個人情報保護法および個人データ保護規制

2019年、国家立法議会はタイ初の統合された個人情報保護法（2019年／PDPA）を承認し、同法は2022年6月1日に全面施行に至りました。PDPAは、個人データ保護委員会が発行した、または発行する予定の下位法令または規則に規定されている、詳細、基準、プロセス、標準、または関連ガイドラインに関する保護の要点を提供しています。

ビジネス慣行への影響

PDPAは、個人データの処理量にかかわらず、個人データを収集、使用、開示または移転するすべての個人／企業に適用されます。ただし、中小企業や慈善財団など一部の事業については、一定の基準に従って、PDPAに基づく一定の要件が免除される場合があります。

PDPAの制定に伴い、企業には、顧客、取引先、ビジネス・パートナー、従業員の個人データを含む個人データの収集、使用、開示、移転の方法を変更する必要が生じました。個人データはもはや永久に保持することはできず、その処理はPDPAに規定された法的根拠に基づいていなければなりません。

これを遵守しない場合には厳しい罰則が課されるため、PDPAの施行後、タイ企業は個人情報の取り扱いを積極的に修正しています。

以下の民事罰、刑事罰が科されます。

• 民事責任：実際の損害額の２倍を上限とする損害賠償
• 行政責任：最高500万バーツ（13万7700米ドル）の行政罰金、および／または
• 刑事責任：６カ月以上１年以下の懲役、50万バーツ以上100万バーツ以下の罰金、またはその両方（場合による）

事業体のみではなく、事業を指示した取締役、管理者、権限を有する者も同じ刑事罰に処せられる可能性があることは、決定的に重要な留意事項です。

したがって、タイで個人データを処理するすべての事業体は、個人データ処理における新たな文化をつくり、トップレベルの経営陣から業務担当者に至るまで、組織の全員がPDPAを認識し、遵守しなければなりません。

また、PDPAに準拠するよう、プライバシーポリシー、個人データの取り扱いフローおよび手順を作成または見直す必要があります。PDPAを遵守しない場合、データ漏洩につながる可能性があり、その結果、組織はPDPAに基づく制裁を受けることになります。

PDPAの要点

個人データとは何でしょうか？　PDPAは、その範囲と適用対象を定めています。個人データとは、「個人に関する情報であって、直接・間接を問わず、当該個人を識別することができるものであるが、故人の情報はこれに含まれない」と定義されています。この定義に該当する情報は、PDPAにより保護されるべきものです。

また、PDPAは、取り扱いに特別な注意を要するデータをも定義しています。具体的には「センシティブ・データ」として知られているものであり、人種、民族的出身、政治的意見、文化、宗教的または哲学的信条、性的行動、犯罪歴、健康データ、障害、労働組合情報、遺伝データ、生体認証データ、もしくはデータ対象者にこれらと同様の影響を及ぼす可能性のある、あらゆるデータに関する個人データを意味します。

PDPAは、データ管理者および／またはデータ処理者によって、同法に基づいて規制された方法で個人データが処理された個人のみを、保護するために適用されます。したがって、法人データはPDPAでは保護されません。

関係者　PDPAでは、データ主体、データ管理者、データ処理者、データ保護責任者、個人データ保護委員会という5種の主な関係者が、この法律の対象者または関係者です。

データ管理者とは、個人データの収集、使用または開示に関する決定を行う権限および義務を有する個人または法人です。データ処理者とは、データ管理者の命令に従って、またはデータ管理者に代わって、個人データの収集、使用または開示に関して業務を行う個人または法人であり、かかる個人または法人がデータ管理者でない場合を指します。

したがって、データ管理者／データ処理者は個人でも法人でもあり得ますが、データ管理者はその裁量でデータ主体の個人データを収集、使用、開示または移転するのに対し、データ処理者はデータ管理者に代わって、またはデータ管理者の命令によって個人データを処理します。

PDPAは、主としてデータ管理者に任務と義務を課しています。データ管理者の主な任務は２種に分類できます。

• データ主体に対する任務　主な任務には、個人データの処理に関してPDPAで要求される最低限の情報を、データ主体に提供すること、データ主体の権利が同法に基づいて認識されるようにすることなどが含まれる。
• 企業内での任務　主な任務には、データ廃棄手続きを含むセキュリティ対策の実施、データ侵害の通知、データ処理契約の作成、処理活動の記録の保管、あるいは個人データの移転先の国の十分なデータ保護基準の確保などが含まれる。

PDPAがデータ処理者に課す任務は多くはありませんが、状況によっては、データ処理者がデータ管理者の命令または指示を超えて個人データを処理した場合、データ処理者がデータ管理者であるかのように、同法に基づく責任を負うこともあります。

データ管理者およびデータ処理者に加え、他の者がデータ管理者またはデータ処理者によっ て任命されることが必要な場合もあります。それらは以下のとおりです。

• データ保護責任者（DPO）は、データ管理者／データ処理者に対する助言、データ管理者／データ処理者の職務履行状況の調査、ならびに委員会事務局との調整および協力が求められるため、個人データ保護に関する知識または専門知識を有していなければならない。および／または、
• 個人データが海外で処理される場合のタイにおける代理人を務める。
• 個人データの処理において、委員会はPDPAの遵守を保証するための監督機関となる。

適用範囲　PDPAは域内と域外両方の根拠を適用します。タイ国内・国外のデータ管理者およびデータ処理者は、一定の例外を除き、タイ国内の対象者の個人データを処理する場合、PDPAの適用を受けます。

法的根拠　同意を求めることは個人データ処理の重要な原則ですが、PDPAは以下の根拠に基づいて個人データを処理する例外を規定しています。

• 歴史的目的、研究または統計
• 死活的利益
• 法的義務
• 契約の根拠
• 公共の利益、または
• 適正な利益

センシティブ・データの処理については、特定の追加的な法的根拠を満たす必要があります。

データ主体の権利　PDPAでは、例外を除き、データ主体は以下の権利を享受します。

• 情報を得る権利
• 記録へのアクセス／入手の権利
• データ可搬性の権利
• 異議申立の権利
• 消去の権利
• 処理を制限する権利
• 修正する権利
• 同意を撤回する権利
• 告訴の権利

上記に基づき、データ主体は、処理される個人データの種類および個人データが保持される期間を含む、個人データ処理の目的および根拠について、知らされていることが重要です。

個人データが開示される可能性がある場合、データ主体は、収集された個人データの開示先となる個人または団体のカテゴリーについて、通知されなければなりません。

最後に、データ管理者、代表者（該当する場合）またはデータ保護責任者の情報および連絡先の詳細（データ主体の権利を含む）も、通知されなくてはなりません。

作成と実施

まだ遵守に至っていない場合、企業はギャップ分析を開始し、実務におけるPDPAへの非遵守を特定する必要があります。各活動に関して、個人データを処理する法的根拠を決定しなくてはなりません。他の関連する方針および基礎となる文書と共に、個人情報保護方針を作成または再検討しなくてはなりません。組織内のすべての関係者がトレーニングを受け、すべてのビジネス・パートナーが、その企業における個人データ保護文化の変化を認識しなくてはなりません。

さらに企業が、個人データ管理プロセスとITセキュリティ対策を同時に導入することも考えられます。セキュリティ対策は、委員会の通達に定められている以上の最低セキュリティ基準を備えていなくてはなりません。

この最低基準は、国際標準化機構および国際電気標準会議規格27001（ISO/IEC 27001）のコンセプトに沿ったもので、その主なコンセプトには、データの機密性、完全性、可用性が含まれています。

多国籍企業

GDPR規制が、その施行も含めてPDPA起草のガイドラインとして使用されたとはいえ、GDPRに準拠した企業がすべての面でPDPAに準拠しているとは限らないことに、企業は留意すべきです。企業はまた、PDPAに準拠するため、組織内に個人データ保護体制を導入する必要があります。子会社間での個人データの移転も、PDPAの要件および制限に従わなくてはなりません。