Data Privacy Act、フィリピンの個人情報保護法で9月9日までに必須の対応 | フィリピンで働くシリアル・アントレプレナーの日記

Data Privacy Act、フィリピンの個人情報保護法で9月9日までに必須の対応

Data Privacy Act 、フィリピンの個人情報保護法について、対応の期限が迫っている。

にも関わらず、あまり情報が日本語で出回っている印象を受けない。

登録モレで害を被る在比日本企業が出てこないよう、自分が理解している範囲だが下記まとめておく。

 

・DPA(Data Privacy Act)は2012年に制定され、本年から施行される

・日本で2003年に制定された「個人情報の保護に関する法律」に近い法律。

250人のWorkerがいるか、1,000人以上の顧客情報を扱う企業や、通信・ネット・BPOに該当する企業は、この法律の対象になる 

・対象となった企業は、PICs(personal information controllers) と呼ばれる。

・このPICは、DPO (Data Protection Officer) と言う人を置かねばならない

・どのPICで誰かDPOかを、政府に届け出なければいけない。期限は来月9月9日。

DPOは社内の人間である必要がある。

・Conflict of interestの関係上、社長は本来DPOには望ましくない。社長はガンガン前に進む中、DPOはブレーキ役として機能すべきだから。

・しかし、中小企業ならば社長がDPOでもしょうがない。

・なぜなら、DPOは情報事故が起きた時の責任を担うため、社長以外では成り手が少ない。一方、社長はもとから個人情報保護の責任を負っているから、DPOになって責任が増えるわけではない(はず)。

・DPOは、情報保護のフレームワークを作り、保護手段を明確化して実行させ、その結果のレポートを得る、と言う形で、PDCAを回す必要がある。(日本のプライバシーマーク取得事業者がやっていることを、一定以上の規模の企業に対し一律に求めており、なかなか無理があってフィリピンらしいな、と言うのが筆者の印象)

・DPOはそのタスクのうちのいくつかを社外にアウトソース可能。アウトソース先はPIPs(personal information processors)と呼ばれる

・タスクはPIPsにアウトソース可能でも責任はDPOが負わねばならない

・なお、来月9月9日に期限が来るのはDPOの登録のみ。まだPDCAが回っていなくても構わない。

・フィリピンのお役所のウェブサイトは大抵イマイチですが、本件の管轄 National Privacy CommisionのウェブサイトはUIがよくできていますのでご覧あれ。

 

まとめ

・フィリピンの日系中小企業は、来週9月9日土曜日までに、社長をDPOとして届け出ましょう

 

以上、間違いがあったらご指摘歓迎。登録する・しないは自己責任でお願いします。JETROさんなど公的機関が日本語で正確にまとめて頂けると幸甚です。