シンガポールPDPAと人事データ — HR担当者が知るべき個人情報保護のポイント
シンガポールの個人情報保護法(PDPA)は従業員データにも適用されます。NRIC収集制限、同意要件、保管期限など、HR部門向けの実務ガイドです。
シンガポールPDPAと人事データ — HR担当者が知るべきポイント
HR部門は最も機密性の高いデータを扱っています
人事部門は、組織内で最も機密性の高い個人情報を管理しています。NRIC番号、給与明細、医療記録、人事評価、懲戒記録まで — 従業員が適切に保護されると信頼しているデータです。
シンガポールの**個人情報保護法(PDPA: Personal Data Protection Act)**は、組織による個人情報の収集・利用・開示を規制しています。顧客データのコンプライアンスに注力する企業が多いですが、従業員データにも同様に適用されます。
PDPAが従業員データに適用される仕組み
みなし同意(Deemed Consent)— 但し無制限ではない
PDPAは雇用関連目的について**「みなし同意」**の概念を認めています。給与処理、CPF拠出、IRAS確定申告などの日常的なHR業務には、明示的な同意は不要です。
ただし、みなし同意は包括的な許可ではありません。合理的な人が雇用関係において適切と判断できる目的にのみ適用されます。
| 活動 | みなし同意? | 備考 |
|---|---|---|
| 給与処理 | はい | 標準的な雇用目的 |
| CPF拠出 | はい | 法的義務 |
| IRAS確定申告 | はい | 法的義務 |
| 社員写真のマーケティング利用 | いいえ | 明示的同意が必要 |
| 同僚への医療情報共有 | いいえ | 同意または法的根拠が必要 |
通知義務(Notification Obligation)
みなし同意が適用される場合でも、雇用主は従業員に以下を通知する必要があります:
- どのような個人情報を収集するか
- なぜ収集するか(目的)
- 誰に共有される可能性があるか
NRIC収集ガイドライン — よくある落とし穴
2019年9月1日から、シンガポールのNRIC関連ガイドラインが施行されています。
してはいけないこと
- 法的に必要な場合や正確な本人確認に不可欠な場合を除き、NRIC/FIN/出生証明書番号の全桁収集は禁止
- NRICを汎用識別子として使用することは禁止(社員ログイン、整理番号など)
代わりにすべきこと
- 部分的な識別で十分な場合はNRICの末尾4桁のみ収集
- 代替識別子の使用(社員番号など)
- 法的に求められる場合(CPF、IRAS、MOM就労ビザ)のみ全桁保持
従業員の権利
従業員には以下の権利があります:
- 雇用主が保有する自身の個人情報へのアクセス要求権
- 不正確なデータの訂正要求権
- 過去1年間のデータ利用・開示状況の確認権
雇用主はアクセス要求に30日以内に対応する必要があります。
データ保管 — 永久保存は禁止
| データ種別 | 推奨保管期間 | 根拠 |
|---|---|---|
| 給与記録 | 退職後5〜7年 | IRAS監査要件 |
| 税務記録(IR8A) | 5年 | IRAS要件 |
| CPF記録 | 5年 | CPF Board要件 |
| 医療費請求 | 退職後1〜2年 | 保険精算 |
| 人事評価 | 退職後2〜3年 | リファレンス確認用 |
従業員退職後は、記録を無期限に保管するのではなく明確な削除スケジュールを策定すべきです。
よくあるHR PDPA違反事例
- 同意なしの医療情報共有 — 上司がHRに社員の病名を問い合わせ、HRが共有すると違反
- 給与明細の露出 — 印刷した給与明細を同僚が見える場所に放置
- 誤送信 — 給与情報を誤った相手にメール送信するとデータ漏洩に該当
機密HR文書を安全に共有する方法
これらの違反の多くは、機密文書を共有する安全なチャネルが不足していることが原因です。
LOCK.PUBを使えば、パスワード保護されたメモを作成して、給与明細や採用条件、医療情報などを安全に共有できます。メール添付の代わりに、パスワードを知る受信者だけがアクセスできるセキュアリンクを提供します。LINEやメールで直接送るよりも安全です。
HRコンプライアンスチェックリスト
- 全従業員に個人情報保護通知を提供
- NRIC全桁収集を法的必須目的のみに制限
- 非標準的なデータ利用に対する同意取得
- データ保管スケジュールの文書化と遵守
- 機密従業員データ送信時のセキュアチャネル使用
- 国外移転時の保護措置整備
- HR担当者へのPDPA研修実施
要点まとめ
- PDPAは従業員データに適用 — みなし同意は無制限ではない
- NRIC全桁収集を停止 — 2019年9月以降、法的必須の場合を除き禁止
- データを永久保存しない — 明確な削除スケジュールを策定
- 機密HR文書は安全に共有 — LOCK.PUBでパスワード保護
- HR担当者を教育 — 組織で最も機密性の高いデータを扱う部門です
機密HR文書を安全に共有する必要がありますか?LOCK.PUBでパスワード保護されたメモを作成しましょう。
キーワード
こちらもおすすめ
シンガポールのデータ侵害通知義務:3日ルールを解説
シンガポールPDPAに基づく義務的データ侵害通知要件を理解しましょう。3日ルール、通知対象の基準、必須手順を説明します。
シンガポールのDPO任命義務:すべての企業が知るべきこと
シンガポールのすべての組織はデータ保護責任者(DPO)を任命する必要があります。PDPA要件、責任、資格、外部委託オプション。
シンガポールのHealthHubとNEHR:あなたの医療記録はどう管理されているのか
シンガポールのNEHR(国家電子健康記録)で医療データがどのように保存・共有・保護されているかを解説。患者の権利と医療情報の安全な共有方法を紹介します。