シンガポールがデータ保護法を更新し、「正当な」ビジネス目的でのユーザーの同意を除外

シンガポールは個人データ保護法 (PDPA) を更新し、国内企業が業務改善や調査などの一部の目的で事前の同意なしに消費者データを使用できるようにしました。 この修正により、データ侵害に対しては、以前の上限である 100 万シンガポールドルを超えて、より厳しい罰金が科せられることも認められています。

この変更は、変更から約8年後の月曜日に議会で可決された。 この法律は 2012 年 10 月に導入されました. この法律は個人データ保護委員会 (PDPC) によって管理されています。

で 彼のスピーチ この修正案について議論しているシンガポールの通信情報大臣 S. イスワラン氏は、データはビジネスに情報を提供し、効率を生み出す貴重な洞察を提供するため、デジタル経済における重要な経済資産であると述べた。

また、イノベーションを促進して製品を強化し、次のような新興テクノロジーにとって重要なリソースとなるでしょう。 人工知能 （AIは）変革の可能性を秘めている、とイスワラン氏は語った。

したがって、シンガポールの規制構造は進化し、これらの変化に歩調を合わせる必要があると同氏は指摘した。 確立に向けた取り組みを指摘 デジタル経済協定と同氏は、このような取り組みにより、アジアの国が「デジタルフローと取引の世界的なネットワークにおける重要な結節点」として位置づけられると述べた。

同氏は、PDPAの修正は、その法制度が複雑なデータ環境を伴うデジタル経済に「目的に適合」していることを保証することも目的としていると述べ、法律は信頼に基づいて構築されなければならないと付け加えた。 消費者は、デジタル機会やデータ主導型サービスの恩恵を受けているとしても、自分の個人データが安全であり、責任を持って使用されているという確信を持つ必要があると同大臣は付け加えた。

また、企業は、必要な保護措置と説明責任を備えた正当な事業目的で個人データを確実に利用する必要があるとイスワラン氏は述べた。

同氏は、修正案は個人データの収集と使用による利益を最大化し、リスクを最小限に抑えるバランスをとることを目指していると指摘した。

重要な変更の中には「同意の例外」要件があり、企業はこれを使用できるようになりました。 「正当な目的」、業務改善、およびより広範囲の調査のためにデータを収集および開示する。 発達。 調査や緊急事態への対応を目的とした既存の同意例外に加えて、これらも 不正行為と闘い、製品とサービスを強化し、潜在的な顧客を理解するための市場調査を実施する取り組みが含まれるようになりました。 セグメント。

さらに、PDPA に対する「みなし同意」に基づいて定義されたさらなる修正により、組織は顧客契約の履行を目的として外部請負業者とデータを共有することが許可されます。 これは「現代の商業的取り決め」と安全保障を含む重要な目的に応えるものだと同氏は述べた。

企業は、まだ製品化されていない可能性のある研究開発 (R&D) を促進するために、同意なしにデータを使用することもできます。

イスワラン氏は、これは科学の研究開発を行っている研究機関や教育機関に適用される可能性があると説明した。 社会科学研究、および潜在的な顧客を特定して理解するために市場調査を実施する企業 セグメント。

ダイレクトマーケティングメッセージなど、同意の「みなし」および「例外」を除くその他すべての目的には、引き続き消費者からの事前同意が必要です。

データ侵害が発生し、罰金の可能性がある組織は、さらに多額の費用を支払わなければならない可能性があります 修正により、企業の年間売上高の 10% または 100 万シンガポールドル (73 万 5,490 ドル) のいずれか上限の罰金が科されることになります。 より高い。 これまでの罰金の上限は100万シンガポールドルであった。

また、消費者がサービスの利用によって生成されるデータに対する自主性を高め、商用通信の受信方法をより詳細に制御できるようにするための修正も導入されています。

あ 新しいデータポータビリティ この義務により、個人は自分のデータのコピーを別の組織に送信するよう要求できます。 これにより、競争が促進され、代替サービスや通常のサービスの開発が促進され、消費者に利益がもたらされることが期待されます。

シンガポールでは比較的新しい概念であるため、データポータビリティは段階的に展開されるだろうとイスワラン氏は述べた。 同氏は、ポータブル化すべきデータのカテゴリーやその他の技術的ガイドラインや消費者保護ガイドラインなど、さらなる詳細は後の段階で発表されるだろうと述べた。

国会議員の何人かは、この修正、特に例外とみなし同意に関するものは範囲が広すぎ、組織によって乱用される可能性があると懸念を表明した。

たとえば、「正当な利益」は組織の観点から見ることができ、その評価は主観的なものになります。 これらの利益が個人に対する潜在的な悪影響を上回るかどうかを検討すること。これは、法で概説されている要件である。 修正。

で 応答、イスワラン氏は、みなし同意または同意例外に基づくデータの使用には、次のような保護措置がタグ付けされると述べた。 企業は、何が「正当」であるかを判断し、データの漏えいの可能性について明確な制限を設ける際にリスク評価を実施する必要があります。 使用済み。

「[例外的な同意を利用するには]、組織は個人データの収集、使用、または開示に関連するリスクを排除または軽減するための評価を実施し、満足する必要があります。 そうすることによる全体的な利益は、個人に残る悪影響を上回る」と同氏は述べ、PDPCは企業がリスクをどのように実行すべきかについてのガイドラインを概説すると付け加えた 評価。

同氏は、オプトアウト期間後であっても個人は同意を撤回できると付け加えた。

同大臣は、修正の目的を要約する際、過度の修正は国家の価値を損なう結果となるため、「微妙なバランス」が重要であると述べた。 逆の方向に行けば企業の足かせとなり、政府が期待していたイノベーションと経済への恩恵が減退することになるだろう。 成し遂げる。

イスワラン氏は、法律は「万能薬」ではなく、データ侵害のリスクを排除することはできないと指摘し、シンガポールは機敏で相互運用性を維持する必要があると述べた。

法律は優れた慣行で補完されなければならず、これらは時間の経過とともに進化する必要がある、と同氏は付け加えた。 同氏は、国のデータ体制のセキュリティと使いやすさを維持するために、全員が役割を果たし、責任を負う必要性を訴えた。

同氏は、シンガポールが新たなデジタル要件の中でも適切であり続けることを保証するために、変化する市場状況に適応する取り組みの一環として政府が規則を策定し施行したと述べた。 企業も、堅牢なデータ体制をサポートし、データ ポリシーで差別化することが自社の利益になることを認識する必要があります。

また、消費者は自分のデータに対して責任を負う必要があり、最終的には、いつでもオプトアウトを選択できる必要があります。

同大臣によると、PDPCは昨年、データ侵害に関する185件の事件を調査し、58件の決定を下した。 39の組織に対し、最高額の75万シンガポールドルと25万シンガポールドルの罰金を含む170万シンガポールドルの罰金の支払いを命じた。 統合医療情報システムおよびシンガポール保健サービスと連携、 それぞれ。

関連記事

• シンガポール、データ侵害の通知と説明責任に関するガイドラインを更新
• シンガポール、ビジネス取引を促進するために国民データへのアクセスを開放
• シンガポール、公共部門のデータセキュリティを検討する委員会を設置、しかしPDPAの免除は堅持
  
• シンガポールはセキュリティを付加価値サービスとして扱う企業に対してもっと厳しくなる必要がある
• シンガポールはスマート国家推進におけるオープンプラットフォームを宣伝、セキュリティ面で改善の必要性を認める
• シンガポールにおける全犯罪の 26% はサイバーによるものです
• シンガポール企業のほとんどは依然としてセキュリティパッチに対応できていない