タイにおける個人情報保護法について

タイ王国個人情報保護法について報告いたします。
→個人情報保護法について

タイ王国個人情報保護法について

2019 年 11 月 1 日
One Asia Lawyers タイ事務所
弁護士 小出 将夫

１．背景、経緯

　2019年2月28日、タイ王国初となる個人情報保護の基本法「個人情報保護法」が国会で承認され、成立しました。5月24日には王国の承認を受け、27日に官報に掲載、翌28日に施行されております。事業者に課される規制の多くは、発効から適用開始まで1年間の猶予期間が設けられており、タイ王国にて個人情報を取り扱う事業者は、2020年5月28日までに、対応を完了させる必要があります。

２．概要

　2018年5月、EU一般データ保護規則（GDPR）が発効し、EU域内所在者の個人情報を取り扱う事業者に規制の適用が開始されました。タイ王国個人情報保護法は、GDPRの発効前後の時期に、一度閣議決定された草案を大幅に修正し、GDPRをほぼなぞるような形で、事業者に対する規制が定められたとの経緯があります。従って、最終的に成立した個人情報保護法のうち、事業者に適用される規制の大部分は、GDPRと同様の規定となっています。

３．個人情報の定義

　「個人情報」は、「個人に関する情報で、直接または間接を問わず、当該個人を特定することのできる情報をいい、死者の情報は含まない」と定義されています。また、人種、民族、犯罪履歴、健康、組合加入、遺伝情報、生体情報等の特定の個人情報は、いわゆる「センシティヴ情報」として、他の個人情報に比べてより強い規制が適用されます。

４．適用対象

　同法の適用を受ける者は、個人情報の収集、理由、または開示の決定権限を有する「管理者」と、管理者から委託を受けて個人情報の収集等を行う「処理者」に分類され、それぞれ異なる規制が課せられるものとされています。

　地理的な面では、原則としてタイ国内に所在する「管理者」または「処理者」の個人情報の取扱いにおいて適用されるものとされていますが、①タイ国内に所在する者に対して、商品・役務の提供（有償または無償を問わず）を行う場合や、②タイ国内に所在する者の行動を監視する場合には、タイ国外に所在する事業者に対しても同法が域外適用されるものとされていますので、タイ国内に関連会社や拠点を有さない場合でも、注意が必要です。

５．事業者の義務

　同法の適用を受ける事業者には、個人情報取得の際の情報提供義務および同意の取得その他適法性確保義務、取得した個人情報の安全管理、記録保持義務、情報漏えい等発生時の当局への通知義務、個人情報の海外移転に関する規制等多岐にわたる規制が適用されます。

　また、タイ王国外に所在する事業者がタイ王国内居住者の個人情報と取り扱う場合、原則として、タイ王国内に拠点を有する代理人を選任する義務を負います。また、一定規模以上の個人情報を取り扱うことなどの特定の条件をみたす事業者は、当局との連携や社内管理体制の管理の責任を負う、情報保護責任者（Data Protection Officer）を選任する義務を負います。

６．罰則等

　同法に違反した事業者には、最大で500万バーツ以下の課徴金が課せられます。

　さらに、刑事罰として、最大で1年以下の禁固もしくは100万バーツ以下の罰金またはその両方が科せられるものとされています。企業の違反の場合は、責任を負う取締役も処罰の対象となるため、注意が必要です。

　その他、同法違反によって第三者に損害が生じた場合は、民事損害賠償の対象となりますが、現実に発生した損害に加え、損害額の2倍以内の範囲で懲罰的賠償が課される可能性があります。

７．今後の対応

　前述のとおり、同法は既に施行されており、主要な規制対応の猶予期間は2020年5月28日までとされています。にもかかわらず、同法は法律の規定を補足し具体的な内容を定める政令、規則、ガイドライン等の下位規定がまだ定められておらず、現時点でどのような対応をとればよいのか不明確な部分が多くあります。これら下位規則については、施行から2年間で30ほどの規定が制定されるものとされていますので、今後公表される内容に常に目を配りつつ、猶予期間が満了するまでに法令に準拠した体制を構築できるよう、計画的に準備を進めることが重要です。

以　上