シンガポールにおけるPDPA（個人情報保護法）とKYC（本人確認）・KYB（法人確認）事情を解説

　世界の金融センターとして急速な成長を続けるシンガポール共和国。

　2022年9月22日に発表された「第32回世界金融センター指数報告書」（中国総合開発研究院と英シンクタンク・Z/Yenグループによる共同発表）によると、これまで上位に位置していた香港および上海を抜き、今回初めてニューヨークとロンドンに次ぐ世界第3位へと世界金融センター指数（GFCI）が躍進し、アジア最大の金融センターとしての地位を知らしめました。

　その競争力の源泉の一つとなっているのは、同国におけるデジタルtoデジタルで設計されたインフラと言えるでしょう。今回は、シンガポールにおける個人情報保護にまつわる動向や本人確認領域におけるデジタルトレンド等について、現地の事情に詳しいBayfront Law LLCおよび西村あさひ法律事務所シンガポール事務所の弁護士2名に、TRUSTDOCK代表の千葉と、Global Teamの山崎がお話を伺いました。

nabayfront_main

※写真左から

ジョナサン・ウォン（Bayfront Law LLC 弁護士）
吉本智郎（西村あさひ法律事務所シンガポール事務所弁護士）
千葉孝浩（株式会社TRUSTDOCK 代表取締役CEO）
山崎省吾 (TRUSTDOCK PTE. LTD. コーポーレートマネージャー)

シンガポールのPDPA概要

nabayfront01

　シンガポールでは、2013年1月に個人情報保護法（Personal Data Protection Act 2012、以下：PDPA）が施行（全面施行は2014年7月）されました。

　それまでも、民間部門においては銀行法（Banking Act）やコンピュータ悪用法（Computer Misuse Act）、政府部門においては公務機密法（Official Secrets Act）や統計法（Statistics Act）などといった、個人情報保護にまつわる法律は存在していました。しかし冒頭に記載したとおり、同国はアジア地域の経済および金融のハブとして急速にインフラを整備し発展してきたからこそ、進出する海外企業が年々増加し、それに付随して膨大な個人情報も日々集積されるようになってきました。必然的に、それら個人情報が悪用されるリスクも高まってきたことから、当時としては非常に厳格な個人情報保護を定義したPDPAの導入が決定されたのです。

　シンガポールのPDPA 2条では「個人情報」のことを「真実であるか否かを問わず、当該データから、もしくは当該データ及び組織等がアクセスする可能性のあるその他の情報から特定できる個人に関するデータと合わせて、個人を識別できる情報」と定義しています（同国の個人情報保護委員会が公表しているキーコンセプトガイドラインの第5章1項を参照）。

　よって、氏名やパスポート番号はもとより、NRIC番号（全国民へと一意に割り振られた番号）やFIN番号（居住・就労する外国人への発行登録番号）、個人メールアドレス、住所、さらには指紋などの情報は、PDPAの保護の対象となります。

※ただし、ビジネス上連絡をとるために名刺などに記載されるような情報（ビジネスコンタクト情報）については、PDPAの対象からは外れます

　シンガポールのPDPAには以下10の原則が定められており、すべての企業・団体はこれらを順守し、そのための規程や手続きを整備し運用する必要があります。（日本貿易振興機構発行「シンガポールにおける個人情報保護法について」を参照）

同意原則
目的制限原則
通知原則
個人に対する開示および訂正原則
正確性原則
保護原則
保持原則
移転制限原則
説明責任原則
データポータビリティー原則

　ちなみに日本の個人情報保護法との比較において、シンガポールのPDPAには「DNC Registry」という規制があります。DNC Registryとは、電話番号を所有者する者が、セールス/勧誘等の電話およびSMS/MMSやファックス等でのセールス/勧誘等のメッセージを受領できないよう、オプトアウト方式で登録ができるという制度です。

　他の東南アジア諸国と同様に、シンガポールでもセールス勧誘などの迷惑電話等に悩む人が多いからこそ、2014年1月よりこのDNC Registryに伴う登録がスタートしたという背景があります。

全国民が持つシンガポール版マイナンバー「NRIC番号」

nabayfront02 NRICカードのサンプル（CLAIRメールマガジン 2015年7月号より引用）

　先述のとおり、シンガポールでは全国民にNRIC（National Registration Identity Card）と呼ばれる一意の固有番号が付与され、カードとして発行されています。

　制度としてのスタートは1948年、まだ同国がイギリスの統治下にある時代にまで遡り、当時は不法移民の排除を目的に運用されていました。今日においては、15歳以上のすべての国民と永住者に対して発行されており、ID番号や本人写真、氏名のほか、指紋や人種、生年月日、性別、出生国名、現住所、国籍、そして発行日が記述されています。

　従来においては様々な領域における本人確認に広く使われていたNRICですが、情報化社会の発達に伴って悪用のリスクも高まってきたことから、2019年9月に新たなガイドラインが施行され、事業者等によるNRIC番号等の取得・使用・開示が原則禁止となりました。原則とされているとおり、ガイドラインでは以下のケースが例外として提示されています。

一般開業医のクリニックで治療等を受ける場合
ホテルへのチェックイン時
携帯電話の契約手続き時
マッサージ店でマッサージサービスを受ける場合
私立教育機関への入学
企業への就職

　またこれ以外にも、投票でNRICを使う必要があると、Bayfront Law LLC 弁護士であるジョナサン・ウォン氏は説明します。

「シンガポールでは選挙で投票をするために、NRICを提示しなければなりません。自宅に投票カードが郵送されるので、NRIC又はパスポート（コピーは不可）と併せて投票所に持参し、持参した投票カードをもとに身元確認がスムーズに行われます。そして確認後に投票用紙を受け取り、自分が選んだ候補者に印を付けて投票します。シンガポールでは義務投票制を採用していることから、直近の投票率は95.81％に達しました」（ウォン氏）

　このNRICカードは、外出する場合は常に携行することが義務化されています。さらに、もしも紛失したり盗難にあったりすると、当該の国民は罰則を受けることとなっています。また、紛失したことが分かっていれば14日以内に届け出て紛失したことを申告し、NRICカードの新規発行を受ける必要もあると、ウォン氏は続けます。

「他人のカードを使おうと思っても、券面にその人の顔が載っているので、自分の顔と一致しないということでそもそも対面利用が難しいです。また、シンガポールではCCTV（監視カメラ）などを活用して簡単に追跡できるようにインフラ設計されています。なので、そのような犯罪行為はほとんど発生していないと言えます」（ウォン氏）

　なお、2003年に「Singpass」（読み方：シングパス）と呼ばれるNRIC番号を使ったオンラインサービスが導入されたことにより、物理的にNRICカードを使わなければいけないシーンは随分と限られているとのことです。

政府提供デジタルIDサービス「Singpass」の普及状況と仕組み

nabayfront03 https://www.singpass.gov.sg/main/

　Singpassは、政府機関のサイトごとにバラバラであった認証方法の統一を目的として開発されたもので、NRICカード発行者を対象に利用できるサービスとなっています。シンガポールではスマホなどのモバイルデバイスの普及率が非常に高いことから、2018年にはアプリ版もリリースされています。

　NRICカードの発行と異なり同アプリのインストールは義務ではありませんが、15歳以上のユーザーの97％（15歳以下を含むすべての年齢層を含むと93.92％）がインストールしていることから、シンガポール中の大多数の人が持っていることになります（参考はこちら）。

「Singpassはシンガポール市民、シンガポール永住権保持者、ワークパス保持者、ロングタームビジットパス保持者等が使用でき、例えば観光目的の外国人は対象外となります。用途としても、民間の店舗などで使うというよりかは、行政・福祉関連の手続きの際に利用することが大半です。例えば、図書館のような政府の施設に行く場合や、病院あるいはクリニックに行く場合などです。ただし、一部の政府機関ではまだSingpassでの受付をしておらず、未だにNRICカードを使う必要があります」（ウォン氏）

　SingpassではOAuth2.0 認証コードフローに従って個人認証の仕組みが整備されています。具体的には、行政機関となるRP（Relying Party）からNRIC番号とパスワードの入力が求められ、そこで入力された情報とSingpassが保有する情報の突合をもって本人確認し、承認となった場合はSingpassが認証コードを生成してRP側へとリダイレクトされます。その後、認証コードやクライアントID、JSON Web Token、リダイレクトURIを使用してトークンエンドポイントに接続し、Singpass がクライアントの資格情報および認証コードを検証して、ID トークンおよびアクセストークンを返す、という処理の流れとなっています。

nabayfront04 Singpassにおける個人認証の流れ（デジタル庁「諸外国における共通番号制度を活用した行政手続のワンスオンリーに関する取組等の調査研究」p80）

シンガポールにおけるKYC（本人確認）とKYB（法人確認）

nabayfront05

　ここまでの内容に付随して、シンガポールではKYCおよびKYBが非常に重要であると、ウォン氏は強調します。

「東南アジアでは全体的に見て汚職が多く、シンガポールはその地域の中にあります。例えば、マレーシアでは政府の腐敗が問題になっていますが、いまだに解決されていません。また、インドネシアやマレーシアではテロが多発しており、その資金を流すためにシンガポールを金融のハブとして利用するケースがあります。このような背景があり、シンガポールは非常に真剣にKYC/KYBに取り組んでいますし、シンガポールに進出する日本企業にとってKYC/KYBは非常に重要だと思います。」（ウォン氏）

　KYC（個人に対する本人確認）については先述の通りですが、KYBについても厳格に運用されており、特にシンガポールでは「Ultimate Beneficial Owner」（実質的支配者）の規制が厳しいと、西村あさひ法律事務所の弁護士、吉本氏は説明します。

　実質的支配者とは、法人の事業経営を実質的に支配することが可能となる関係にある者を示し、日本の場合、誰が該当するかについては以下の通り法人の性質に従って定められています。

事業形態

「実質的支配者」に該当する力

・非上場の株式会社

・有限会社

・投資法人

・特定目的会社　　　　　　　　等

・議決権が50％を超える個人または法人がいる場合

→その方が「実質的支配者」となる

・議決権が50％を超える個人または法人がいない場合

→25％を超える株主すべてが「実質的支配者」となる

※議決権が25％を超える株主がいない場合、「実質的支配者なし」となる

・合名会社・合資会社・合同会社

・一般社団法人・一般財団法人

・学校法人・医療法人・宗教法人

・社会福祉法人

・特定非営利活動法人　　　　等

・法人を代表する人が「実質的支配者」となる

例）代表社員、代表理事、理事長、代表役員等

※代表する人が複数いる場合は、全員が「実質的支配者」となる

・上場企業　・国・地方公共団体

・独立行政法人

・「実質的支配者なし」

　シンガポールでは、このような実質的支配者に関する情報を記載した具体的な資料が要求されることになります。具体的には、会社は、自社の実質的支配者（registrable controllerと呼ばれます）を調査の上記載した名簿を準備し、当局の求めがあれば開示できるようにしておかなければならないとのことです。

　なお日本でいうところの登記簿謄本については、シンガポールのACRA（Accounting and Corporate Regulatory Authority：会計企業規制庁）から「ACRA Business Profile」という登記簿情報を、誰でも参照・購入できると吉本氏は言います。

nabayfront06

「企業の名前さえ分かれば、ACRAで法人番号を検索できます。例えばTRUSTDOCKさんのシンガポール支社についてはこちら（上画像）にあるように、企業のステータスやUENと呼ばれる事業者登録番号などの情報を参照できます。ただし、株主や役員に関する情報などは別途購入が必要となります」（吉本氏）

コロナ対策からも垣間見える先進的なDX事情

nabayfront07

　Singpassのような仕組みを導入して行政DXを積極的に進めているシンガポールですが、そのスピード感はコロナ禍においても機能したと、吉本氏はコメントします。

「シンガポールでは『TraceTogether』という接触追跡アプリを政府が開発・提供したのですが、これを持っていないとどこにも入れないという状態でした。アプリがない/使えない場合は、政府からトークンを付与されてそれを使って出入りする仕組みになっていました。以前はQRコードを読んでいたのですが、TraceTogetherにワクチン接種のステータスも紐づけられることになり、しばらくのちに、ワクチン接種済みであることを示すTraceTogetherの画面を見せるだけでよくなりました」（吉本氏）

　アプリでは、以下の画像にあるようにカワウソが画面上で動いており、それを見せることで、他人の画面のスクリーンショットを提示する方法による詐称を防止していると吉本氏は画面を紹介しながら説明しました。

nabayfront08 カワウソの写真だけを撮ると動かないので、偽物だとすぐに気づけるようになっているとのこと