フィリピンの個人情報保護法を弁護士が解説
フィリピン共和国(以下、フィリピン)における個人情報保護の基本法である「Data Privacy Act of 2012(共和国法第10173号、以下「DPA」)」は、2012年に制定され、2016年の施行規則(IRR)の公布を経て本格的な適用が開始された包括的なデータ保護法です。本法律は、情報通信技術の発展に伴う個人のプライバシーという基本的人権の保護と、イノベーションや国家の成長を促進するための国境を越えたデータの自由かつ適正な流通の確保を両立させることを目的としています。この法律に基づき、独立した監督機関である国家プライバシー委員会(National Privacy Commission、以下「NPC」)が設立され、規則の制定、コンプライアンスの監視、そして強力な執行権限を行使しています。
フィリピンのDPAは、欧州連合(EU)の1995年データ保護指令をモデルとして策定されており、今日のグローバルなプライバシー基準に沿った極めて厳格な枠組みを有しているのが特徴です。そのため、フィリピン市場への進出を検討している日本企業や、現地の労働力を活用してビジネスを展開する多国籍企業にとって、本法の遵守は避けて通れない最重要の経営課題となっています。日本企業が特に注意すべき点は、日本の個人情報保護法(以下「APPI」)とは根本的に異なる法構造や規制の厳格さです。
フィリピンのDPAは、フィリピン国内に拠点を持つ企業のみならず、フィリピン市民や居住者のデータを処理するすべての法人や自然人に対して広く域外適用されます。また、年齢や政府発行のID番号といった日本のAPPIでは一般的な個人情報として扱われる項目が「センシティブ個人情報」として厳格に規制されており、その収集や処理には極めて高いハードルが設けられています。データ処理の法的根拠としてはデータ主体の積極的な同意が強く求められ、正当な利益を根拠とする場合でも厳格な要件を満たす評価手続きが必須となります。さらに、一定の基準を満たす企業にはNPCへのデータ処理システムの登録とデータ保護責任者(DPO)の選任が義務付けられており、公的な登録シールの掲示までが要求されます。
そして最も重大な相違点は、違反時に最大7年の禁錮刑や最高500万ペソの罰金という非常に重い刑事罰が規定されており、法人の違反に対しては経営陣や役員個人が直接処罰の対象となるという極めて厳格な法人責任の追及がなされる点にあります。本記事では、具体的な法令の条文やNPCのガイドライン、そして最高裁判所の重要判例を根拠に、日本企業が直面する法的リスクと構築すべきコンプライアンス体制について詳細に解説します。
この記事の目次
フィリピンにおける適用対象と域外適用の枠組み
日本企業の法務担当者がフィリピンのDPAを理解する上で最初に直面する複雑な問題は、法律の適用範囲と広範な「域外適用(Extraterritorial Application)」の規定です。DPA第6条および施行規則(IRR)第4条によれば、この法律はフィリピン国内で行われる個人情報の処理行為だけでなく、フィリピン国外で行われる行為に対しても適用されることが明記されています。
具体的には、個人情報を処理する法人や自然人がフィリピン国内に設立されている場合、またはフィリピン国内に設備やオフィス、支店、代理店を維持している場合は、当然にDPAの適用対象となります。さらに、事業体がフィリピン国内で契約を締結した場合や、フィリピン国内で事業を展開しているという「実質的な関連性(Links)」がある場合にも適用が及びます。
しかし、日本のAPPIの域外適用基準との比較において最も注目すべき重要な違いは、DPAが「処理される個人データがフィリピン市民またはフィリピン居住者のものである場合」に適用されるという属人的な基準を採用している点です。日本のAPPI第171条では、日本国外にある事業者が「日本国内にある者に対して物品またはサービスを提供するに関連して」個人情報を取り扱う場合にのみ域外適用がなされると規定されています。つまり、日本法は主として「日本国内へのサービスの提供」という行為の方向性や地理的な位置を基準としており、データ主体の国籍や永住権を要件とはしていません。例えば、外国企業が日本国内の支店の従業員の人事データをグローバルシステムで管理する場合、それが物品やサービスの提供に関連しない内部的な雇用管理目的であれば、APPIの域外適用は受けないという解釈が一般的です。
これに対し、フィリピンのDPAはデータ主体の「市民権(国籍)」や「居住性」をトリガーとしています。この法構造から、日本企業がフィリピン国内に一切の物理的拠点や事業展開の意図を有していなくても、日本国内の事業所でフィリピン国籍の従業員やアルバイトを雇用し、その給与計算や人事評価のために個人データを処理する場合、フィリピンのDPAの域外適用対象となるということが言えるでしょう。また、フィリピン居住者に対してオンラインでサービスを提供し、顧客データを日本のサーバーで収集・保管する場合も同様です。したがって、日本企業は自社のデータマッピングを実施する際、日本法に基づく適法性の確認だけでなく、処理対象となるデータ主体にフィリピン市民が含まれているかどうかを特定し、フィリピン法固有の要件を満たすための追加的なコンプライアンス体制を構築する必要があります。
ただし、DPAにはいくつかの適用除外規定も存在します。例えば、公的機関の職員の職務に関する情報や、ジャーナリズム、芸術、文学、研究のみを目的として処理される個人情報、公共の権限の遂行(法執行機関の活動など)に必要な情報、そして「外国の司法管轄区の居住者から外国の法律に従って収集され、フィリピン国内で処理される個人情報」は、特定の要件下でDPAの適用から除外されます。この最後の除外規定は、フィリピンをアウトソーシング拠点(BPO)として利用し、第三国の居住者のデータをフィリピン国内で処理する事業者を保護するための措置ですが、その立証責任は適用除外を主張する事業者の側にあります。
フィリピンにおけるセンシティブ個人情報の定義と取り扱い
フィリピンのDPAに基づく実務において、日本企業が最も頻繁に陥る落とし穴は「個人情報」と「センシティブ個人情報(Sensitive Personal Information)」の区分とその定義の広さです。DPA第3条は、特定の属性を持つ情報をセンシティブ個人情報として定義し、その処理に対して極めて厳格な制限を課しています。日本のAPPIにおける「要配慮個人情報」の概念と一見似ていますが、その対象範囲には重大な違いが存在します。
| 項目 | 日本の個人情報保護法(要配慮個人情報) | フィリピンのDPA(センシティブ個人情報) |
| 基本的な属性 | 人種、信条、社会的身分 | 人種、民族的出自、年齢、肌の色、宗教的・哲学的・政治的所属 |
| 身体・医療・遺伝 | 病歴、身体障害、知的障害、精神障害等 | 健康状態、教育、遺伝情報、性生活に関する情報 |
| 司法・犯罪関連 | 犯罪の経歴、犯罪により害を被った事実 | 犯罪歴、現在進行中の法的手続きの対象となっている事実 |
| 家族・婚姻関係 | 原則として含まれない | 婚姻状況(配偶者の有無など) |
| 政府発行のID等 | 原則として含まれない(マイナンバー等を除く) | 社会保障番号、運転免許証、納税者番号、パスポート等の政府発行ID |
日本のAPPIにおける要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害事実など、不当な差別や偏見が生じないように特に配慮を要する情報に限定されています。年齢や婚姻状況、一般的な政府発行の身分証明書番号(特定個人情報に指定されているマイナンバーを除く)は、原則として通常の個人情報として取り扱われます。
しかし、フィリピンのDPAにおいては、年齢、肌の色、婚姻状況、さらには教育に関する情報までもがセンシティブ個人情報に分類されます。さらに実務上最も影響が大きいのが、「政府機関が発行した個人に特有のID番号や文書」がすべてセンシティブ個人情報に含まれるという点です。これには、社会保障番号(SSS)、運転免許証番号、納税者番号(TIN)、健康保険証、パスポートのコピーなどが該当します。
日本企業が従業員の採用手続きや福利厚生の申請、あるいは顧客の本人確認(KYC)のために運転免許証やパスポートのコピーを取得する行為は、日本の感覚では一般的な個人情報の取得手続きに過ぎません。しかし、フィリピン法下ではこれは「センシティブ個人情報の処理」に該当します。DPA第13条およびIRR第22条によれば、センシティブ個人情報の処理は原則として禁止されており、データ主体から処理に先立って明示的な「事前の同意」を取得した場合、または法律で特に定められている場合など、極めて限定的な例外事由に該当する場合にのみ適法とされます。この認識のズレが、後述する刑事罰や行政罰を招く最大の要因となります。
フィリピンにおけるデータ処理の適法化要件(同意と正当な利益)
個人データを適法に処理するためには、DPA第12条(一般的な個人情報)および第13条(センシティブ個人情報)に定められた法的根拠のいずれかを満たす必要があります。フィリピンのデータ保護実務において最も重視されているのは「データ主体の同意(Consent)」ですが、企業活動の現実的なニーズに応えるために「正当な利益(Legitimate Interest)」という基準も設けられています。NPCはこれらの運用を明確化するため、詳細なガイドラインを発行しています。
同意要件の厳格性と同意疲れの防止
DPAにおける「同意」とは、自由に与えられ、特定され、十分な情報に基づいた意思表示であり、書面、電子的手段、または録音などの手段によって明確に証明されるものを指します。NPCが2023年に発行した「同意に関するガイドライン(NPC Circular 2023-04)」は、同意取得のプロセスにおける企業の義務をさらに厳格化しました。
同ガイドラインによれば、沈黙や無対応、あるいはあらかじめチェックが入ったボックスを使用するような「オプトアウト方式」や「黙示の同意」は、有効な同意とはみなされません。同意は、データ主体の明確かつ積極的な行為(オプトイン方式)によってのみ示される必要があります。また、同意は「自由に与えられた」ものでなければならず、データ主体がプレッシャーや威圧を感じたり、同意を拒否した場合にサービスの提供を拒絶されるなどの不当な不利益を被るような状況下(付合契約などで選択の余地がない場合)で取得された同意は、原則として無効となります。
さらにNPCは、データ主体が長大で複雑なプライバシーポリシーを読まされることで生じる「同意疲れ(Consent Fatigue)」を深刻な問題と捉えています。同意疲れは、データ主体を無感覚にし、有効な同意の要件を形骸化させるためです。これを防ぐため、企業は情報を一括して提示するのではなく、「ジャストインタイム通知」や、情報を階層化して必要な部分から段階的に提示する「レイヤード通知(Layered Notices)」をデフォルトのフォーマットとして採用することが強く推奨されています。また、ダイレクトマーケティングを目的としてデータを処理する場合や、複数の目的がある場合には、包括的な同意を取得するのではなく、目的ごとに細分化された同意を取得しなければなりません。
日本企業は、包括的な利用目的を掲げて一括で同意を取得する実務に慣れていますが、フィリピンではこのような手法は法令違反と判断されるリスクが高いということが言えるでしょう。同意に関するNPCの公式ガイドラインは、以下のURLで確認することができます。
正当な利益(Legitimate Interest)に基づく処理の限界
同意の取得が困難または不適切な場合、企業はDPA第12条に基づく「正当な利益」を法的根拠としてデータ処理を行うことができます。しかし、この概念の乱用を防ぐため、NPCは「正当な利益に関するガイドライン(NPC Circular 2023-07)」を施行し、極めて厳格な評価プロセスを義務付けました。
まず大前提として、正当な利益を根拠とするデータ処理は「一般的な個人情報」にのみ適用可能であり、「センシティブ個人情報」や「秘匿特権情報(Privileged Information)」の処理には一切適用できないことが法律上明確に規定されています。前述の通り、フィリピンでは多くの情報がセンシティブ個人情報に該当するため、正当な利益を援用できる場面は実務上かなり限定されます。
正当な利益に依拠して一般的な個人情報を処理する場合、個人情報管理者(Personal Information Controller、以下「PIC」)は事前に「正当な利益評価(Legitimate Interest Assessment、以下「LIA」)」を実施し、その結果を文書化して記録として保持する義務があります。NPCのコンプライアンスチェックや調査の際には、このLIAの記録の提出が求められます。LIAは、以下の3つのテストをすべて満たすことを論理的に実証するものでなければなりません。
- 目的テスト(Purpose Test):企業または第三者が追求する利益が、現実に存在し、明確に特定されており、かつ適法(法律に違反しない)であることを証明します。
- 必要性テスト(Necessity Test):選択されたデータ処理の手段や方法が、目的達成のために必要不可欠(比例原則に適合し、過剰でない)であり、よりプライバシー侵害の少ない合理的な代替手段が存在しないことを証明します。
- バランシングテスト(Balancing Test):企業側の正当な利益が、データ主体の基本的権利や自由を不当に侵害し、それに優先するものではないことを総合的に比較衡量します。
第三者(親会社や提携先など)が自身の正当な利益のためにデータを受領し処理する場合、その第三者自身もPICとみなされ、自らLIAを実施して正当性を検証する責任を負います。日本のAPPIでは、同意が不要な例外事由や、利用目的の通知・公表によって適法性を担保する仕組みが中心であり、このような厳格な三段階の文書化された利益衡量テスト(LIA)を全事業者に義務付ける規定は存在しません。したがって、日本企業がフィリピンで正当な利益を根拠とする場合は、EUのGDPR実務に匹敵する高度なコンプライアンス文書の作成体制を整える必要があります。
フィリピンにおけるデータ保護責任者(DPO)の設置と登録義務
フィリピンのデータ保護規制が日本企業に要求する最も特徴的かつ実務的な負担となるのが、NPCへの義務的な登録制度です。DPAは組織のアカウンタビリティ(説明責任)を重視しており、法律遵守を監督する個人である「データ保護責任者(Data Protection Officer、DPO)」の選任を全PICおよびPIPに義務付けています。さらにNPCは「データ処理システムおよびデータ保護責任者の登録に関するガイドライン(NPC Circular 2022-04)」を施行し、特定の条件を満たす企業に対し、国家プライバシー委員会登録システム(NPCRS)というオンラインポータルを通じて公式にシステムとDPOの登録を行うことを義務付けました。
以下の要件のいずれかに該当するPICまたは個人情報処理者(PIP)は、NPCRSを通じた登録が必須となります。
- 従業員数が250名以上であること。
- 1000名以上のデータ主体の「センシティブ個人情報」を処理していること。
- 処理されるデータが、データ主体の権利や自由にリスクをもたらす可能性が高いこと(自動化された意思決定やプロファイリングを行う場合など)。
この基準において日本企業が最も警戒すべきは「1000名以上のセンシティブ個人情報」という要件です。前述の通り、フィリピンでは年齢や政府発行の身分証明書番号(パスポート、運転免許証、TINなど)がセンシティブ個人情報に該当します。したがって、従業員数がわずか数名の現地法人や駐在員事務所であっても、顧客管理システムに1000件以上の身分証明書データや年齢情報が登録されている場合、あるいはプロモーション活動で1000名以上の一般消費者の詳細データを収集した場合、直ちにこの義務的登録の対象となります。
登録手続きでは、組織の詳細情報、データ処理システムの概要、そして法律遵守の監督責任を負うDPOの氏名と連絡先などを届け出る必要があります。DPOの身元は、データ主体からの要求があれば開示されなければなりません。さらに重要なのは、登録を完了した企業はNPCから公式な「登録シール(Seal of Registration)」を付与されるという点です。企業はこの登録シールを、事業所のメインエントランスや人目につく場所に物理的に掲示しなければなりません。また、自社のメインウェブサイト(グローバルサイトの場合はフィリピン向けの特定のウェブページ)のプライバシーポリシーのページに直接表示するか、クリック可能なリンクとして配置することが法的に義務付けられています。
これにより、一般のデータ主体は、当該企業がNPCの監視下で適法にデータ処理を行っているかを視覚的に確認し、信頼性を評価できるようになっています。日本の個人情報保護委員会には、全事業者に対するこのような強制的なDPOの事前登録システムや、公的な物理的・電子的シールの常時掲示義務は存在しないため、これはフィリピン特有の極めて厳格な行政手続きであるということが言えるでしょう。
フィリピンの安全管理措置とデータ主体の権利保障
DPAの規定に従い、PICおよびPIPは、個人データを不正なアクセス、偶発的または違法な破壊、改ざん、および不正な開示から保護するために、適切な「組織的・物理的・技術的な安全管理措置」を講じる法的義務を負っています。
組織的な安全管理措置としては、プライバシー保護に関する包括的な社内規定やポリシーの策定、全従業員に対する定期的なデータプライバシー研修の実施、そして前述のDPOを中心とした監査・監督体制の構築が含まれます。物理的な安全管理措置では、個人情報が保存されている紙の記録やハードウェアへの物理的なアクセス制限、オフィスの入退室管理、安全な保管庫の利用などが求められます。技術的な安全管理措置としては、強固な暗号化技術の導入、ネットワークセキュリティの確保、アクセスログの監視と保持が該当します。
また、政府機関との契約に関連する特則として、事業者が政府施設外から政府の保有するセンシティブ個人情報にアクセスする場合(オフサイトアクセス)に関する極めて具体的な技術的要件がIRRに定められています。オフサイトアクセスには政府機関の長の事前承認が必要であり、かつ一度にアクセスまたはダウンロードできるレコード数は最大1000件に厳格に制限され、利用可能な最も安全な暗号化基準を使用しなければならないとされています。
同時に企業は、データ主体に対してDPA第16条で保障されている権利を確実に行使できる社内メカニズムを提供しなければなりません。データ主体は以下の広範な権利を有しています。
- 知る権利:自分の個人データがどのように処理されるか、自動化された意思決定の存在などについて事前に情報提供を受ける権利。
- アクセス権:処理されている自分に関するデータの内容や、開示先の第三者の身元について情報を取得する権利。
- 訂正権:不正確または不完全な情報を訂正する権利。
- 消去またはブロックする権利:法律に違反して収集されたデータ、不完全なデータ、または目的が達成されて不要となったデータの処理を一時停止させ、またはシステムから完全に破棄させる権利。
- 異議申し立て権:ダイレクトマーケティングなど特定の目的のための処理に対して異議を唱える権利。
- データポータビリティの権利(第18条):自身のデータを電子的かつ構造化された形式で受け取り、企業側に妨害されることなく他のサービスプロバイダーに移行できる権利。
企業はこれらの権利行使のリクエストを処理するための明確な手順を整備し、問い合わせ窓口の連絡先をプライバシー通知に明示しておく必要があります。
フィリピンにおける個人データの越境移転と業務委託
グローバルにビジネスを展開する日本企業にとって、人事データの一元管理やクラウドサービスの利用に伴う個人データの国境を越えた移転(Cross-border Data Transfers)は不可避のプロセスです。フィリピンのDPAは、データの越境移転そのものを禁止しているわけではありませんが、厳格な「説明責任の原則(Principle of Accountability)」を適用してデータ主体を保護しています。
DPA第21条によれば、PICは自身の管理下にある個人情報に対して最終的な説明責任を負います。これには、情報処理を委託するために国内外の第三者(PIP)に転送された個人情報も含まれます。PICは、業務委託先である海外のサーバー運営会社、クラウドサービス提供者、または日本の親会社が、フィリピンのDPAが要求する基準と同等以上のデータ保護水準を維持することを、契約などの合理的な手段によって担保しなければなりません。
日本のAPPIでは、外国にある第三者へ個人データを提供する際、移転先国の個人情報保護制度に関する情報を本人に提供して事前の同意を得るか、あるいは移転先が日本と同等の保護基準(APEC CBPR認証の取得など)を満たす体制を整備している必要があります。フィリピン法においても、同意はデータの第三者提供を適法化する手段の一つですが、クラウドストレージの利用やシステム保守などの「業務委託(アウトソーシング)」に伴うデータの移転については、データ主体の同意を新たに取得する代わりに、委託元(PIC)と委託先(PIP)との間でデータ共有契約(Data Sharing Agreement)や詳細な業務委託契約を締結するアプローチが一般的です。
この契約において、PIPがPICの文書化された指示にのみ従ってデータを処理すること、強力なセキュリティ対策を講じること、そしてデータ漏洩時には直ちにPICに報告することを法的に義務付けることで、越境移転の適法性を担保します。
フィリピンにおける違反時の重い刑事罰・行政罰と法人役員の責任
フィリピンの個人情報保護法が国際的にも際立って厳しいとされる最大の理由は、その罰則規定にあります。日本のAPPIでは、個人情報保護委員会からの報告徴収や立入検査に応じない場合、あるいは命令違反があった場合などに法人に対して罰金(最高1億円)が科されるものの、不適切なデータ処理行為そのものが直ちに刑事罰の対象となる事案は極めて限定的です。対照的に、フィリピンのDPAは、不適切な処理行為そのものを独立した犯罪とみなし、非常に重い禁錮刑と高額な罰金を「併科」する構造をとっています。
刑事罰の構造と具体的な法定刑
DPA第8章(第25条から第33条)に規定されている主要な違反行為と、それに対する罰則の概略は以下の通りです。対象となるデータが「一般的な個人情報」であるか「センシティブ個人情報」であるかによって、刑罰の重さが厳格に区別されています。
| 違反行為の種類と該当条文 | 対象データ | 禁錮刑の期間 | 罰金の上限と下限(フィリピンペソ) |
| 同意なき不正な処理 (第25条) | 個人情報 | 1年 ~ 3年 | 50万 ~ 200万 |
| 同意なき不正な処理 (第25条) | センシティブ個人情報 | 3年 ~ 6年 | 50万 ~ 400万 |
| 過失による不正アクセス (第26条) | 個人情報 | 1年 ~ 3年 | 50万 ~ 200万 |
| 過失による不正アクセス (第26条) | センシティブ個人情報 | 3年 ~ 6年 | 50万 ~ 400万 |
| 不適切な廃棄 (第27条) | 個人情報 | 6ヶ月 ~ 2年 | 10万 ~ 50万 |
| 不適切な廃棄 (第27条) | センシティブ個人情報 | 1年 ~ 3年 | 10万 ~ 100万 |
| 権限のない目的のための処理 (第28条) | 個人情報 | 1年6ヶ月 ~ 5年 | 50万 ~ 100万 |
| 権限のない目的のための処理 (第28条) | センシティブ個人情報 | 2年 ~ 7年 | 50万 ~ 200万 |
| データ漏洩事実の隠蔽 (第30条) | センシティブ個人情報 | 1年6ヶ月 ~ 5年 | 50万 ~ 100万 |
| 悪意ある情報の開示 (第31条) | 両方 | 1年6ヶ月 ~ 5年 | 50万 ~ 100万 |
| 権限のない情報の開示 (第32条) | 個人情報 | 1年 ~ 3年 | 50万 ~ 100万 |
| 権限のない情報の開示 (第32条) | センシティブ個人情報 | 3年 ~ 5年 | 50万 ~ 200万 |
| 上記行為の組み合わせ・連続 (第33条) | 両方 | 3年 ~ 6年 | 100万 ~ 500万 |
特筆すべきは、センシティブ個人情報をデータ主体の同意なく権限のない目的で処理した場合(第28条)、最長で7年という重罪レベルの禁錮刑が科される可能性がある点です。また、不正アクセスや不適切な廃棄など複数の違反行為が組み合わさった場合(第33条の「組み合わせまたは連続」)、最大で500万ペソの罰金と3年から6年の禁錮刑が併科され、刑罰が加重されます。
さらに、違反行為の影響を受けたデータ主体が100名以上の場合、法律上「大規模犯罪(Large-Scale)」とみなされ、各規定の法定刑の最高刑が機械的に適用されます(第35条)。公務員が違反した場合には、本来の刑罰に加えて公職就任権の剥奪という付加刑も課されます(第36条)。
経営トップを直撃する役員個人の責任(Section)
日本企業がフィリピンで事業を展開する上で、最も警戒すべき恐怖とも言える法律上のリスクが、DPA第34条に規定される「責任の範囲(Extent of Liability)」です。第34条では、「犯罪の実行者が法人、パートナーシップ、またはその他の法人格である場合、刑罰は、犯罪の実行に参加した、あるいはその重大な過失によって犯罪の実行を許した『責任ある役員(Responsible Officers)』に対して科される」と明記されています。
これは極めて重大な意味を持ちます。日本的な感覚では「コンプライアンス違反が起きても、最終的には法人が罰金を払って解決する」と考えがちですが、フィリピンのDPAは法人というベールを突き破り、役員個人の身体を直接拘束するアプローチをとっています。会社においてデータ漏洩や同意のないデータ処理が行われた場合、直接手を下した一般社員だけでなく、適切な安全管理措置の構築やDPOの選任を怠り、結果として違法な処理を可能にした(重大な過失があった)とみなされる取締役や経営トップの個人が、直接的に最長7年の禁錮刑や巨額の罰金の対象となるのです。
さらに、加害者(責任を問われた役員)が外国籍である場合、DPAは「法定刑を服役した後に、さらなる法的手続きを経ることなく国外退去(Deportation)処分とする」と規定しています。つまり、フィリピンに駐在している日本人社長や役員が、自社のデータプライバシー管理の甘さゆえに逮捕され、フィリピンの刑務所で数年間服役したのち、強制送還されるというシナリオが法律上明確に描かれているのです。また、違反した法人に対して、裁判所はDPAに基づく権利の停止や事業ライセンスの取り消しを命じる権限も有しており、事業継続そのものが不可能になるリスクを孕んでいます。
巨額の行政罰(Administrative Fines)の導入
刑事罰に加え、NPCは2022年に「行政罰に関するガイドライン(NPC Circular 2022-01)」を施行し、行政的な制裁金を直接科す権限を強化・明確化しました。このガイドラインにより、違反はその重大性に応じて分類され、企業の収益規模に連動した巨額の罰金が算定されるようになりました。例えば、1000名以上に影響を与える重大なプライバシー原則の侵害やデータ主体の権利侵害(Grave Infractions)が発生した場合、NPCは当該法人の「年間総収入(Annual Gross Income)」の0.5%から最大3%に相当する行政罰金を科すことができます。
また、重大なインシデントにおいてNPCやデータ主体に対するデータ侵害通知を怠った場合や、適切な安全保護措置の実装を怠ったなどの主要な違反(Major Infractions)に対しても、年間総収入の0.25%から2%の罰金が課されます。システムの未登録などのその他の違反(Other Infractions)に対しても定額の罰金が用意されています。これらの行政罰は、被害者への民事上の損害賠償や、前述の役員に対する刑事罰とは「独立して」科されるものであり、企業にとって壊滅的な財務リスクをもたらすということが言えるでしょう。
データプライバシーに関するフィリピンの重要判例と実務への影響
フィリピンの裁判所およびNPCは、プライバシー権の保護に関して非常に積極的かつ厳格な判断を下しています。法律の条文だけでなく、これらの判例や裁定を理解することが、実務におけるリスク回避の鍵となります。
ソーシャルメディア上のプライバシーと合理的な期待
事件名:Rhonda Ave S. Vivares and Sps. Margarita and David Suzara vs. St. Theresa’s College, et al.
裁判所名:フィリピン最高裁判所(Supreme Court of the Philippines)
判決年月日:2014年9月29日(G.R. No.)
この事件は、カトリック系の高校に在籍する未成年の女子生徒たちが、下着姿で飲酒や喫煙をしている写真を自身のFacebookに投稿したことに端を発します。学校のコンピュータ教師が、投稿者のFacebook上の「友人」である他の生徒を通じてこれらの写真を閲覧し、学校側が生徒に対して卒業式への参加を禁じるなどの厳しい懲戒処分を下しました。これに対し生徒の保護者は、学校側が違法な情報収集を行い生徒のプライバシー権を侵害したとして、不法なデータ処理の差し止め等を求める人身保護令状の一種である「ハベアス・データ(Writ of Habeas Data)」を申し立てました。
最高裁判所は、保護者側の訴えを棄却し、学校側のプライバシー侵害を否定する判決を下しました。裁判所は、Facebookのデフォルトの公開設定が「公開(Public)」であることに言及し、原告の生徒側が当該写真の公開範囲を「友人のみ(Friends Only)」に制限するプライバシー設定を確実に行っていたという証拠を提示できなかったと指摘しました。さらに重要な論点として、仮に「友人のみ」に設定していたとしても、承認された友人がその写真を自由にダウンロードし、学校の教師に見せることができる状態にあった以上、デジタル空間において完全なプライバシーが保たれるという「合理的な期待(Reasonable Expectation of Privacy)」は存在しないと判示しました。学校側は承認された友人から自発的に提供された情報を受け取っただけであり、違法な手段を用いて情報を収集したわけではないと結論づけました。
この判決から、デジタル時代においてプライバシー権を主張するためには、ユーザー自身が厳格なアクセス制限措置を講じていたことを自ら立証する責任があるということが言えるでしょう。
憲法上のプライバシー権と私的当事者間の証拠能力
事件名:Cadajas v. People
裁判所名:フィリピン最高裁判所(Supreme Court of the Philippines)
判決年月日:2021年(G.R. No.)
この刑事事件では、児童ポルノの罪に問われた被告人が、Facebook Messengerのやり取りや写真を有罪の証拠として提出されたことに対し、自身のプライバシー権の侵害であり証拠能力がない(排除法則の適用)と主張しました。被害児童の親は、被告人自身からアカウントへのアクセス権を与えられていた被害児童を通じてパスワードを入手し、被告人のアカウントにアクセスして証拠を収集していました。
最高裁判所は、憲法が保障するプライバシー権は主として「国家権力(政府機関)による不当な介入や捜索」から個人を守るためのものであり、私的当事者間(この場合は被害者の親による証拠収集)の行為には直接適用されないと判断しました。さらに裁判所は、DPAにおける処理の例外規定に言及し、刑事責任の判断や裁判手続において個人の合法的な権利と利益を保護するために必要である場合、個人データの処理はDPAの下でも適法であると認定し、Messengerの証拠の採用を正当と認めました。
企業に対するNPCの厳しい是正措置と比例原則
事件名:Pieceland Corporation v. Manila New Life Church Inc.
機関名:国家プライバシー委員会(NPC Case No. 19-528)およびフィリピン控訴裁判所(Court of Appeals)
判決年月日:2021年12月14日(控訴裁判所によるNPC決定の支持)
この事件では、教会のメンバーがテナントとして入居しているビルに入る際、ビル管理会社(Pieceland Corporation)の警備員が、身分証明書としてパスポートや政府発行のIDの提出、およびカラー写真の撮影を要求し、それらを記録・保管したことが争点となりました。
NPCは、ビルのセキュリティ確保という管理会社の目的自体は理解できるものの、他のテナントの訪問者には通常のID提示で済ませていたのに対し、特定の教会のメンバーにのみパスポートや政府発行ID(法律上、センシティブ個人情報に該当)の提出を要求し保持する措置は、達成すべき目的に対して「不均衡(Disproportionate)」であり、DPAの基本原則である比例原則に違反すると判断しました。NPCはまた、センシティブ個人情報の処理に必要な適法な事前の同意要件も満たしていないと認定しました。
Pieceland社はこの決定を不服として控訴裁判所(CA)に提訴しましたが、CAはNPCの決定を全面的に支持しました。CAは、収集したセンシティブ個人情報の即時削除を命じるとともに、DPA第25条(b)の違反(センシティブ個人情報の同意なき不正な処理)に基づくPieceland社の責任ある役員に対する刑事訴追の勧告を妥当としました。この事例から、フィリピンにおいて企業が防犯や入退室管理を名目に過剰な本人確認書類を要求することは、DPA違反としてNPCの厳しい是正措置や経営陣の刑事告発の対象になるということが言えるでしょう。
フィリピンの法改正動向に関する留意点
フィリピンにおける個人情報保護の枠組みは、テクノロジーの進化に合わせて常に強化される傾向にあります。2022年には、DPAの枠組みをさらに厳格化し、国際標準に適合させることを目的とする複数の改正法案(下院法案第892号および第898号など)がフィリピン下院に提出されました。
これらの法案には、バイオメトリクス(生体認証)データや遺伝子データを新たにセンシティブ個人情報の定義に明示的に追加すること、適用除外の範囲を見直すこと、そして情報社会サービスにおける未成年者のデジタル同意年齢を15歳以上に設定することなどが盛り込まれています。さらに最も注目すべきは、違反に対する罰金の上限や禁錮刑の期間を現行法よりもさらに引き上げる提案がなされていることです。公務員や公的機関の従業員が違反した場合には、公職からの永久かつ絶対的な追放(Perpetual absolute disqualification)という極めて重い付加刑を科すことも提案されています。
これらの法案はフィリピン議会における審議プロセスにあり、直ちに成立するわけではありませんが、国を挙げてデータプライバシーの保護水準を国際的なトップレベルに引き上げ、違反者には容赦のない制裁を加えるという強い政策的意図が確認できます。フィリピンで事業を行う企業は、現行法の遵守にとどまらず、こうしたNPCの最新のガイドラインや国会での法改正の動向を常にモニタリングし、自社のプライバシーポリシーやデータ管理システムを適時アップデートするアジリティ(俊敏性)が求められます。
まとめ
フィリピンの個人情報保護法(RA10173)は、広範な域外適用メカニズムを持ち、現地に支店を持たない日本企業であってもフィリピン市民や居住者のデータを扱う限り無関係ではいられない強力な法令です。運転免許証やパスポートなどの政府発行IDがセンシティブ個人情報として厳格に保護される点、同意の取得(オプトインの徹底)や正当な利益(LIAの実施)の評価に極めて高いハードルが設定されている点、そしてNPCへの義務的なシステム登録やデータ保護責任者(DPO)の選任、公式シールの掲示が要求される点は、日本の個人情報保護法とは根本的に異なる法的要件です。何より、従業員のミスや組織のコンプライアンス欠如が、そのまま日本の経営陣や担当役員個人の刑事責任(最長7年の禁錮刑と国外退去)へと直結し、さらに法人収益の最大3%に及ぶ行政罰の対象となる点は、フィリピン事業における法的リスク管理の重要性を際立たせています。
単なる利用規約の翻訳や日本基準の社内ルールの転用では、NPCからの巨額の行政罰や刑事告発を防ぐことはできません。モノリス法律事務所では、海外進出に伴う複雑な個人情報保護規制の対応や、フィリピン法に準拠したプライバシーポリシーおよび同意取得フォームの策定、適法なデータ処理プロセス(正当な利益評価の文書化など)の構築、越境移転に伴うデータ共有契約のレビューなどに関して、クライアントのビジネスモデルに合わせた法的サポートを提供いたします。経営陣の個人的な刑事リスクを含む重大なコンプライアンスリスクを低減し、安全かつ適法なグローバル展開を実現するために、ぜひ当事務所へご相談ください。
カテゴリー: IT・ベンチャーの企業法務
