シンガポールPDPA 中小企業コンプライアンスチェックリスト

シンガポールで中小企業を経営しているなら、個人情報保護法（PDPA）は例外なく適用されます。従業員2名でも200名でも、義務は同じです。

PDPCは企業規模に関係なく制裁金を科してきました。SingHealthのデータ侵害ではSingHealthとIHISにそれぞれS$250,000、Grabcarにはデータ漏洩でS$10,000の制裁金が科されています。

PDPAとは

PDPA（Personal Data Protection Act 2012）はシンガポールの主要な個人情報保護法です。2020/2021年に大幅改正され、2021年2月から主要な変更が施行されました。

2021年主要改正事項

変更点	影響
義務的データ侵害通知	侵害認知後3暦日以内にPDPCへ通知必須
制裁金の引き上げ	シンガポール国内年間売上高の10%またはS$100万のいずれか高い方
契約上の必要性による見なし同意	個人情報処理根拠の拡大
データポータビリティ義務	個人が他組織へのデータ移転を要求可能

9つのPDPA主要義務

1. 同意義務 — 収集・利用・提供前に同意を取得
2. 目的制限義務 — 合理的な目的のみで収集
3. 通知義務 — 収集目的を事前に告知
4. アクセス義務 — 要求に応じて個人情報の閲覧を提供
5. 訂正義務 — 要求に応じて不正確な情報を修正
6. 正確性義務 — 正確で完全な情報を維持
7. 保護義務 — 合理的なセキュリティ対策を実施
8. 保有制限義務 — 不要なデータの保有を中止
9. 移転制限義務 — 海外移転時に適切な保護を確保

中小企業コンプライアンスチェックリスト

1. DPO（データ保護責任者）の任命

シンガポールの全ての組織に義務です。既存の従業員を指定するか、外部の専門家に委託できます。連絡先をウェブサイトで公開する必要があります。

2. データ保護ポリシーの策定

収集・利用・保管・廃棄の手順を文書化しましょう。

3. データインベントリの作成

どのような個人情報を収集し、どこに保管し、誰がアクセスするかをマッピングしましょう。

4. 同意収集手続きの見直し

各目的ごとに有効な同意を得ているか確認しましょう。

5. データ侵害対応計画の策定

• 侵害の特定と封じ込め
• 通知対象かどうかの評価
• 評価後3暦日以内のPDPC通知
• 重大な被害の恐れがある場合の被害者通知

6. 従業員研修

PDPCが提供する無料eラーニングコースを活用しましょう。

7. ベンダー契約の見直し

個人情報を共有するベンダーとの契約にデータ保護条項を含めましょう。

8. 越境移転の保護措置

海外に個人情報を転送する場合、同等の保護レベルを確保しましょう。

9. 保有・廃棄スケジュールの策定

データ種類別の保有期間を定め、安全な廃棄手順を整備しましょう。

機密コンプライアンス文書の安全な共有

コンプライアンス作業中、データ監査報告書や侵害評価文書をDPOや法律顧問と共有する必要があります。LINEやメールでこうした文書を送ると、個人情報インベントリや脆弱性評価が含まれている場合にリスクがあります。

LOCK.PUBを使えば、パスワード保護付きのメモを作成して機密監査文書を安全に共有できます。有効期限を設定すれば、必要な期間だけアクセス可能にできます。

制裁金の基準

種類	金額
組織への制裁金	シンガポール国内年間売上高の10%またはS$100万のいずれか高い方
PDPC是正命令	収集・利用の停止、データの破棄等
刑事罰	最大S$5,000の罰金または2年以下の懲役

実際の執行事例

• SingHealth侵害（2018年）: SingHealthとIHISにそれぞれS$250,000の制裁金
• Grabcar（2019年）: データ漏洩でS$10,000の制裁金

今日からチェックリストに取り組みましょう。機密文書の共有が必要な時はLOCK.PUBでパスワード保護を追加してみてください。