世界のプライバシー保護規制対応を支援するサイト

シンガポール PDPA違反に関する決定6件を公表


シンガポールのデータ保護監督機関(PDPC)は、2021年9月21日、シンガポールの個人情報保護法(PDPA)違反に関する決定6件を公表した。以下、各事案の概要を紹介する。

新たな人事・給与システムを導入した企業の保護義務違反に対し、13,500SGDの制裁金

SAP Asia社(以下、「SAP社」という)が、2020年3月31日、同社の人事・給与システムに、退職した元従業員に給与明細を発行するための新たなプログラム(以下、「新プログラム」という)を導入し、これを実行したところ、元従業員43人のうち29人に対し、他の元従業員の給与明細(氏名、銀行口座番号、給与の内訳等を含む)が開示されるという事態が発生した。

このような事態は、SAP社から新プログラムの設計を委託されたX社(SAP社の人事・給与システムを開発した会社)が、新プログラムの仕様に関するSAP社の指示が不明確なものであったため、SAP社の目的・意図とは異なる新プログラムを設計したために生じたものである。また、SAP社は、新プログラムを実行する前のテストを行っていなかった。

PDPCは、SAP社において、■ 同社の目的・意図を正確に反映した新プログラムの仕様をX社に提供していなかったこと、■ 新プログラムについて、実行前テストを行っていなかったことが保護義務(合理的なセキュリティ対策を講じて個人データを不正アクセス等のリスクから保護する義務。PDPA24条)違反であるとして、同社に対し、13,500シンガポールドル(SGD)の制裁金を課した。

本決定の中で、PDPCは、本件のような新プログラムを含むシステム開発を別の会社に委託する場合の委託元の保護義務の内容として、

  • システム開発の受託企業に対し、システムの目的や必要とする機能を正確に反映した仕様を提供すること
  • 目的とする機能のすべてを精密にシミュレートする新システムの導入前テストを行うこと

が含まれることを明示している。これは、シンガポールに支店等を有する日本企業に限らず、新たに人事システムを導入する企業一般が留意すべき点であるといえよう。

AWSアカウント侵害を受けた企業の保護義務違反に対し、9,000SGDの制裁金

2021年2月10日、Sendtech社のAmazonウェブサービス(AWS)アカウントが不正アクセスを受け、64,196名の顧客と請負業者の従業員3,401名の個人データが影響を受けた。

同社は、この不正アクセスを受ける前に、認証情報の管理に関するAWSポリシー(アイデンティティやリソースに関連付けてアクセス許可を定義するもの)を作成していなかった。また、退職した従業員によるアクセスを管理する手順を確立していなかったため、従業員が退職した場合でも認証情報の変更は行われていなかった。これらの点を踏まえ、PDPCは、Sendtech社の保護義務(PDPA24条)違反を認め、同社に対し、9,000SGDの制裁金を課した。

AWSを利用する企業においては、本決定を参考に、AWSポリシーの作成・確認等を行い、AWSアカウントへの不正アクセスを防止する対策を講じる必要がある。

ランサムウェア攻撃を受けた企業の保護義務違反に対し、8,000SGDの制裁金

2021年6月15日頃、Seriously Keto社(以下、「Keto社」という)のサーバーがランサムウェア攻撃を受け、3,073名の個人データが影響を受けるという事態が発生した。

同社のネットワークインフラストラクチャ上には、不十分な保護状態のファイル(サーバーにアクセスするための暗号化されていない認証情報を含む)が存在していた。本件のランサムウェア感染は、この不十分な保護状態のファイルへの不正アクセスを介して行われたものである。

Keto社は、本件が発生する前に、個人データ保護のための合理的なセキュリティ対策を講じていなかったが、仮に、セキュリティ対策として、同社が定期的なセキュリティ評価を行っていれば、不十分な保護状態のファイルは事前に発見された可能性が高かった。このことから、PDPCは、同社が保護義務(PDPA24条)に違反しているとして、同社に対し、8,000SGDの制裁金を課した。

なお、Keto社は、セキュリティ対策の実施をベンダーに委託していた旨の主張をしたが、PDPCは、同社とベンダーとの間で、セキュリティ対策実施の責任をベンダーが負うとする明確な契約上の規定等が存在していない以上、個人データを保護するためのセキュリティ対策を実施するべき保護義務は、依然として委託元であるKeto社が負っていると判断している。

本件により、セキュリティ対策をベンダーに委託している場合においても、委託元企業が原則として保護義務を負うこと、ランサムウェア攻撃から個人データを保護する上で定期的なセキュリティ評価が重要であることが示された。関連する企業においては、本決定に従う適切な対応が求められているといえる。

公表されたその他の決定の概要

  • Specialized Asia Pacific社の開発・運営するアプリケーションのデフォルトのプライバシー設定が、開発に使用されたオンラインツールにより「公開」となっていたため、2445名の個人データが不正アクセスの危険にさらされた(PDPA24条保護義務違反)。もっとも、実際には、特殊なアクセス方法を知らなければ不正アクセスができない状態であったこと等から、PDPCは、同社に対し、アプリケーションの開発手順の改善等に関する警告を発するにとどめた。
  • NUInternational Singapore社及びNew Research and Innovation Institute社は、PDPAと同等の保護を確保しないまま、シンガポールに所在する個人の個人データを、英国にある親会社やマレーシアの関連会社に移転していた(PDPA26条1項違反)。PDPCは、両社に対し、決定から30日以内に、①PDPAと同等の保護を確保するグループ企業内契約の締結又は拘束的企業準則の適用(2021年個人情報保護規則11条2項・3項)、又は、②必要な通知を行った上での本人からの同意取得(同規則10条2項・3項)のいずれかを実施し、PDPAに準拠した域外移転を行うよう是正命令を出した。
  • Carousell社が運営するマーケットプレイスのユーザーのアカウントが不正アクセスを受ける事態が発生した。本件当時、同社が、●アカウント情報の変更や新しいデバイスからのログインがあった場合のユーザーへの通知、●不正利用の可能性があるカード利用のブロックや審査、●カード決済のためのワンタイムパスワードの導入、●定期的なセキュリティ評価の実施、●個人データ保護に関する従業員トレーニング等を実施していたことから、PDPCは、本件に関し、同社に保護義務(PDPA24条)違反はないと判断した。

【PDPCの決定一覧】

https://www.pdpc.gov.sg/All-Commissions-Decisions

関連記事