データプライバシーの監視

テクノロジーと個人の権利に関する法律をめぐるタイ、日本、フィリピンの現状

日本

本稿では、日本国外の事業者が日本国内にある個人の個人情報を取り扱う場合に特に留意すべき日本の個人情報保護法（以下「APPI」）の規制について場面ごとに紹介する。

そもそもAPPIの適用があるのか

域外適用がなければ、そもそもAPPIの規制を考える必要がない。この点に関してAPPIは、事業者が、日本国内にある法人／個人に対する物品又は役務の提供に関連して、日本国内にある個人（以下「データ主体」）の個人情報等を、外国で取り扱う場合には、APPIが域外適用されると定める（APPI第171条）。

「事業者」は、国内事業者か外国事業者かを問わない。「日本国内にある個人」は、データ主体の国籍を問わず、滞在が一時的か否かも問わない。ポイントは、物品又は役務の提供に関連する場合に限定されている点である。

例えば、外国の事業者が、全世界における従業員情報の管理の一環として、日本国内の支社の従業員の個人データを取り扱ったとしても、物品又は役務の提供に関連しないので、APPIの域外適用を受けない。

個人データの越境移転規制

前述のとおり、国内向けのサービスを展開する際に国内の顧客情報を取得すればAPPIの適用を受ける。取得の方法は、データ主体から直接取得する、国内の事業者から提供を受ける、というものが考えられるが、特に、国内の事業者から提供を受ける場合に、複雑な規制が課される。この場面で複雑な規制が課されるのはあくまで国内の事業者であるが、この複雑な規制が国内の事業者にとってのハードルになるので、外国の事業者もこの規制を把握しておくことは重要である。

具体的には、国内の事業者がデータ主体の個人データを外国に所在する第三者に移転させる場合（以下「越境移転」）、国内事業者は、データ主体に外国に関する具体的な情報を提供した上で（以下「参考情報」）、外国の第三者に個人データを移転させることについて事前にデータ主体の同意を得ておく必要がある（APPI第28条）。

1. 提供する情報：

   1. （当該外国の名称：同意を得る時点で提供先の外国が特定できていない場合は、その理由、提供先の外国の名称に代わる情報（例えば外国の範囲が具体的に決まっていればその範囲）を提供することになる。

   2. 当該外国における個人情報の保護に関する制度の情報：国内と国外の法制度の差をデータ主体に認識させるためのものである。日本の個人情報保護委員会（以下「PPC」）が主要な外国の制度の概要を調査の上公開しており、ここに掲載される情報を提供することで対応できる（https://www.ppc.go.jp/enforcement/infoprovision/laws/）。ここに掲載されていない外国が提供先の場合、国内の事業者は、まずは提供先の外国の事業者に自国の制度について照会をかけることになるだろう。

   3. 提供先が講ずる個人情報の保護のための措置に関する情報：提供先がOECDプライバシーガイドライン８原則に対応する措置を全て講じていれば、その旨を情報提供すれば足りる。提供先の措置が不明な場合は、その旨とその理由の情報提供をすれば足りるが、判明次第、説明を追加することが望ましい。

2. 外国の範囲：EU及びイギリスは、APPI第28条における「外国」から除かれ、APPI上は国内という扱いになる。APPIでは提供先が国内の第三者であっても、原則としてデータ主体の同意を得た上で個人データを提供する必要があり（APPI第27条第１項）、いずれにしても規制の対象となるが、国内の第三者に提供する場合の規制はそこまで複雑ではない。

3. 第三者の範囲：相当措置を講じている事業者はAPPI第28条における「第三者」から除かれる。具体的には、提供先の外国にある事業者が講ずる措置が、APPIで国内の事業者に求められる措置をクリアしていることが確認できる場合か、提供先の外国にある事業者が、APEC （Asia-Pacific Economic Cooperation）の CBPR （Cross Border Privacy Rules）システムの認証を取得している場合に、相当措置を講じている事業者に該当する。

   また、相当措置を講じている事業者に当たるとして、APPI第28条に基づく同意を得ずに、外国の事業者に個人データを提供する場合であっても、提供元の国内の事業者は、提供後も提供先において相当措置が講じられていることを確認するため、相当措置の継続的な実施確保に必要な措置（年１回以上の確認等）を講じなければならず、提供元の負担が大きい。相当措置に関する定めはあまり使い勝手の良いものとはいえない。

4. 違反に対する制裁：上記の規制に違反した事業者に対しては、PPCが、その違反行為の是正措置を勧告し、勧告に従わない場合は命令をする（APPI第148条）。違反した事業者がこの命令にも従わない場合には、その違反行為をした者は１年以下の懲役又は100万円以下の罰金に処され、その違反行為をした者を雇う事業者は１億円以下の罰金に処される（APPI第178条、第184条第１項第１号）。

個人データの漏えい等の規制

ランサムウェア等の攻撃等により個人データの漏えい、滅失、毀損等（以下「漏えい等」）が発生した場合に、APPIが求める対応として、PPCへの報告及びデータ主体への通知がある（APPI第26条）。

1. 対象となる事態：以下の事態の場合に、PPCへの報告及びデータ主体への通知が必要になる。

   1. 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態：要配慮個人情報とは、データ主体の人種、信条、社会的身分、病歴、犯罪歴等のセンシティブな情報である（APPI第２条第３項参照）。

   2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態：クレジットカード番号等も併せて漏えい等した場合である。

   3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態：第三者からの攻撃を受けて漏えい等した場合である。

   4. 個人データに係るデータ主体の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態

2. 漏えい等が発生した事業者において報告・通知を行うことは当然として、問題は委託先で漏えい等が発生した場合である。原則は、委託元と委託先の両方が、報告・通知を行うことになるが、報告等の重複を避けるため、委託先が委託元に漏えい等が発生した旨を通知すれば、委託先は報告・通知の義務が免除される。

3. PPCへの報告の方法：

   1. 速報：（１）の事態の発生を知った時から、概ね 3～5 日以内にその時点において、次項（ii）①～⑨のうち把握している内容を報告する。

   2. 確報：（１）の事態の発生を知った時から、30 日以内〔（１）（iii）の事態においては 60 日以内〕に、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③漏えい等が発生し、又は発生したおそれがある個人データに係るデータ主体の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥データ主体への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項を報告する。

   3. 原則として、PPCのホームページの報告フォーム（https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata）に入力する方法により行う必要があるが、日本語での対応になるため、特に速報においては翻訳の時間も考慮しなくてはならない。

4. データ主体への通知の方法：

   1. 時間的制限：PPCへの報告と異なり、当該事態の状況に応じて速やかに通知をすることが求められる。タイミングは個別の事案毎に判断することになる。

   2. 通知の内容：PPCへの報告が求められる内容〔（３）（ii）〕のうち、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑨その他参考となる事項である。

   3. （文書や電子メールでデータ主体に直接通知することが想定されているが、データ主体の連絡先がわからないなど、データ主体に直接通知することが困難な場合には、公表等の方法によって代えることができる。

5. 418（５）PPCへの報告・データ主体への通知を怠った場合の罰則等は、「個人データの越境移転規制」の（４） と同じである。

本稿では、外国の事業者が日本国内にある個人の個人データを取り扱う場合におけるAPPIの一般的な規制の枠組を概説した。外国の事業者も、日本国内にあるデータ主体の個人データを保護するためにAPPIの各条項を遵守することが重要である。

トップに戻る

フィリピン

フィリピンにおける個人情報保護に関する包括的な法律、2012年フィリピンデータプライバシー法（DPA、共和国法第10173号）は、2012年8月15日に制定されました。その管理および施行の監督を主要な職務とする政府機関、国家プライバシー委員会（NPC）は2016年8月に、最後の実施規則および規定を公布しました。

データプライバシー法は、国際的な個人データ移転の自由化の進展と、データ保護に関する国際基準の策定に対応しています。ビジネス・プロセス・アウトソーシングにおいて世界的に重要な地位を占めるフィリピンにとって、同法の制定は大きな意味を持ちます。

同法が制定されるまで、個人データの処理一元的な規制監督や、データ主体に対する包括的な保護措置は存在しませんに対するでした。そのため、当時、大量の個人データが、当初の想定を超えた目的での詳細な連絡先の無断使用や共有をはじめ、なりすましやセキュリティ侵害などの悪用や誤用の対象となり、憲法で保証されるデータ主体のプライバシーに対する権利が害されていました。

フィリピン貿易産業省（DTI）は2006年という早い時期に、個人情報保護ガイドラインに関するDTI行政命令第８号を発行しています。これは現在のEU一般データ保護規則（GDPR）の前身である1995年EUデータ保護指令を踏襲して策定されました。したがって、フィリピンDPAはEUが支持する基準と原則に深く根ざしているといえます。

フィリピンDPAは、あらゆる種類の個人情報の処理、および、官民双方の個人情報の処理に関与するあらゆる自然人または法人に適用されます。フィリピンに存在しないデータ管理者および処理者が、以下のいずれかに該当する場合は適用対象になります。

• フィリピンに所在する設備を使用している
• フィリピンに事務所、支店または代理店を設置している

同法は、データ主体の所在地に関わりなく、またデータが処理される場所がどこであろうと、フィリピン国民またはフィリピンの居住者の個人データに適用されます。たとえば、同法は、米国に居住する海外出稼ぎフィリピン人労働者の個人データが、現地のフィリピン銀行によって処理される場合にも適用されます。また、この労働者の個人データがフィリピン国外の外国銀行によって処理される場合にも、フィリピンの個人情報保護法が適用されます。法律の執行可能性はまったくの別問題です。

同法では、データ処理は「データの収集、記録、整理、保存、更新、修正、検索、参照、使用、統合、遮断、消去、破壊を含むが、これらに限定されない、個人情報に対して実施される操作または一連の操作」と定義されています。

「個人情報管理者」とは、個人情報の収集、保有、処理、使用を管理する個人または組織（他の個人または組織から指示を受けてそのような役割を果たす者、個人の個人的・家族的・家庭的な問題に関連し

てそのような役割を果たす個人を除く）を指します。一方、「個人情報処理者」とは、個人情報管理者が個人データの処理を委託することができる自然人または法人を指します。

以下はフィリピンDPAの適用対象ではありません。

• 現在または過去の公務員に関する情報で、その地位や職務に関連するもの
• 政府契約に基づいて行われた個人の業務に関する情報
• 政府から個人に与えられる裁量的経済的利益に関する情報
• 報道、芸術、文学、研究の目的で処理される個人情報
• 公的機関の機能に必要な情報
• 銀行および金融機関がマネーロンダリング防止法を遵守するために必要な情報
• 外国司法管轄区の法律に基づき、当該外国司法管轄区の居住者から収集された個人情報

フィリピンDPAでは個人情報と機微（センシティブ）個人情報が区別されており、合法的処理について異なる要件が規定されています。

• 個人情報とは、個人の身元を特定できる、もしくは合理的かつ直接的に個人の身元を確認できる情報、または他の情報と組み合わせることにより、直接的かつ確実に個人を特定できる情報を指します。
• 機微（センシティブ）個人情報とは、人種、配偶者の有無、年齢、肌の色、宗教的・哲学的・政治的所属、健康状態、教育、政府機関が発行する個人に固有の裁判手続き（社会保障番号、健康記録、免許証、納税申告書、政府発行の身分証明書および／またはその番号のコピーなど）、および法律や規則により特に指定された個人情報を指します。

フィリピンDPAの下では、通常、同法、その規則または規定に明示されている条件のいずれかに該当する場合を除き、個人情報を有効に処理するには、それに先立って情報主体から同意を取得する必要があります。留意する必要があるのは、同法では、明示的な同意のみが認められており、黙示的な同意は認められない可能性があることです（同法では、同意とは「自由な意思に基づき与えられた、具体的な、情報に基づいた意思表示であり……（中略）書面、電子的手段、または記録された手段によって証明されるものとする」と定義されています）。

フィリピンDPAには、EUのGDPRで認められている権利に類似した、データ主体の個人情報に関する権利が詳細に規定されています。これらの権利には、情報取得、アクセス、異議申し立て、消去および遮断、修正、苦情申し立て、損害賠償、データポータビリティが含まれます。

データ管理者およびデータ処理者は、個人情報が科学的・統計的調査のためであり、データ主体に関するいかなる活動も行われず、いかなる決定もなされない場合、またはデータ主体の刑事、行政、または納税に関する義務の調査のために収集される場合を除き、これらの権利を遵守し尊重しなければなりません。

同法では、個人情報のセキュリティに関する一般原則と、個人情報の移転に関する説明責任について規定されています。政府における機微個人情報のセキュリティに関する具体的な規定に加え、データ侵害に関する規定、データ侵害事案報告のための基本的ガイドラインが定められています。

GDPRと同様に、フィリピンの個人情報保護法および規制は、個人データが侵害された場合に、個人情報管理者に対して侵害に関して通知する義務を課しています。個人情報管理者は、侵害に関するこのような通知を影響を受けるデータ主体に送付し、NPCに報告しなければなりません。侵害に関する通知は、「個人情報管理者または個人情報処理者が通知を要する個人データの侵害が発生したことを知った時点、または合理的に信じることができた時点」から72時間以内に、NPCに提出されなければなりません。

フィリピンの個人情報保護規則では、データプライバシー責任者（DPO）の指名／任命が義務付けられています。ただし、すべてのDPOにNPCへの登録義務があるわけではありません。以下のすべてに該当する場合には、NPCに登録する義務があります。

• 事業者の従業員数が250人以上
• 少なくとも1000人の機微個人情報を含む記録を「処理」する
• 事業者による個人情報の処理が、「データ主体の権利および自由に対するリスクをもたらす可能性がある」、または「臨時に実施されるものではない」と判断される

最後の基準については、データ主体や処理される個人情報の数／量にかかわらず、登録義務の対象となるとNPCが考えるセクターがNPCのガイドラインに記載されています。重要と考えられるこれらのセクターは以下の通りです。

• 政府機関
• 銀行およびノンバンク金融機関
• 電気通信事業者およびインターネット・サービス・プロバイダー
• BPO企業
• 大学をはじめ、すべての学校および研修機関
• 病院、診療所、その他の医療施設
• 保険会社および保険仲立人
• ダイレクトマーケティングおよびネットワーキングに関与する事業者、およびポイントカードやロイヤルティプログラムを提供するその他の企業
• 研究に従事する製薬会社
• これらの重要セクターのいずれかに属する個人情報管理者のために、個人データを処理する個人情報処理者

特定の形態のデータ処理システムは、DPOとは別途に、NPCに登録する必要があります。NPCが新たな登録ポータルを開設したことを受け、NPCの登録要件を満たすためには、DPOとDPS双方の詳細情報の提出要件を遵守しなければならなくなりました。

最後に、フィリピンDPAに違反した場合、禁固刑と罰金が科されます。罰則として禁固刑を規定するデータ保護法は稀ですが、同法はその一つです。機微個人情報が関与している場合は、より厳しい罰則が科されます。

100人以上の個人情報が影響を受けた場合には、最高限度の罰則が課されます。NPCや関係者が、禁固刑の撤廃を含むフィリピンDPAの改正の提案に取り組み始めていましたが、新型コロナウイルス感染症のパンデミックのために中断されています。

ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)

22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
30th Street, Crescent Park West, Bonifacio Global City
Taguig, Metro Manila, Philippines
電話番号: (632) 88308000
Eメール: accra@accralaw.com
www.accralaw.com

トップに戻る

タイ

タイで最も重要なデータプライバシー法は、個人情報保護法（PDPA）です。同法は2019年に制定され、2022年6月に全面的に施行されました。

同法では、個人データの処理に関する主要原則と、管轄監督機関である個人データ保護委員会（PDPC）の任命について規定されています。

PDPCは次のような権限を与えられています。PDPAの施行と執行、PDPA実施規則および規制の制定、個人データ保護に関する方針および指針の制定、異議申し立てに対する調査の実施、PDPAに違反するデータ管理者およびデータ処理者に対する執行命令の発令。

PDPCは2023年11月までに、PDPAに基づき21の実施規則、規制、ガイドラインを制定しています。

PDPAの主要原則

1. 個人データの分類。個人情報保護法（PDPA）における個人データとは個人に関するあらゆる情報を意味し、直接的であるか間接的であるかを問わず、当該個人を識別することを可能にするものですが、 故人の情報は含まれません。PDPAは、（i）一般個人データ、（ii）センシティブ個人データ（SPD）の２種類の個人データの処理について規定しています。

   SPDとは、人種、民族的出自、政治的見解、崇拝の対象、宗教上・思想上の信条、性行動、犯罪歴、医療データ、障害の有無、労働組合への加入情報、遺伝子データ、生体データ、またはデータ主体に同様の影響を与える可能性のある、その他の個人データを指します。

2. 個人データの処理。PDPAにおける個人データの「処理」とは、個人データの収集、使用、開示を指します。個人データを収集することができるのは必要な場合に限られ、その目的のために必要な期間に限り保管することができます。

   データ管理者は、一般個人データの収集前または収集時に、データ管理者のプライバシー通知をデータ主体に提供することにより、一般個人データの収集目的をデータ主体に通知しなければなりません。この通知には、少なくとも次の事項を含める必要があります。すなわち、個人データ処理の目的、データ管理者およびそのデータ保護責任者（DPO）の詳細、個人データが開示される可能性のある第三者、データ主体の権利、この権利をデータ主体が行使できる方法と時期です。

   データ対象者の明示の同意なしにSPDを収集、使用または開示することは、わずかな例外を除いて禁止されています。その例外には、データ主体が何らかの理由で同意を与えることができないときに、データ主体の生命、身体または健康に対する危険の防止または抑制のために必要な場合などがあります。

   個人データの処理を合法的に行うには、PDPAに基づく法的要件に従って実行しなければなりません。個人データがデータ主体の同意に基づいて処理されている場合、データ主体はデータ管理者またはデータ処理者に同意の撤回を通知することにより、いつでも同意を撤回することができます。

   個人データを処理する場合、データ管理者およびデータ処理者は、個人データの完全性および機密性を維持しなければなりません。

   データ管理者またはデータ処理者は、個人データ処理行為の完全な記録を、PDPCによる検査またはPDPCへの提出に備えて保持する必要があります。

3. 国境を越えたデータ移転。適切にデータが保護されない国・地域または国際機関に個人データを移転することはできません。ただし、（i）データ主体が適切にデータが保護されないことを知らされた上で、明示の同意を与えた場合、（ii）国境を越えた個人データの移転が、移転者と移転先国または移転先の国際機関の受領者との間の 契約に基づき必要な場合を除きます。

   PDPCは、同一グループ内の企業が同程度に高いデータ保護水準に準拠するよう徹底するために、グループ内データ移転について規定する対内的な拘束力のある企業規則を導入するよう奨励しています。

4. DPO。2023年12月13日より、データ管理者およびデータ処理者は、その主要業務に以下の行為が含まれる場合に、DPOを任命する義務が課されています。すなわち、（i）行動や態度の追跡、監視、分析、予測、個人データ、会員プログラム、信用スコアリング、詐欺防止の体系的処理、ネットワークサービスプロバイダーや通信事業者によるデータ処理、行動広告など、個人データやシステムの定期的な監視を必要とする大規模な個人データの処理、または（ii）あらゆる規模のSPDの処理です。

   DPOの任命を怠った場合、100万バーツ（2万8300米ドル）以下の罰金が科される可能性があります。

未成年者の保護

10歳未満の未成年者から個人情報を収集する場合は、親権者の同意を得る必要があります。

未成年者が10歳以上であっても、婚姻により法的責任能力を取得していない場合、または法的責任能力を備えていない場合は、未成年者と親権者の双方から同意を得なければならなりません。

コンプライアンス上の要件

PDPAに基づいて、企業が導入する必要のある主なコンプライアンスプログラムを以下に挙げます。

1. PDPAに基づくデータ処理要件に完全に準拠したデータプライバシーポリシーの策定および維持
2. データ管理者およびデータ処理者間のデータ処理契約またはデータ移転契約の締結
3. データプライバシーに関するリスクや、そのリスクを軽減するための対策の特定を目的とするデータ保護影響評価の作成
4. 例外が適用される場合を除き、個人データの収集、使用、開示の前、またはその際に、データ主体からの明示の同意を取得し、その同意についての記録を保持すること
5. データ主体による権利の保護および行使促進を目的とする、次に挙げるものを含むメカニズムの確立。すなわち、個人データにアクセスする権利、いつでも同意を撤回する権利、 個人データを修正、削除、制限、または処理に反対する権利、データポータビリティの権利、PDPC 事務局に苦情を申し立てる権利
6. PDPA の遵守の徹底のため、データ主体とPDPCとの連絡担当者として、主要業務上必要な場合にDPOを任命すること

データ漏洩

データ漏洩が、データ主体の権利と自由に対するリスクにつながる可能性が高い場合、漏洩の認識から72時間以内に、データ漏洩に関する通知をPDPCに提出する必要があります。通知には、漏洩の性質、データ管理者の連絡担当者またはDPOの詳細、起こり得る結果、潜在的な悪影響を軽減するために講じられた、または講じられる措置を含めなければなりません。

データ漏洩が、データ主体の権利と自由に対して高いリスクをもたらす可能性がある場合には、PDPCとデータ主体の双方に、是正措置を記載したデータ漏洩に関する通知を、遅滞なく送付する必要があります。

データ漏洩の対象が複数のデータ主体に及ぶ場合には、データ管理者は、公共メディア、ソーシャルメディア、電子的手段、またはデータ主体もしくは一般公衆がアクセス できるその他の手段を介して、各データ主体に個別に、または一般的に通知することができます。

PDPAによる罰則

データ管理者およびデータ処理者は、PDPAが規定するコンプライアンス要件を遵守しない場合、または制限や禁止事項に違反した場合、行政罰上の罰金を科されたり、刑事責任や民事責任を問われたりする可能性があります。

行政罰上の罰金は最高で500万バーツです。刑事責任として、違反１件につき最長１年の懲役および／または最高100万バーツの罰金が科される可能性があります。

民事責任については、裁判所の決定に従い、損害を被ったデータ主体に、実際の損害賠償額および懲罰的損害賠償額を支払わなければならない可能性があります。

PDPCまたは裁判所が課す罰則は、違反の性質、重大性および期間、影響を受けるデータ主体の数、ならびに違反の発生時および発生後に実施された軽減措置に応じて異なります。

本稿において提供される情報は法的助言ではありません。これは一般的なものであり、個別的状況には該当しない可能性があります。提供された情報に基づいて何らかの行動を取る前に、具体的な助言を求める必要があります。

トップに戻る