会社における個人情報の取り扱いについて【フィリピン法律あらかると第九十一回】
広告
『会社における個人情報の取り扱いについて』
今月の事例
Q.会社が個人情報を取り扱う場合、どのような社内体制が求められますか?
近年個人情報の取り扱いにはかなり注意が必要になっていますが、フィリピンでも同様に個人情報の取り扱いに関する法整備が進んでおり、フィリピンで事業を行う法人はこれに従うことが求められます。フィリピンにおいて個人情報保護について定める法律は2012年に成立したデータプライバシー法(Data Privacy Act of 2012;共和国法第10173号)です。そして、個人情報の取得、保持、利用を管理する法人等は、データプライバシー法に定める方策をとる義務があります。
まず、個人情報の取得に際しては、その個人情報の取得目的、利用方法等を明確に示した上で個人情報の提供者から事前の同意を得なければならず、個人情報の提供者は事後でその同意を撤回することも可能です。
また、データプライバシー法の施行規則は、個人情報を取り扱う法人等に対して、個人情報の保護のために、組織的、物理的及び技術的な対策を行うことを求めています。
1. 組織的な対策
組織的な対策としてデータプライバシーとセキュリティーに関する法令等の遵守について責任を負う、情報保護責任者(Data Protection Officer; DPO)を置くことを義務づけています。また、社内に個人情報の処理に関する物理的および技術的なセキュリティー措置に関する規則を制定し、個人情報を取り扱う場合には、その情報取り扱いのシステムにつき詳述し、これを扱う者の義務や責任等を明確にする文書を作成すること等が求められます。また、ただこれらの規則等を制定すれば足りるというものではなく、適宜その内容をレビューすることも求められます。
2. 物理的な対策
物理的な個人情報保護の対策としては、以下の方策等を行うことを求めています。
(1) 就業場のモニタリングを行い、個人情報へのアクセスを制限する方策の制定
(2) 情報取扱者のプライバシーを確保する就業場のデザイン
(3)情報取扱者の義務、責任、スケジュールを規定し、情報取扱者のみが個人情報を取り扱う場所に入場できるようにすること
(4) 電子メディアの移転、除去、処分または再利用に関する規則の制定
(5) 個人情報に関するファイルや装置の破損を防止する方策の制定
3. 技術的な対策
技術的な個人情報保護の対策として、以下を行うことを求めています。
(1) 使用するコンピュータネットワークの外部からの攻撃等に対する防御策の策定
(2) 個人情報取り扱いシステム及びサービスの機密性、有用性を維持する能力の確保に関する対策
(3) 防御対策の違反やシステムの脆弱性等を確認するための定期的なモニタリング
(4) 事故発生時にタイムリーに個人情報を回復する機能の保持
(5) 個人情報の保管や転送時の暗号化
なお、法人の規模や取り扱う個人情報により法の求める全ての方策を行うことは無理があることもあるため、データプライバシー法の主管官庁である国家プライバシー委員会(NPC)は個別に求められる方策のレベルが異なる余地があることを認めています。
まず、個人情報の取得に際しては、その個人情報の取得目的、利用方法等を明確に示した上で個人情報の提供者から事前の同意を得なければならず、個人情報の提供者は事後でその同意を撤回することも可能です。
また、データプライバシー法の施行規則は、個人情報を取り扱う法人等に対して、個人情報の保護のために、組織的、物理的及び技術的な対策を行うことを求めています。
1. 組織的な対策
組織的な対策としてデータプライバシーとセキュリティーに関する法令等の遵守について責任を負う、情報保護責任者(Data Protection Officer; DPO)を置くことを義務づけています。また、社内に個人情報の処理に関する物理的および技術的なセキュリティー措置に関する規則を制定し、個人情報を取り扱う場合には、その情報取り扱いのシステムにつき詳述し、これを扱う者の義務や責任等を明確にする文書を作成すること等が求められます。また、ただこれらの規則等を制定すれば足りるというものではなく、適宜その内容をレビューすることも求められます。
2. 物理的な対策
物理的な個人情報保護の対策としては、以下の方策等を行うことを求めています。
(1) 就業場のモニタリングを行い、個人情報へのアクセスを制限する方策の制定
(2) 情報取扱者のプライバシーを確保する就業場のデザイン
(3)情報取扱者の義務、責任、スケジュールを規定し、情報取扱者のみが個人情報を取り扱う場所に入場できるようにすること
(4) 電子メディアの移転、除去、処分または再利用に関する規則の制定
(5) 個人情報に関するファイルや装置の破損を防止する方策の制定
3. 技術的な対策
技術的な個人情報保護の対策として、以下を行うことを求めています。
(1) 使用するコンピュータネットワークの外部からの攻撃等に対する防御策の策定
(2) 個人情報取り扱いシステム及びサービスの機密性、有用性を維持する能力の確保に関する対策
(3) 防御対策の違反やシステムの脆弱性等を確認するための定期的なモニタリング
(4) 事故発生時にタイムリーに個人情報を回復する機能の保持
(5) 個人情報の保管や転送時の暗号化
なお、法人の規模や取り扱う個人情報により法の求める全ての方策を行うことは無理があることもあるため、データプライバシー法の主管官庁である国家プライバシー委員会(NPC)は個別に求められる方策のレベルが異なる余地があることを認めています。
結論
A.データプライバシー法やその施行規則に従った組織的、物理的、技術的な体制を構築することが必要です。
本稿においてフィリピン法に関する記載につきましては、Quasha Law法律事務所の監修を受けております。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
弊事務所は、下記のフィリピンの法律事務所と提携しており、フィリピン進出中の日本企業及び在留邦人の方々に日本語での法律面でのサポートを提供させていただいております。取扱業務:会社設立、企業法務、倒産、労務問題、税務問題、一般民事、相続等
Quasha, Ancheta, Peña & Nolasco
住所: Don Pablo Building 114 Amorsolo Street, 12290Makati City, MetroManila, Philippines
電話:02-8892-3011(代表)・02-8892-3020(日本語対応)・0917-851-2987
E-mail: [email protected]
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(左) 弁護士 上村真一郎
(右) 弁護士 鳥養雅夫
(桃尾・松尾・難波法律事務所)
〒102-0083
東京都千代田区麹町4丁目1番地
麹町ダイヤモンドビル
電話:+81-3-3288-2080
FAX:+81-3-3288-2081
E-mail: [email protected]
E-mail: [email protected]
URL: http://www.mmn-law.gr.jp/
広告
