Data Privacy Act、フィリピンの個人情報保護法で9月9日までに必須の対応
Data Privacy Act 、フィリピンの個人情報保護法について、対応の期限が迫っている。
にも関わらず、あまり情報が日本語で出回っている印象を受けない。
登録モレで害を被る在比日本企業が出てこないよう、自分が理解している範囲だが下記まとめておく。
・DPA(Data Privacy Act)は2012年に制定され、本年から施行される
・日本で2003年に制定された「個人情報の保護に関する法律」に近い法律。
・250人のWorkerがいるか、1,000人以上の顧客情報を扱う企業や、通信・ネット・BPOに該当する企業は、この法律の対象になる
・対象となった企業は、PICs(personal information controllers) と呼ばれる。
・このPICは、DPO (Data Protection Officer) と言う人を置かねばならない
・どのPICで誰かDPOかを、政府に届け出なければいけない。期限は来月9月9日。
・DPOは社内の人間である必要がある。
・Conflict of interestの関係上、社長は本来DPOには望ましくない。社長はガンガン前に進む中、DPOはブレーキ役として機能すべきだから。
・しかし、中小企業ならば社長がDPOでもしょうがない。
・なぜなら、DPOは情報事故が起きた時の責任を担うため、社長以外では成り手が少ない。一方、社長はもとから個人情報保護の責任を負っているから、DPOになって責任が増えるわけではない(はず)。
・DPOは、情報保護のフレームワークを作り、保護手段を明確化して実行させ、その結果のレポートを得る、と言う形で、PDCAを回す必要がある。(日本のプライバシーマーク取得事業者がやっていることを、一定以上の規模の企業に対し一律に求めており、なかなか無理があってフィリピンらしいな、と言うのが筆者の印象)
・DPOはそのタスクのうちのいくつかを社外にアウトソース可能。アウトソース先はPIPs(personal information processors)と呼ばれる
・タスクはPIPsにアウトソース可能でも責任はDPOが負わねばならない
・なお、来月9月9日に期限が来るのはDPOの登録のみ。まだPDCAが回っていなくても構わない。
・フィリピンのお役所のウェブサイトは大抵イマイチですが、本件の管轄 National Privacy CommisionのウェブサイトはUIがよくできていますのでご覧あれ。
まとめ
・フィリピンの日系中小企業は、来週9月9日土曜日までに、社長をDPOとして届け出ましょう。
以上、間違いがあったらご指摘歓迎。登録する・しないは自己責任でお願いします。JETROさんなど公的機関が日本語で正確にまとめて頂けると幸甚です。