データプライバシーの監視: タイ

タイで最も重要なデータプライバシー法は、個人情報保護法（PDPA）です。同法は2019年に制定され、2022年6月に全面的に施行されました。

同法では、個人データの処理に関する主要原則と、管轄監督機関である個人データ保護委員会（PDPC）の任命について規定されています。

PDPCは次のような権限を与えられています。PDPAの施行と執行、PDPA実施規則および規制の制定、個人データ保護に関する方針および指針の制定、異議申し立てに対する調査の実施、PDPAに違反するデータ管理者およびデータ処理者に対する執行命令の発令。

PDPCは2023年11月までに、PDPAに基づき21の実施規則、規制、ガイドラインを制定しています。

PDPAの主要原則

1. 個人データの分類。個人情報保護法（PDPA）における個人データとは個人に関するあらゆる情報を意味し、直接的であるか間接的であるかを問わず、当該個人を識別することを可能にするものですが、 故人の情報は含まれません。PDPAは、（i）一般個人データ、（ii）センシティブ個人データ（SPD）の２種類の個人データの処理について規定しています。

   SPDとは、人種、民族的出自、政治的見解、崇拝の対象、宗教上・思想上の信条、性行動、犯罪歴、医療データ、障害の有無、労働組合への加入情報、遺伝子データ、生体データ、またはデータ主体に同様の影響を与える可能性のある、その他の個人データを指します。

2. 個人データの処理。PDPAにおける個人データの「処理」とは、個人データの収集、使用、開示を指します。個人データを収集することができるのは必要な場合に限られ、その目的のために必要な期間に限り保管することができます。

   データ管理者は、一般個人データの収集前または収集時に、データ管理者のプライバシー通知をデータ主体に提供することにより、一般個人データの収集目的をデータ主体に通知しなければなりません。この通知には、少なくとも次の事項を含める必要があります。すなわち、個人データ処理の目的、データ管理者およびそのデータ保護責任者（DPO）の詳細、個人データが開示される可能性のある第三者、データ主体の権利、この権利をデータ主体が行使できる方法と時期です。

   データ対象者の明示の同意なしにSPDを収集、使用または開示することは、わずかな例外を除いて禁止されています。その例外には、データ主体が何らかの理由で同意を与えることができないときに、データ主体の生命、身体または健康に対する危険の防止または抑制のために必要な場合などがあります。

   個人データの処理を合法的に行うには、PDPAに基づく法的要件に従って実行しなければなりません。個人データがデータ主体の同意に基づいて処理されている場合、データ主体はデータ管理者またはデータ処理者に同意の撤回を通知することにより、いつでも同意を撤回することができます。

   個人データを処理する場合、データ管理者およびデータ処理者は、個人データの完全性および機密性を維持しなければなりません。

   データ管理者またはデータ処理者は、個人データ処理行為の完全な記録を、PDPCによる検査またはPDPCへの提出に備えて保持する必要があります。

3. 国境を越えたデータ移転。適切にデータが保護されない国・地域または国際機関に個人データを移転することはできません。ただし、（i）データ主体が適切にデータが保護されないことを知らされた上で、明示の同意を与えた場合、（ii）国境を越えた個人データの移転が、移転者と移転先国または移転先の国際機関の受領者との間の 契約に基づき必要な場合を除きます。

   PDPCは、同一グループ内の企業が同程度に高いデータ保護水準に準拠するよう徹底するために、グループ内データ移転について規定する対内的な拘束力のある企業規則を導入するよう奨励しています。

4. DPO。2023年12月13日より、データ管理者およびデータ処理者は、その主要業務に以下の行為が含まれる場合に、DPOを任命する義務が課されています。すなわち、（i）行動や態度の追跡、監視、分析、予測、個人データ、会員プログラム、信用スコアリング、詐欺防止の体系的処理、ネットワークサービスプロバイダーや通信事業者によるデータ処理、行動広告など、個人データやシステムの定期的な監視を必要とする大規模な個人データの処理、または（ii）あらゆる規模のSPDの処理です。

   DPOの任命を怠った場合、100万バーツ（2万8300米ドル）以下の罰金が科される可能性があります。

未成年者の保護

10歳未満の未成年者から個人情報を収集する場合は、親権者の同意を得る必要があります。

未成年者が10歳以上であっても、婚姻により法的責任能力を取得していない場合、または法的責任能力を備えていない場合は、未成年者と親権者の双方から同意を得なければならなりません。

コンプライアンス上の要件

PDPAに基づいて、企業が導入する必要のある主なコンプライアンスプログラムを以下に挙げます。

1. PDPAに基づくデータ処理要件に完全に準拠したデータプライバシーポリシーの策定および維持
2. データ管理者およびデータ処理者間のデータ処理契約またはデータ移転契約の締結
3. データプライバシーに関するリスクや、そのリスクを軽減するための対策の特定を目的とするデータ保護影響評価の作成
4. 例外が適用される場合を除き、個人データの収集、使用、開示の前、またはその際に、データ主体からの明示の同意を取得し、その同意についての記録を保持すること
5. データ主体による権利の保護および行使促進を目的とする、次に挙げるものを含むメカニズムの確立。すなわち、個人データにアクセスする権利、いつでも同意を撤回する権利、 個人データを修正、削除、制限、または処理に反対する権利、データポータビリティの権利、PDPC 事務局に苦情を申し立てる権利
6. PDPA の遵守の徹底のため、データ主体とPDPCとの連絡担当者として、主要業務上必要な場合にDPOを任命すること

データ漏洩

データ漏洩が、データ主体の権利と自由に対するリスクにつながる可能性が高い場合、漏洩の認識から72時間以内に、データ漏洩に関する通知をPDPCに提出する必要があります。通知には、漏洩の性質、データ管理者の連絡担当者またはDPOの詳細、起こり得る結果、潜在的な悪影響を軽減するために講じられた、または講じられる措置を含めなければなりません。

データ漏洩が、データ主体の権利と自由に対して高いリスクをもたらす可能性がある場合には、PDPCとデータ主体の双方に、是正措置を記載したデータ漏洩に関する通知を、遅滞なく送付する必要があります。

データ漏洩の対象が複数のデータ主体に及ぶ場合には、データ管理者は、公共メディア、ソーシャルメディア、電子的手段、またはデータ主体もしくは一般公衆がアクセス できるその他の手段を介して、各データ主体に個別に、または一般的に通知することができます。

PDPAによる罰則

データ管理者およびデータ処理者は、PDPAが規定するコンプライアンス要件を遵守しない場合、または制限や禁止事項に違反した場合、行政罰上の罰金を科されたり、刑事責任や民事責任を問われたりする可能性があります。

行政罰上の罰金は最高で500万バーツです。刑事責任として、違反１件につき最長１年の懲役および／または最高100万バーツの罰金が科される可能性があります。

民事責任については、裁判所の決定に従い、損害を被ったデータ主体に、実際の損害賠償額および懲罰的損害賠償額を支払わなければならない可能性があります。

PDPCまたは裁判所が課す罰則は、違反の性質、重大性および期間、影響を受けるデータ主体の数、ならびに違反の発生時および発生後に実施された軽減措置に応じて異なります。

本稿において提供される情報は法的助言ではありません。これは一般的なものであり、個別的状況には該当しない可能性があります。提供された情報に基づいて何らかの行動を取る前に、具体的な助言を求める必要があります。