Loading…
シンガポールのPDPAは、2020年改正以降大きく成熟した、思慮深く実務的なプライバシー法です。GDPRのような適法な根拠の列挙ではなく義務ベースの枠組みを採用し、Do Not Call登録制度を通じてダイレクトマーケティング規則を統合し、制裁金をシンガポール国内売上高の10%までに制限しています。APAC地域に本社を置く企業にとって、PDPAはグローバルなプライバシープログラムが実際に構築される起点となることが多いものです。
| 項目 | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| 法令 | 規則(EU)2016/679 | 個人データ保護法2012(2012年法律第26号)。2020年改正により大幅に強化 |
| 規制当局 | EU加盟国27か国のDPA + EDPB | 個人データ保護委員会(PDPC) |
| 構造的アプローチ | 適法な根拠の列挙(第6条)。権利ベース(第3章) | 義務ベース — 9つの中核的義務 + Do Not Call制度 + 侵害通知 |
| 最高制裁金 | 2,000万ユーロまたは全世界売上高の4%(第83条(5)) | S$100万を上限。シンガポール国内の年間売上高がS$1,000万超の組織は、年間売上高の最大10% |
| 下位区分の制裁金 | 1,000万ユーロまたは全世界売上高の2% | 違反1件あたりの上限は同じ。違反の種類により異なります |
| 同意モデル | オプトイン(6つの適法な根拠のうちの1つ) | 同意義務 + みなし同意(通知ベース)+ 正当な利益の例外 |
| 適法な根拠 | 6つ — 同意、契約、法的義務、重大な利益、公共の任務、正当な利益 | 同意、または13の法定例外のいずれか(附則1〜2) |
| 通知要件(同意) | 収集時点でのプライバシー通知 | 通知義務 — 収集前または収集時に目的を伝達 |
| アクセス権 | 第15条 — 1か月以内に確認 + 写しの提供 | アクセス義務 — 合理的な期間内、手数料の徴収可 |
| 訂正の権利 | 第16条 | 訂正義務 |
| データポータビリティの権利 | 第20条 — 構造化され、一般的に使用される形式 | あり — 2020年改正により追加 |
| 削除の権利 | 第17条 | 保存制限義務を通じて黙示的に存在。2020年以前は独立した削除の権利はありません |
| DPO要件 | 定められた場合に必須(第37条) | すべての管理者に必須(PDPA第11条(3))— 氏名と連絡先を公表する必要があります |
| 侵害通知 | 監督機関へ72時間以内 + 高リスクの場合はデータ主体へ通知 | PDPCへ72時間以内 + 影響を受ける個人へ通知 — しきい値:重大な損害、または500名以上 |
| 越境移転 | SCC、BCR、十分性(第5章) | 移転制限 — 同等水準の保護評価。契約上の保護措置 |
| ダイレクトマーケティング | 適法な根拠が必要 + ePrivacy規則 | Do Not Call登録義務。同意 + オプトアウトの仕組み |
| 機微データ | 第9条 — 特別な種類のデータ、明示的な同意 + 条件 | 正式な機微カテゴリーはなし — 目的別の同意を通じて取り扱われます |
| 子どものデータ | 標準16歳(加盟国は13歳まで引き下げ可) | 13歳未満 — 親権者の同意 |
| データ保護トラストマーク | 正式な制度はなし | あり — 任意の認証(PDPA DPTM) |
| 制裁の開始時期 | 2018年5月 | 実質的な制裁は2014年に開始。2020年改正で上限構造を強化 |
おおむねそうです。第11条(3)に基づき、連絡先を公開してDPOを任命し、該当する場合はダイレクトマーケティングのキャンペーンをDNC登録簿と照合し、侵害について72時間以内にPDPCへ通知し、シンガポールからの移転について移転制限の保護措置を確認してください。
シンガポールは全国規模のDo Not Call登録簿を維持しています。シンガポールの電話番号に対してテレマーケティングの音声、SMS、またはファックス通信を送信する前に、組織は該当するDNC登録簿(音声、テキスト、ファックス)と照合する必要があります。違反はPDPAに基づき個別に処罰されます。
IMDAが運営する任意の認証です。保有者のPDPA準拠を示すもので、特に政府および金融セクターの購買者に対するB2B営業において有用な信頼の証となります。
中程度ながら一貫しています。PDPCは執行決定を公表しており、SingHealth(S$25万)、Integrated Health Information Systems(S$75万)、およびDNC違反に関わる各種マーケティング組織などに対して、数百万ドル規模の制裁金を科してきました。
厳密には不要です。DPOはシンガポールで公開された連絡先で連絡が取れる必要がありますが、シンガポール居住者である必要はありません。RegulatoryBridgeは通常、シンガポールに拠点を持つ地域DPOを任命します。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。