• Instgram
  • LinkeIn
  • Lexologoy

タイ: データ保護責任者の選任に関する個人データ保護委員会の告示、 評価チェックリスト及び報告書フォーマットについて

2024年01月09日(火)

データ保護責任者の選任に関する個人データ保護委員会の告示、評価チェックリスト及び報告書フォーマットについてのニュースレターを発行しました。
PDF版は以下からご確認下さい。
個人データ保護委員会の告示等 

データ保護責任者の選任に関する個人データ保護委員会の告示、

評価チェックリスト及び報告書フォーマットについて

2024年1月8日
One Asia Lawyers タイ事務所

1.はじめに

個人情報保護法(Personal Data Protection Act, B.E. 2562 (2019)、以下「PDPA」といいます。)の第41条(2)では、データ管理者及びデータ処理者が、大規模な個人データを処理するために、その処理活動を定期的に監視する必要がある場合には、データ保護責任者(Data Protection Officer、以下「DPO」といいます。) を選任する必要があると定めています。これらの「定期的に監視する必要がある場合」及び「大規模の個人データ」の内容を具体化し、DPOの選任が義務付けられる場合を明確にするために、個人情報保護法第41条(2)に基づくデータ保護責任者の選任に関する個人データ保護委員会の告示 (以下「本告示」といいます。)が、2023年12月13日に施行されました。さらに、2023年12月にDPO選任のための評価チェックリスト(以下「本チェックリスト」といいます。)及びDPO選任の報告書フォーマットも公表されましたので、これらの概要の説明をいたします。

https://ratchakitcha.soc.go.th/documents/140D226S0000000001200.pdf

https://pdpc.e-office.cloud/drive/public/U6569a11f49415/home/

2.概要

2.1 中核的活動

本告示では、DPOの選任が義務付けられる前提として、データ管理者又はデータ処理者が、その中核的活動として、個人データを処理していることが必要とされます。ここで、中核的活動とは、事業者がそのサービスを提供するための顧客の個人データの収集、使用、開示、記録など、データ管理者又はデータ処理者の事業を運営する主な目的を達成するために必要な行動をいいます。

本告示では、この中核的活動の具体例は示されていませんが、下記2.3.2に示しているような保険会社や金融機関においては、その事業の過程において、保険加入者や預金者の個人情報が必要になり、これらの情報なしには事業の実施が困難であることから、中核的活動に該当すると考えられます。その他にも、消費者へのネット販売業者やクレジットカード会社等も、顧客の個人情報なしに事業を行うことが困難であることから、個人データの処理が中核的な事業に該当すると考えられます。特に、BtoCビジネスにおいては、BtoBビジネスに比べより多くの顧客情報を取り扱うことが想定されるので、当該中核的活動に該当するかを慎重に検討する必要があります。

2.2 定期的に監視する必要がある場合

人の行動、態度、又は特性を体系的かつ定期的に追跡、監視、分析、又は予測する処理活動(*)は、データ管理者又はデータ処理者が、定期的に監視する必要がある中核的活動とみなされます。

*「処理活動」とは、個人データを収集、使用、又は開示するデータ管理者又はデータ処理者のあらゆる行為を意味します。

具体的には、以下の処理活動は定期的に監視する必要があるとみなされます。

・公共交通機関の会員カード、電子カード、又は個人を特定できるその他のカードに関連する処理活動

・一般的に要求される信用調査、信用評価、詐欺防止等のための身元確認又は資格確認を必要とする処理活動

・行動ターゲティング広告を含む処理活動

・認可された電気通信事業者による顧客又はユーザーの個人データの処理活動

・安全とセキュリティに関わる処理活動

・個人データ保護委員会 (以下「委員会」といいます。) が定めるその他の活動

2.3 大規模な個人データの取扱い

2.3.1 大規模な個人データの取扱いに該当するか否かは、以下の要素を考慮して決定されます。

・データ主体の数等

・個人データの量、種類、又は性質

・個人データが処理される期間

・個人データの処理が行われる国又は地域

ただし、上記の要素を考慮した結果、具体的にどのような場合に大規模な個人データの取扱いに該当するかの基準は示されていませんので、最終的な決定は各社の判断に委ねられています。

2.3.2上記2.3.1に関わらず、次のいずれかに該当する場合は、大規模な個人データを取り扱っているとみなされます。

・100,000人以上のデータ主体を対象とする個人データの処理活動

・ユーザーが広く利用する検索エンジン又はソーシャルメディアを介したターゲット広告のための個人データの処理活動

・保険会社又は金融機関による個人データの処理活動

・認可された電気通信事業者による個人データの処理活動

・その他委員会が定める処理活動(現時点ではなし)

3.DPO選任のための評価チェックリストについて

委員会は、データ管理者又はデータ処理者がDPO選任の要否を判断するためのDPO選任のための評価チェックリストを公表しました。本チェックリストは、「中核的活動」、「定期的に監視する必要がある場合」、「大規模な個人データの取扱い」を考慮した3つのパートに分かれており、上記の2.1、2.2及び2.3で述べたのと同様の基準が示されております。本チェックリストは、データ管理者又はデータ処理者がDPOの選任義務を負うかの判断の一助とするためのもので、特段本チェックリストを委員会に報告する義務は負いません。もっとも、事業の性質上、DPOの選任義務を負う可能性がある場合や委員会から問い合わせを受けた際に迅速に回答できるようにするため、本チェックリストにてDPOの選任の要否を確認しておくことはコンプライアンス上有用であるといえるでしょう。

4.DPO選任の報告書フォーマット

データ管理者又はデータ処理者が、DPOを選任した場合、PDPA第41条第5項に基づき、DPOの連絡先等を委員会に報告しなければなりません。委員会は、この報告に必要な事項を記載した以下のDPO選任に関する報告書のフォーマットを公表しました。データ管理者又はデータ処理者は、このフォーマットを使用し、電子メール(saraban@pdpc.or.th)にて委員会に報告することが求められます。

<フォーマットの記載事項>

①データ管理者又はデータ処理者の一般情報(会社名、住所、このフォーマットの提出日、提出者名等)

②DPOの選任が必要な理由

③DPOに関する情報(DPOの名前、住所等)

④DPOが、PDPAのDPOの義務と抵触する他の職務を行わないことを証明するデータ管理者又はデータ処理者による証明欄

⑤必要書類(DPO選任のレター、通知書等)

5.その他

データ管理者又はデータ処理者は、PDPAに規定されているDPOの義務と抵触しないことを委員会に証明した場合、DPOに他の職務と兼職させることができます(例えば、従業員がDPOを兼職する場合など)。この場合、上記4 「DPO選任の報告書フォーマット」④にDPOの義務と抵触しないことの説明を記載することになります。

6.罰則

事業者は、PDPA第41条(2)に従ってDPOを選任しなかった場合、PDPA第85条に基づき最大でTHB1,000,000の行政罰が課されます。

7.事業者への影響

本告示は、事業者がDPOを選任しなければならない場合を規定するものです。データ管理者又はデータ処理者として個人データを処理する事業者で、相当程度の数の個人データを扱っているような場合は、本告示及び本チェックリストに従い、「中核的活動」、「定期的に監視する必要がある場合」及び「大規模の個人データ」に該当するかを検討することが重要となります。

以上

本記事やご相談に関するご照会は以下までお願い致します。

yuto.yabumoto@oneasia.legal(藪本 雄登)

masaki.fujiwara@oneasia.legal(藤原 正樹)

miho.marsh@oneasia.legal (マーシュ美穂)

hiroyasu.chiba@oneasia.legal (千葉 広康)