お知らせ | ビジネスサポートセンター

column

コラム

【法務】フィリピンの個人情報保護法

2023年2月20日

フィリピンではBPO産業(Business Process Outsourcing)が主要産業の一つとして位置づけられ、例えば、公用語が英語であることから欧米企業のコールセンターとしての役割を担っており、そこでは当然多くの個人情報が扱われています。このような背景もあり、フィリピンでは個人情報保護法(Data Privacy Act of 2012※1(Republic Act No. 10173))が2012年に制定、2017年9月より施行されています。また、同法施行規則が2016年に公布されました。監督官庁は国家プライバシー委員会(National Privacy Commission; NPC)です。本稿では、同法の骨子を整理しながら、日系企業の実務として注意すべき点、また最新動向について触れていきます。

※1:https://www.privacy.gov.ph/data-privacy-act/

 

2.「個人情報」の定義

「個人情報」とは、媒体への記録の有無を問わず、その情報から個人の特定が明らかもしくは合理的かつ直接的に確定しうるもの、または他の情報と併せることにより直接的かつ確実に個人を特定するものをいいます※2。そして、企業が個人情報を処理しようとする際は、①個人情報の主体が予め同意している場合、②個人情報の主体を当事者の一方とする契約の履行のために必要である場合、③個人情報の管理者が義務を履行する場合、などの一定の要件を満たす場合に限り、処理が可能となります※3。

※2:個人情報保護法3条g、施行規則3条l

 

※3:施行規則21条

さらに、フィリピンの個人情報保護法は、「センシティブ個人情報」を定義付けており、以下の情報を指します※4。

  • 個人の人種、民族、婚姻の有無、年齢、肌の色、信教、哲学又は政治的信条に関する情報
  • 個人の健康状態、学歴、遺伝若しくは性生活、又は犯罪歴・犯罪容疑に関する情報
  • 公的機関により発行されたソーシャルセキュリティーナンバー、病歴、ライセンスの取得・拒否・取消し・破棄、及び納税申告書等の情報
  • 行政命令又は法律により特に指定された情報

 

※4:個人情報保護法3条l、施行規則3条t

そして、センシティブ個人情報については、その重要性から一定の場合を除いては処理することが認められていません。処理が認められる要件は以下のとおりです。

①個人情報の主体が予め特定された目的について同意している場合、②個人情報の主体などの生命や健康を守るために必要であり、個人情報の主体が予め同意することが法的または物理的にできない場合、③裁判手続きにおける法的な権利・利益を保護するためや法的な請求をするために必要な場合、など。

この点、日系企業が一般的に取得する個人の年齢、学歴、健康状態などもセンシティブ個人情報に含まれる情報であるため、取得などの際には、前述の「①個人情報の主体が予め特定された目的について同意している」という要件を満たしていなければならないことに注意を払う必要があります。

 

5.適用対象

(1)原則

フィリピン個人情報保護法は、あらゆる個人情報の処理に適用され、情報を取り扱う者が自然人か法人かは問われません。同法は、フィリピン国内で設立されていない法人であっても、フィリピン国内にある何らかの装置を使用したり、フィリピン国内に支店を設置するなどして個人情報を管理・処理している場合にも適用されます※5。従って、日系企業がフィリピン国内に支店や駐在事務所を設置し、顧客(個人)や従業員の情報を取得する際にも適用されることになります。

※5:施行規則4条

(2)適用除外

フィリピン個人情報保護法はいくつかの適用除外規定を設けていますが、特筆すべきは、「フィリピン以外の法域に居住する者からその国の法に従って収集されたフィリピン国内で処理されている個人情報」について適用除外としている点です※6。これは、冒頭で触れたとおり、フィリピンの主要産業であるBPO産業を意識したものと考えられます。

※6:個人情報保護法4条g、施行規則5条f

(3)域外適用

①その行為、業務、処理がフィリピン国民または住民の個人情報に関連する場合や、②行為主体がフィリピン国内で設立されていないとしても、マネージメントや管理をフィリピン国内で行っている場合には、その行為がフィリピン国内であれ国外であれ個人情報保護法の適用があります。

 

6.セキュリティー措置

対象企業は、個人情報を保護するために、①組織的、②物理的、③技術的なセキュリティー対策を講じることが義務付けられています。

①組織的なセキュリティー対策※7

  • 本法を遵守するための監督者を選任
  • 個人情報保護に関する社内規定の作成
  • 個人情報の処理に関する記録の実施
  • 個人情報にアクセスできる従業員等を選定し、これを監督
  • 個人情報の処理手続を向上及び見直し
  • 外部委託先において本法が遵守されているかの確認

 

※7:施行規則26条

②物理的なセキュリティー対策※8

  • 電子媒体の適切な使用に関するガイドラインを定めるなど、情報の集積する場所をモニタリングし、アクセスを制限する社内規定を導入
  • 個人情報の処理をする者が適切に情報管理できるだけの作業場所を確保
  • 個人情報を処理する者の義務、責任等の明確化
  • 個人情報の適切な保護のために、電子媒体の破棄や再利用などに関する社内規定の導入
  • 個人情報を含むファイルや機器が自然災害や外部からのアクセスにより破壊されることを防ぐための社内規定の導入

 

※8:施行規則27条

③技術的なセキュリティー対策※9

  • コンピューターネットワークを保護するための安全措置
  • 個人情報を処理するシステムやサービスの機密性や利用可能性の維持・確認
  • セキュリティー違反がないか定期的なモニタリングの実施
  • 物理的・技術的な問題が生じたときに速やかに修復できる体制の整備
  • セキュリティー対策が効果的であるかについて定期的な検証
  • 個人情報やアクセスを制限する技術的なセキュリティー対策に関する暗号化

 

※9:施行規則28条

5.罰則規定

罰則については、最大で7年間の懲役刑及び400万ペソの罰金が科されます。また、法人の場合は、その役員も処罰され、外国人は強制退去されることにもなります※10。後述のとおり、情報漏洩が発覚した際の業務停止命令も進出企業にとっては大きな痛手となりますが、このように役員個人への刑事罰も規定されているため、慎重な対応が必要です。

 

※10:施行規則61条

250人以上の従業員を雇用している場合や、1000人分以上のセンシティブ情報の処理をする場合などには、個人情報を処理するシステムについて、NPCに登録する必要があります。施行規則の施行後1年以内の2017年9月が登録期限でしたが2018年3月に延長されました。いずれにしても導入期間の猶予は過ぎているため、本稿時点では対象企業は登録手続きが必要です。

(2)データ保護責任者(Data Protection Officer; DPO)の選任と登録

組織内部のデータ処理やコンプライアンスに関する従業員教育やセキュリティー監査などを行うデータ保護責任者の役職を設置し、NPCに登録する必要があります。NPCはデータ保護責任者を対象とした研修機会などを提供しています。

(3)外部委託

対象企業が個人情報の処理を外部委託する場合には、その契約内容についても規定が存在するため、注意が必要です※11。契約内で、処理の対象、期間、性質、目的、データの種類、データ主体の分類、個人情報管理者の権利義務、処理が行われる場所を定めなければならないとされ、さらに次の項目についての記載も義務付けられています。

※11:施行規則44条

契約において規定することが求められている事項(詳細は施行規則44条参照)

  • 個人情報管理者の指示に基づいて処理を行う
  • 秘密保持義務
  • 適切なセキュリティー対策を講じ、本法を遵守
  • 個人情報管理者の事前の指示なく、別の処理者を関与させない
  • データ主体からの求めなどに応じる義務を履行することができるように個人情報管理者を支援
  • 個人情報管理者が、本法等の遵守するために援助を行う
  • 業務が終了した場合には、個人情報管理者の求めに応じて、個人情報を返却又は消去
  • 本法の義務の遵守を証明するために必要な、すべての情報を個人情報管理者に提供
  • 個人情報管理者の指示が本法等に違反する場合には、直ちに通知

 

11.最新動向

フィリピン個人情報保護法はその施行からまだ日が浅く、罰則規定が適用されたケースは見当たりませんが、セキュリティーの脆弱性や情報漏洩などに対して監督官庁であるNPCが改善命令を出したケースが散見されます。

(1)フェイスブック(Facebook)

フェイスブックは2018年9月にセキュリティーの脆弱性を発見。フィリピン国内では755,973アカウントが影響を受けたとされる。NPCは、同社に対し、情報漏洩通知の提出、フィリピン国内にヘルプデスクの設置、利用者に対する注意喚起を命令した※12。

 

※12:NPC命令CIDBN No. 18-J-162

(2)ウェンディーズ(Wendy’s)

2018年4月、同社のフードデリバリーシステムから82,150件の個人情報が漏洩。NPCは、同社に対し、フードデリバリーサービスの中止を命令した※13。

※13:NPC命令CIDBN No. 18-058

(3)ジョリビー(Jollibee)

2017年12月、同社のフードデリバリーシステムに脆弱性が発見された。NPCは調査の結果、同社に対し、フードデリバリーサービスの中止を命令した※14。

 

※14:NPC命令CIDBN No. 17-043

このように、これまでは施行間もないこともあって漏洩事件に対して是正措置の対応が行われるのみでしたが、今後、施行から時が経つにつれNPCの知見や経験も蓄積されるでしょうし、NPCが罰則規定の強化を求めているとの報道もなされており、積極的に罰則規定を適用するケースも出てくるかもしれません。

いずれにせよ、海外からのBPO業務を誘致しようとしているフィリピンは個人情報保護に敏感かつ意欲的な傾向がみられるため、進出日系企業はその動向を注視しながら慎重に対応していくことが求められます。