Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

シンガポールPDPAプライバシーガイド:個人データ保護法に基づくあなたの権利
シンガポールの個人データ保護法(PDPA)は2014年から施行されていますが、多くのシンガポール人はこの法律が与える権利を依然として知りません。タクシーに乗ることからタピオカティーを買うことまで、ほぼすべての取引に何らかのデータ収集が伴うこの都市国家では、プライバシーの権利を理解することは任意ではなく、必須です。
PDPAは、組織が個人データを収集、使用、開示、保管する方法を規制しています。個人データ保護委員会(PDPC)が執行を担当し、苦情の調査、指示の発行、違反1件あたり最大100万シンガポールドルの罰金を課す権限を有しています。
PDPAの適用範囲
PDPAにおける個人データ
個人データとは、単独でまたは他の情報と組み合わせて個人を特定できるデータと定義されます。以下が含まれます:
| 種類 | 例 |
|---|---|
| 識別子 | NRIC番号、FIN、パスポート番号 |
| 連絡先情報 | 電話番号、メールアドレス、住所 |
| 金融データ | 銀行口座番号、クレジットカード情報、収入 |
| 雇用データ | 職位、雇用主、給与、業績評価 |
| 健康データ | 医療記録、処方箋、保険請求 |
| 生体データ | 指紋、顔認識データ |
| デジタル識別子 | IPアドレス、デバイスID、閲覧履歴 |
| 画像・録音 | CCTV映像、写真、音声録音 |
適用されないもの
PDPAは以下には適用されません:
- 政府機関(政府指示マニュアルにより規制)
- 個人的または家庭内の目的(個人の連絡先リスト)
- 業務目的で使用される業務連絡先情報
- 故人のデータ(死亡後10年以上経過)
PDPAに基づく5つの主要な権利
1. 同意の権利
組織は個人データの収集、使用、開示の前に同意を得なければなりません。収集の目的を通知される必要があり、同意は任意でなければなりません。いつでも同意を撤回できますが、組織はその結果を通知する場合があります。
実践的なヒント: ロイヤリティプログラムへの加入のためにNRICを求める店があれば、拒否できます。不必要な個人データなしでサービスを提供しなければなりません。
2. アクセスの権利
組織が保有する個人データ、および過去1年間にデータがどのように使用・開示されたかの情報へのアクセスを要求できます。組織は30日以内に応答しなければなりません。
実践的なヒント: どの企業にも、自分に関してどのような個人データを保有しているか書面で問い合わせることができます。法的に回答する義務があります。
3. 訂正の権利
組織が保有する個人データが不正確または不完全な場合、訂正を要求する権利があります。組織はデータを修正し、過去1年間に共有された他の組織にも修正版を送付しなければなりません。
4. 同意撤回の権利
組織が個人データを収集、使用、開示することへの同意をいつでも撤回できます。組織は合理的な期間内に対応し、結果(特定のサービスを提供できなくなるなど)を通知しなければなりません。
5. データポータビリティの権利(2021年改正)
2021年のPDPA改正で導入されたデータポータビリティ義務により、一般的に使用されるフォーマットでデータを他の組織に送信するよう要求できます。これは、あなたが提供した電子形式のデータに適用されます。
NRIC収集ルール
PDPAで最も影響力のあるガイドラインの1つがNRIC収集に関するものです。2019年9月以降:
| 状況 | 完全なNRICを収集できるか? |
|---|---|
| 銀行口座の開設 | はい — 法的に必要 |
| 病院の登録 | はい — 法的に必要 |
| 雇用記録 | はい — 法的に必要 |
| ビル訪問者記録 | いいえ — 下4桁または代替IDを使用 |
| 小売ロイヤリティプログラム | いいえ — 代替識別子を使用 |
| 抽選登録 | いいえ — 代替識別子を使用 |
| ジム会員登録 | いいえ — 代替識別子を使用 |
対処法: 必須でないサービスが完全なNRICを求める場合、拒否してNRIC番号に関するPDPA助言ガイドラインを引用できます。
電話拒否登録簿(DNC)
PDPAはシンガポールの電話拒否(DNC)登録簿を設立し、テレマーケティングの電話、SMS、ファックスをオプトアウトできるようにしました。dnc.gov.sgで番号を登録できます。
| 登録 | 保護 |
|---|---|
| 電話拒否登録 | テレマーケティング音声通話をブロック |
| SMS拒否登録 | テレマーケティングSMSをブロック |
| ファックス拒否登録 | テレマーケティングファックスをブロック |
組織は無断マーケティングメッセージ1件あたり最大10,000シンガポールドルの罰金に直面します。
PDPAの苦情申立方法
組織が個人データを不適切に扱ったと思う場合:
ステップ1:組織に直接連絡
組織のデータ保護担当者(DPO)に書面で連絡します。PDPAの対象となるすべての組織はDPOを指定する必要があります。何が起きたか、どのような対応を望むかを明確に述べてください。
ステップ2:PDPCに苦情を提出
組織が30日以内に満足のいく回答をしない場合、pdpc.gov.sgでPDPCに苦情を提出します。含めるもの:
- 個人情報
- 組織の情報
- 事件の説明
- 証拠(スクリーンショット、メール、やり取り)
- 求める解決策
ステップ3:PDPCの調査
PDPCが苦情を評価し、調査を開始する場合があります。考えられる結果:
- 組織にデータ慣行の停止を指示
- 不適切に収集されたデータの廃棄を指示
- 最大100万シンガポールドルの罰金
- 公開執行決定(PDPCウェブサイトに掲載)
注目すべきPDPA執行事例
| 年 | 組織 | 違反 | 罰則 |
|---|---|---|---|
| 2019 | SingHealth | 150万件の患者記録が漏洩 | S$250,000 |
| 2019 | IHiS(ITベンダー) | SingHealth漏洩におけるセキュリティ対策の不備 | S$750,000 |
| 2020 | Integrated Health Information Systems | 無許可のデータ開示 | S$50,000 |
| 2021 | 複数の中小企業 | 不適切なNRIC収集 | 警告および指示 |
| 2022 | 複数の組織 | 不十分なセキュリティによるデータ漏洩 | 各種罰則 |
日常生活のための実践的PDPAヒント
- プライバシーポリシーを読む — サービス登録前にどのデータが収集されるか把握
- DNC登録簿を利用する — 不要なマーケティングメッセージを停止
- データ削除を要求する — 使用しなくなったサービスから
- NRIC収集を拒否すべき場面を知る — PDPAの助言ガイドラインを引用
- データ漏洩を報告する — 発見したらPDPCに通報
- DPOの連絡先を尋ねる — 組織がデータを収集する際
- アクセス権を行使する — 企業が保有するデータを確認
個人データを安全に共有する
PDPAに基づき、組織はデータを保護しなければなりません。しかし、自分自身の情報を守る役割も自分にあります。銀行申請のためのNRIC、取引のための金融情報、紹介のための医療記録を共有する必要がある場合、LINEで平文のまま送信するのは避けてください。
LOCK.PUBを使って、機密情報を含むパスワード保護付きの自動削除リンクを作成しましょう。受信者がパスワードを入力して閲覧し、設定された有効期限後にデータが消えます。これにより、侵害されたメッセンジャーアカウントやデバイスの盗難を通じて個人データが漏洩するリスクを最小限に抑えられます。
まとめ
PDPAは、シンガポールにおける個人データに対する実質的で法的強制力のある権利を付与しています。最も重要なポイント:組織がどのデータを収集しているか知る権利、不必要な収集を拒否する権利、データが不適切に扱われた場合に苦情を申し立てる権利があります。
これらの権利を積極的に行使してください。不必要なNRIC収集を拒否し、DNC登録簿に登録し、使用しないサービスからのデータ削除を要求し、個人情報を共有する必要がある場合はLOCK.PUBを使って安全に行いましょう。プライバシーは贅沢品ではありません — シンガポールの法律が保護する権利です。
キーワード
こちらもおすすめ
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
シンガポールのデータ侵害通知義務:3日ルールを解説
シンガポールPDPAに基づく義務的データ侵害通知要件を理解しましょう。3日ルール、通知対象の基準、必須手順を説明します。
シンガポールのDPO任命義務:すべての企業が知るべきこと
シンガポールのすべての組織はデータ保護責任者(DPO)を任命する必要があります。PDPA要件、責任、資格、外部委託オプション。