シンガポールの個人情報保護法（PDPA）と個人情報保護認証（DPTM）

今回のブログでは、シンガポールの個人情報保護法であるPDPAと民間企業が PDPA に準拠していることを認証するDPTM認証について紹介します。

PDPAとは？

PDPAについて、PDPC（個人データ保護委員会）のサイトを参考に紹介します。

PDPAとは？

個人データ保護法 (PDPA) は、シンガポールにおける個人データ保護の基準となるものです。これは、銀行法や保険法などのセクター固有の立法および規制の枠組みを補完します。

PDPAはシンガポールにおける個人データの収集、使用、開示、および管理を管理するさまざまな要件で構成されています。 

また、国内の電話勧誘拒否 (DNC) レジストリの確立も規定しています。個人は、シンガポールの電話番号を DNC レジストリに登録して、組織からの不要なテレマーケティング メッセージを受信しないようにすることができます。（参考：諸外国の電話勧誘規制）

PDPAの発展の経緯

2013年1月 PDPC（個人データ保護委員会） の設立

2014年7月 PDPAの主要部分が施行

2020年11月 PDPA の改正案可決

2021年 2月 より改正法が段階的に施行

個人データの適用範囲

個人データの適用範囲については、電子形式および非電子形式で保存された個人データを対象としています。 

一般に、以下には適用されません。

• 個人的または家庭内で行動する個人。
• 組織の従業員としての立場で行動する個人。
• 個人データの収集、使用、または開示に関連する公的機関。
• 個人の名前、役職または役職、会社の電話番号、会社の住所、会社の電子メール、会社のファックス番号などの会社の連絡先情報。

PDPAの地理的適用範囲

IAPPの資料によると、以下のように定義されています。

PDPAは、シンガポールで個人データの収集、使用、開示に関する活動を行うすべての組織に適用されますが、公的機関または公的機関の代理で活動する組織には適用されません。PDPAは、シンガポールの法律に基づいて設立または承認されたかどうか、シンガポールに居住しているか、シンガポールに事務所または事業所を有しているかどうかにかかわらず、シンガポールで個人データを収集、使用、開示する組織に対して適用されます。

DPTMとは?

シンガポール政府の情報通信メディア開発庁であるIMDA（Info-Communications Media Development Authority: 情報通信およびメディア セクターの開発および規制を行う政府機関） のサイトによると、Data Protection Trustmark (DPTM) 認証は、個人データ保護法（PDPA）を管理・執行するPDPC（個人データ保護委員会: 2013年設立）と IMDA により設けられた、組織が PDPA への準拠を実証するために開発された個人情報保護の認証です。

PDPA および国際的なベンチマークとベスト プラクティスから採用された DPTM は、組織が健全なデータ保護慣行を採用していることを示す目に見える指標です。顧客、ビジネス パートナー、規制当局との信頼関係を強化し、ビジネスの競争力を高めてくれます。

DPTM認証はすでに多くの企業が取得しており、今後も認証を取得する企業は増えていきそうです。

DPTM認証の有効期間

「DATA PROTECTION TRUSTMARK SCHEME」の1.5項によると、「DPTM は、組織のデータ保護方針、プロセス、実践の基準を見る、企業全体に対する任意で取得する認証です。認証は3年間有効であり、組織は、認証の有効期限が切れる日から少なくとも6ヶ月以内に再認証を申請する必要がある。 」と記載されています。

また1.6項では、 認証が取り消しとなる場合について言及されており、「組織は、認証期間中に生じた重大な変更について、速やかにIMDAに通知しなければならない。 重要な変更に基づき審査が行われ、組織は必要な是正措置を実施するよう要求されるか、または認証が解除されることがある」と記載されています。

評価機関

「DATA PROTECTION TRUSTMARK SCHEME」の1.7項および1.8項では、評価機関（AB）についての説明と評価機関のリストを確認することが可能です。

この評価機関は、「組織のデータ保護の実践がDPTMの要求事項に適合しているかどうかを評価し、ギャップがある場合は組織が対処すべきことを明らかにする独立機関として機能する」とされています。

DPTMの取得申請できる企業

「DATA PROTECTION TRUSTMARK SCHEME」の2項「 WHO CAN APPLY FOR DPTM CERTIFICATION」によると、以下の場合にDPTMを申請することができます。

(a)シンガポールの法律に基づいて設立または承認されている

(b)シンガポールに居住している、または事務所や事業所があり、いずれの場合においても公的機関でない（PDPA 2012で定義）

また、その中でもさらに状況ごとに詳細な規定が2.2項で記載されています。（例：１回申請が却下された組織は、その通知日より３か月後でないと申請できない等）

申請手続き

「DATA PROTECTION TRUSTMARK SCHEME」の3項「DPTM APPLICATION」に申請プロセスのステージごとに必要となるタスクが記載されています。

DPTM認証のチェックリスト

組織は、申請前にDPTM認証チェックリストを使用して、その準備状況を評価する必要があります。

このチェックリストで組織のデータ保護体制を見直し、すべての質問に「はい」と答えることができれば、DPTMを申請する準備が整っているといえます。

ただし、このチェックリストのすべての質問に「はい」と答えたとしても、必ずしもDPTMの要求事項をすべて満たしているとは限らないという点に留意ください。

すでにISO/IEC 27001およびそのアドオン規格である27701を取得している組織にとっては、優れた情報セキュリティおよびプライバシー情報管理基準をクリアしているため、DPTM認証の取得が容易になるでしょう。

DPTM認証の費用

取得にかかる費用はIMDAに支払う申請手数料と評価機関に支払う評価手数料に分かれます。

申請手数料として、535シンガポールドル（GST込み）をIMDAに支払う必要があります。

さらに認証を取得する際に評価機関へ支払う評価手数料は、組織の規模 (例: 年間売上高、サイト数など) と契約した評価機関によって異なります。（詳細はこちら）

DPTM認定を取得するメリット

• DPTM は、組織が個人データを管理するために責任あるデータ保護プラクティスを採用していることを、顧客、ビジネス パートナー、および規制当局に証明するためのツールとなります。
• DPTM 認定を受けたデータブローカー/サード パーティは、責任あるデータ保護ポリシーとプラクティスをクライアントに保証できます。
• DPTM は、データ侵害が発生した場合の罰則、罰金などの執行措置に対する緩和要因として機能する可能性があります。
• DPTM 認定組織がサイバー保険を申請する場合、迅速かつ競争力のあるオファーをうけることができます。

DPTM認証を取得するには？

DPTM認証の取得については、「OVERVIEW OF CERTIFICATION REQUIREMENTS」を参考ください。

OneTrustとDPTM認証

上記で紹介した「OVERVIEW OF CERTIFICATION REQUIREMENTS」の各原則を遵守するのにOneTrustの包括的な機能が有効です。以下で原則のうち、直接もしくは間接的にサポート可能と思われるOneTrustの機能をマップしたので、ご参考ください。（2023年5月10日時点の機能をベースにマッピング）

（注：下記で表示されている原則は、OneTrustの機能をマッピングできる原則のパートのみを抜粋したものです。すべての原則をご覧になりたい方はこちらで確認いただけます。）

Principle 1: Governance and Transparency　ガバナンスと透明性

Appropriate Policies and Practices 　適切なポリシーとプラクティス

• Establish data protection policies and practices > Policy & Notice (Singapore PDPA Template)

• Establish queries, complaints and dispute resolution handling processes > Privacy Rights Automation (Global Template)

• Establish processes to identify, assess and address data protection risks > PIA/DPIA Automation (Singapore PDPA DPIA - 1.1  Template)

Principle 2: Management of Personal Data　個人情報の管理

Appropriate Consent 　適切な同意取得

• Ensure that consent for the purposes has been obtained on or before collecting the personal data > Consent

• Ensure that consent for personal data with special considerations has been obtained > Consent

Appropriate Use and Disclosure 　適切な利用と開示

• Ensure the use of personal data is for purposes for which consent has been obtained > PIA/DPIA Automation (Singapore PDPA DPIA - 1.1  Template)

• Ensure the disclosure of personal data is for purposes for which consent has been obtained > PIA/DPIA Automation (Singapore PDPA DPIA - 1.1  Template)

Principle 3: Care of Personal Data　個人情報のケア

Appropriate Protection 　適切な保護

• Ensure reasonable security policies and practices are implemented > PIA/DPIA Automation (Singapore PDPA DPIA - 1.1  Template)

• Ensure third parties make reasonable security arrangements to protect personal data > Third Party Risk Management

Appropriate Retention and Disposal 　適切な保管と廃棄

• Ensure personal data retention policies are implemented > Data Mapping, Retention Schedules

Principle 4: Individuals’ Rights　個人の権利

Effect Withdrawal of Consent 同意撤回の効果

• Ensure provision for the withdrawal of consent for the collection, use or disclosure of individuals’ personal data > Consent

Provide Access and Correction Rights アクセスおよび訂正する権利を提供する

• Ensure provision for individuals’ access to their personal data in the organisation’s possession or under its control on request > Privacy Rights Automation (Global Template)

• Ensure provision for individuals’ correction of their personal data in the organisation’s possession or under its control on request > Privacy Rights Automation (Global Template)

補足：認証取得プロセスをサポートするOneTrust Certification Automation機能

OneTrustには、Tugboat Logic社の買収（2021年9月）により新たに機能として加わったCertification AutomationというISO27001やSOC2などの代表的な認証取得プロセスをサポートする機能があります。現時点では、DPTM認証をサポートしていないようですが、今後DPTMの認証もサポートされるかもしれません。

---

さいごに

OneTrustの包括的なプライバシーおよびガバナンス機能は、今回のブログで紹介したようにプライバシー法規制やプライバシー認証を取得する際に規定された原則や個人データの取り扱いルールに対して有効であるのはもちろんのこと、各国や地域のプライバシー法規制に対応したテンプレートが豊富に揃っています。

組織は、OneTrustが提供する機能やテンプレートをうまく活用することにより、Privacy Opsのデジタル化にかかる導入から運用までの時間を短縮するとともに、運用フェーズでの業務にかかる負担を軽減してくれます。

OneTrustのソリューションに興味のある方は、ぜひ弊社までご相談ください。