シンガポールのデータ侵害通知義務:3日ルールを解説
シンガポールPDPAに基づく義務的データ侵害通知要件を理解しましょう。3日ルール、通知対象の基準、必須手順を説明します。
シンガポールのデータ侵害通知義務:3日ルール
2021年2月1日以降、シンガポールのすべての組織は、特定のデータ侵害をPDPC(個人情報保護委員会)に通知する法的義務があります。改正PDPAに基づく義務事項です。
違反した場合、シンガポール国内年間売上高の10%またはS$100万のいずれか高い方の制裁金が科される可能性があります。
どのような侵害が通知対象か?
すべてのデータ侵害に通知義務が発生するわけではありません。以下のいずれかの条件を満たす場合が対象です:
| 条件 | 基準 |
|---|---|
| 重大な被害 | 個人に重大な被害が発生した、または発生する可能性がある場合 |
| 規模 | 被害の有無にかかわらず500人以上に影響がある場合 |
「重大な被害」とは?
- なりすまし・詐欺
- 金銭的損失
- 身体の安全への脅威
- 脅迫・恐喝
- ハラスメント
- 就職機会の喪失
- 名誉の毀損
3日間の通知タイムライン
侵害が通知対象と評価した後、3暦日以内にPDPCに通知しなければなりません。
必要な手順
| ステップ | 対応 | 時期 |
|---|---|---|
| 1 | 侵害の封じ込め | 即座に |
| 2 | 侵害の評価 — 通知対象か判断 | 可能な限り速やかに |
| 3 | PDPCへの通知 | 評価後3暦日以内 |
| 4 | 被害者への通知 — 重大な被害の恐れがある場合 | 可能な限り速やかに |
| 5 | 文書化と見直し | 継続的に |
実際の事例
- SingHealth(2018年): 150万人の患者データ侵害でSingHealthとIHISに各S$250,000
- Grabcar(2019年): データ漏洩でS$10,000
侵害報告書の安全な共有
侵害発生時、対応チームは評価報告書やフォレンジック結果を関係者と共有する必要があります。LINEや通常のメールでの送信はリスクがあります。
LOCK.PUBのパスワード保護付きメモを使えば、侵害評価文書を安全に共有できます。有効期限を設定してアクセスを制限できます。
侵害前の準備
- 対応計画の文書化
- 通知チームの特定
- 通知テンプレートの事前準備
- 机上演習の実施
- 年次見直し
侵害関連文書を安全に共有する必要がある時はLOCK.PUBを活用してください。侵害が起きる前に対応計画を準備しましょう。
キーワード
こちらもおすすめ
シンガポールのDPO任命義務:すべての企業が知るべきこと
シンガポールのすべての組織はデータ保護責任者(DPO)を任命する必要があります。PDPA要件、責任、資格、外部委託オプション。
シンガポールのHealthHubとNEHR:あなたの医療記録はどう管理されているのか
シンガポールのNEHR(国家電子健康記録)で医療データがどのように保存・共有・保護されているかを解説。患者の権利と医療情報の安全な共有方法を紹介します。
シンガポールPDPA中小企業コンプライアンスチェックリスト(2026年ガイド)
シンガポールの中小企業向けPDPA準拠チェックリスト。9つの主要義務、2021年改正内容、罰則事例まで実務ガイドを提供します。