、手続きが書面化され、明確になっているか
  • データ違反時の対応方針について定期的に見直し、教育がなされているか
  • ★データ違反時の記録が適切に行われているか。一年に一回はNPCに報告が義務付けられている
  • データ違反時には、72時間以内にNPCと影響ある個人に通知しなければならず(いわゆる72時間ルール)、対応できるような体制になっているか
ABOUT ME
kiwami
海外在住経験を活かし、海外移住をもっと広めたい。 旅行、スポーツ、写真などのネタを投稿
こちらの記事もおすすめ!!

COMMENT

メールアドレスが公開されることはありません。 が付いている欄は必須項目です