タイ個人情報保護法の概要と企業のとるべき対応について
タイ個人情報保護法の概要と企業のとるべき対応について報告いたします。
タイ個人情報保護法の概要と企業のとるべき対応について
2021年8月5日
One Asia Lawyersタイ事務所
1.タイ個人情報保護法の概要
(1) 成立の背景
2019年2月28日、タイ王国初となる個人情報保護の基本法「2019年個人情報保護法」が国会で承認され、成立した。5月24日には国王の承認を受け、27日に官報に掲載、翌28日に施行された。事業者に課される規制の多くは、公布の日から適用開始まで1年間の猶予期間が設けられており、タイ王国にて個人データを取り扱う事業者は、2020年5月27日までに、対応を完了させる必要があった。
しかし、新型コロナウイルス感染症の流行と政府機関及び民間企業に十分な準備期間を与えるため、2020年5月19日において、タイ政府はPDPAの延期に関する勅令を閣議決定し、施行の延長期間は2020年5月27日から2021年5月31日までとされた。本勅令によれば、施行を延期する条文は、個人情報保護に関する第2章、個人情報の使用開示に関する第3章、異議申し立てに関する第5章、民事賠償責任に関する第6章、罰則に関する第7章、法律施行以前に収集した個人情報の取り扱いに関する第95条となっており、重要な条項については大方延長となることとなった。また、本勅令において、PDPAの施行を1年間延長することを明示しており、
そして、さらに、2020年5月5日、タイ政府は同様の理由から、施行を2022年5月31日まで再度一年間延期する勅令を閣議決定した。そのため、実質的なPDPAの施行は2022年5月31日以降となった。
(2) 個人データとは
規制の対象となる「個人データ」は、「個人に関する情報で、直接または間接を問わず、当該個人を特定することのできる情報をいい、死者の情報は含まない」と定義されている。具体的にどのような情報がこれに該当するかは、現在明確に規定されておらず、解釈によることになるが、タイ個人情報保護法のベースになっていると見られる欧州一般データ保護規則(GDPR)の定め等を考慮すると、以下のようなものが個人データに該当する可能性が高い。
・氏名
・住所
・生年月日
・国民ID番号
・位置データ
・オンライン識別子(Cookieデータ等)
・顔画像
・指紋
したがって、名刺、パスポートのコピー、タイ人のIDカードのコピー、メールのシグニチャー、求職者の履歴書等にも基本的に個人データが含まれ、タイ個人情報保護法の規制対象となる。
また、人種、民族、犯罪履歴、健康、組合加入、遺伝データ、生体データ等の特定の個人データは、いわゆる「センシティヴデータ」として、ほかの個人データに比べてより強い規制が適用される。
(3) 適用対象
同法の適用を受ける者は、個人データの収集、利用、または開示の決定権限を有する「管理者」と、管理者から委託を受けて個人データの収集等を行う「処理者」に分類され、それぞれ異なる規制が課せられるものとされている。
地理的な面では、原則としてタイ国内に所在する「管理者」または「処理者」の個人データの取扱において適用されるものとされているが、①国内に所在する者に対して、商品・役務の提供(有償または無償を問わず)を行う場合や、②タイ国内に所在する者の行動を監視する場合には、タイ国外に所在する事業者に対しても同法が域外適用されるものとされているので、タイ国内に関連会社や拠点を有さない場合でも、注意が必要である。
(4) 管理者の義務
個人データの管理者に該当する者には、個人データ取得の際の情報提供義務および同意の取得、その他適法性確保義務、取得した個人データの安全管理、記録保持義務、データ漏えい等発生時の当局への通知義務、個人データの国外移転に関する規制等多岐にわたる規制が適用される。
また、タイ国外に所在する管理者がタイ国内居住者の個人データを取り扱う場合、原則として、タイ国内に拠点を有する代理人を選任する義務を負う。
さらに、一定規模以上の個人データを取り扱うこと等の特定の条件をみたす管理者は、当局との連携や社内管理体制の監督の責任を負う、データ保護責任者(Data Protection Officer、DPO)を選任する義務を負う。
(5) 国外移転規制
同法においては、個人データをタイ国内から国外に移転することを原則として禁止する「国外移転規制」が定められている。したがって、タイ子会社が取得した個人データを日本本社のデータベースにて管理する場合等は、データ主体から同意を取得する等、法律に規定された一定の条件をみたす必要がある。
(6) 漏えい時対応
管理者が管理する個人データが漏えいする等の事故が発生した場合、当該管理者は、個人情報保護委員会事務局に対し、遅滞なく通知しなければならない。この通知は、可能であれば事故を認識してから72時間以内に行うべきものとされ、非常に厳しい時間制限が設けられている。そのため、対象事業者は、事前に十分な準備をしておき、事故発生時に迅速な対応を取ることができる体制を構築しておく必要がある。
(7) 罰則
同法に違反した事業者には、最大で500万タイバーツ以下の課徴金が課せられる。
さらに、刑事罰として、最大で1年以下の禁固もしくは100万タイバーツ以下の罰金またはその両方が科せられるものとされている。企業の違反の場合は、責任を負う取締役も処罰の対象となるため、注意が必要である。
その他、同法違反によって第三者に損害が生じた場合は、民事損害賠償の対象となるが、現実に発生した損害に加え、損害額の2倍以内の範囲で懲罰的賠償が課される可能性がある。
2. 企業のとるべき対応
(1) 要対応事項概要
同法の適用を受ける企業は、個人データの取扱にあたり、上述のような規制にしたがう必要があるが、そのために必要な対応は画一的なものではなく、事業者ごとに、事業内容、取り扱うデータの種類やリスクの大小、センシティヴデータの取扱の有無、データを取り扱う立場(管理者 or 処理者)、個人データ収集時の情報提供・同意取得状況、収集したデータの社内管理の状況、社内規程等の体制整備の状況、システムセキュリティ水準、個人データの国外移転の有無、委託先等の第三者に対する提供の有無等、諸般の事情によって異なる。
企業において同法遵守のための対応を進めるにあたっては、上述の各事情について、現在自社がどのような状況にあるのかを正確に把握した上で、必要な対応事項を洗い出し、リスクアセスメントの結果および法施行のタイムラインを考慮して優先順位をつけ、確実にタスクを完了させていくことが求められる。
これまで個人データ保護規制が存在しなかったタイにおいては、ほとんどの企業が膨大な項目の対応を求められることとなり、相当程度の時間、コストおよび人的リソースをかけて段階的に対応していく必要がある。また、法規制への対応といえば、通常総務・法務部門の管掌業務とされるが、同法対応においては、情報管理に関するシステム対応のために情報システム部門が関与したり、従業員の個人データの取扱に関して人事部門が関与したりする等、部門横断的な協力体制が求められる。したがって、一部門にとどまらず、全社的な対応プロジェクトを組成し、執行役員以上のレベルの責任者のトップダウンにより、漏れなく着実に対応を進めていくことが望ましいといえる。
(2) データマッピング
すべての対応の出発点として、現在自社において、いかなる個人データが収集され、どのように取り扱われているのか、現状を把握し、法令上要求されている事項とのギャップを確認して必要な対応項目を洗い出す(タスク化する)作業が必要になる。このような作業は一般に「データマッピング」と呼ばれている。
具体的な作業としては、社内各部署に対し、個人データの収集・管理の状況等に関する質問事項を記載したヒアリングシートを送付して回答を求め、収集したデータに基づいて法規制とのギャップ分析およびリスクアセスメントを実施する。この際注意すべき点として、各部門の従業員は必ずしも法規制の内容を把握しておらず、回答のための適切な判断を行えない場合がある。そもそも同法においては、あるデータが「個人データ」に該当するかどうかという根本的な点においても法的判断が必要になる場合があり、ヒアリングシートのやり取りにとどまらず、必要に応じて法務部員または弁護士等の外部専門家の関与の下、各部門に対して法令に関する情報提供や対面での聞き取り調査を実施する等、必要な情報を漏れなく収集できるようにすることが重要となる。
(3) タイ国内代理人・DPOの選任
上述の通り、特定の条件をみたす場合、企業においてタイ国内代理人・DPOの選任が必要になる場合がある。データマッピングの結果、これらのポジションの選任が必要と判断した場合、法の定めにしたがい、速やかに選任手続を行う必要がある。
(4) 情報提供・同意取得対応
個人データの収集に際し、管理者は、個人データの取扱に関する特定の情報をデータ主体に提供しなければならず、法の定める例外事由に該当しない限り、同意を得る必要がある。
収集に先立ちデータ主体に提供すべきとされる情報は、以下の通りである。
· 収集目的
· 法的義務の遵守のため、または契約の締結・履行のために収集提供が必要な場合、その事実
· 収集対象データ・保有期間
· 第三者開示を行う場合、開示先の第三者のカテゴリー
· 管理者に関する情報、住所、連絡先等の詳細(タイ国内代理人・DPOを選任している場合はその情報)
· データ主体の権利
法規制適用開始前段階での対応としては、データマッピングによって収集する個人データを特定の上、上述の事項を含むプライバシー通知(プライバシー・ノーティス)を作成し、通知の方法を検討・決定しておく必要がある。
また、同意の取得については、管理者からデータ主体に対する同意のリクエスト方法について、以下のような要件が定められている。
· 明瞭に範囲を認識できること
· 容易にアクセスでき、わかりやすい同意フォームを用いること
· 明快で平易な言語を用いること
· データ主体を騙したり誤解を生じさせないこと
企業は、収集するデータについて、同意取得の要否を検討の上、必要な場面で行うリクエストの内容および同意フォームを、法令にしたがって策定する必要がある。なお、同意は強制されず自由になされたものでなくてはならず、いつでも撤回可能でなければならないとされているので、注意が必要である。
(5) 処理記録体制整備
管理者は、取り扱う個人データの処理を記録しなければならない。したがって、記録のフォーマットを事前に定めておくとともに、収集・利用・開示等すべての処理が適切に記録され、かつ、当該記録が適切に保存されるよう、社内管理体制を整備しておく必要がある。
(6) 社内規程の整備
管理者が法令上の義務を十全に遵守するためには、個人データの取扱に関与するすべての役職員が法令上の義務を理解し、遵守しなければならない。このため、管理者においては、「個人データ取扱規程」等の名称で、社内における個人データの管理に関する社内規程を策定し、各部門または担当役職員の義務および責任を明確にする必要がある。また、規程を策定するのみでなく、その内容を役職員に理解、遵守させるため、社内セミナー等による周知やトレーニングについても計画的に実施すべきである。
(7) セキュリティ水準の確認・整備
管理者は、個人データを保護するための適切なセキュリティ対策を講じなければならないものとされている。したがって、場合によってはITシステムの開発・改修等の作業を含め、法令の定める水準をみたすようなセキュリティ体制を構築・整備する必要がある。なお、同法においては、「適切なセキュリティ対策」の内容は具体的に明示されておらず、詳細は今後の細則、ガイドライン等によって定められることが予定されている。
(8) 契約の見直し
個人データの処理を第三者に委託している場合、当該委託に関する契約において、個人データが適切に取り扱われるよう十分な条件が規定されているかを確認する必要がある。すでに締結された契約の条件が不十分であれば、必要に応じて条件の修正や追加を行う等の対応が求められる。
(9) 国外移転対応
個人データのタイ国外への移転は、法の定める例外事由に該当する場合を除き、原則として禁止される。例外事由は、以下の通りである。
· 移転先国が適切なデータ保護基準を有し、個人情報保護委員会が定める規則にしたがって移転する場合
· 法令遵守のため
· データ主体の同意がある場合
· データ主体が締結した契約の履行のため
· データ主体の利益のために管理者が締結した契約にしたがうため
· データ主体の生命、身体または健康への危険を防ぐため
· 公共の重大な利益のため
· 企業・事業グループ内で国外移転についての個人情報保護委員会による審査及び認証を受けた個人データ保護方針に基づき移転する場合
· 個人情報保護委員会が定めたルールおよび方法に従いデータ主体の権利行使を可能とする適切な保護措置を提供する場合
事前の対応としては、タイ国内で収集するデータを国外に移転する場合をデータマッピングで洗い出しておき、ケースごとにいずれの例外事由に該当し得るかを検討することになる。一般的にはデータ主体から同意を取得する方法を選択することが多いと思われるので、この場合、同意取得の方法を検討し、同意フォームを事前に定めておく必要がある。
なお、国外移転については、電子メールにファイルを添付して国外のサーバに直接送付するようなケースのみでなく、タイ国内のサーバに国外からアクセスできる状態に置いたことをもって国外移転と判断されるおそれがあると考えられるので、注意が必要である。
10) 開示・消去の対応体制整備
データ主体は管理者に自己に関する個人データの開示およびコピーの提供を求めることができ、管理者は、法定の拒否事由に該当しない限り、原則として30日以内にこれに対応する義務を負う。また、特定の場合、消去や別の事業者への移転を求めることができる。これらのデータ主体からの要求に対応するため、対応フローをあらかじめ整備しておく必要がある。
11) 漏洩時対応整備
個人データの漏洩があった場合、管理者は、個人データ保護委員会事務局に対し、可能であれば認識してから72時間以内に通知しなければならない。また、データ主体の権利に対する影響が大きい場合、データ主体に対し、侵害を通知しなければならない。当局への通知に関する法定の通知期限は72時間以内という非常にタイトなものであるので、漏洩が発覚してから対応方法を検討していてはとても間に合わない。事前に漏洩時の対応フローおよびチーム体制を明確に定めておき、問題発生時には速やかに必要な事実を確認して通知を行うことができるように備えて置く必要がある。
3. まとめ
同法は未だ細則等の制定がなされておらず、本稿を執筆している2021年7月時点では具体的な内容については不明確なところも多いが、規制を受ける事業者としては、期限までに必要な対応を完了させる必要がある。必要な時間は組織の規模等によっても異なるが、すべての対応を完了させるまでには、半年から1年程度の時間を要することも見込まれる。常に細則等の制定状況には目を配りつつ、データマッピング等、長期の対応時間を要するタスクのうち現時点で実施できるものについて、早期に着手し、計画的に対応を進めることが重要である。
以上
〈注記〉
本資料に関し、以下の点ご了解ください。
・ 今後の政府発表や解釈の明確化にともない、本資料は変更となる可能性がございます。
・ 本資料の使用によって生じたいかなる損害についても当社は責任を負いません。
本記事やご相談に関するご照会は以下までお願い致します。
masaki.fujiwara@oneasia.legal (藤原 正樹)
yuto.yabumoto@oneasia.legal(藪本 雄登)
