社員の個人情報を国外データベースに入れるとなった場合、本人からの同意書が必要か?
【質問】
グローバル人材データベースの導入を検討しており、以下を教えて下さい。
①マレーシアにおいて、個人情報保護に関する法律はあるか?
②有の場合、マレーシアの会社社員の個人情報(名前、生年月日、所属、これまでの経歴など)をグローバル共通のデータベースに入れる(=マレーシア国外に出す)事は可能か?
・もし可能な場合、本人からの同意書等が必要なのか?
【回答】
① あり。個人情報保護に関する法律は PERSONAL DATA PROTECTION ACT 2010 。本件(雇用者と被雇用者の関係)には、本法律が適用される。
② 可能
③ 必要なし。
【詳細】
※ 本件はDepartment of Personal Date Protection の Ms Noreen Iszani Binti Yusak へのヒアリングを基に回答。
・本法は雇用者と被雇用者の関係に適用されるのか?
→ 適用される。雇用者と被雇用者の関係は報酬と引き換えの雇用契約から生じる為、the supply or exchange exchange of services に該当する。
◯ 本法の対象者
(1) This Act applies to —
(a) any person who processes; and
(b) any person who has control over or authorizes the processing of, any personal data in respect of commercial transactions.
(第2条)
◯ commercial transactionsの定義
“commercial transactions” means any transaction of a commercial nature, whether contractual or not, which includes any matters relating to the supply or exchange of goods or services, agency, investments, financing, banking and insurance.
(第4条)
→ また、第40条1項 b(i)にて、Employment という言葉が唯一出てくるが、これは Employment が本法に該当する事を暗に意味する。
◯ Employment の含まれる条文
(省略…) (i) for the purposes of exercising or performing any right or obligation which is conferred or imposed by law on the data user in connection with employment;
(第40条1項 b(i))
・グローバル共通のデータベースに、個人情報を入れる事は可能か?
→ 可能。129条3項(b)により、認められている。
◯ マレーシア国外への個人情報の移転
(3) (省略…), a data user may transfer any personal data to a place outside Malaysia if (省略..) (b) the transfer is necessary for the performance of a contract between the data subject and the data user;
(第129条3項b)
・グローバル共通のデータベースに入れる(=マレーシア国外に出す)となった場合は、本人からの同意書が必要なのか?
→ 本人からの同意書は必要なし。
確かに、以下のように一般原則にて、個人情報の処理をする際は、対象者から同意を得る必要がある旨が規定されているが、
◯ 対象者からの同意
A data user shall not in the case of personal data other than sensitive personal data, process personal data about a data subject unless the data subject has given his consent to the processing of the personal data.
(第6条1項a)
契約の遂行の為に個人情報の処理が必要な場合、対象者から同意は必要ないと規定されている。
◯ 契約遂行の為であれば対象者からの同意が不必要
Notwithstanding paragraph (1)(a), a data user may process personal data about a data subject if the processing is necessary for the performance of a contract to which the data subject is a party.
(第6条2項a)
また国外へのデータ転送に関しても、129条3項(b)より、契約の遂行の為に個人情報の転送が必要な場合、対象者からの同意なしで個人情報の転送が可能と規定されている。