タイでは、個人情報の保護を目的として、個人情報保護法(Personal Data Protection Act 以下、「PDPA」)が、2019年5月27日に官報で告示され、翌28日に施行されています。個人情報を取り扱う者の義務や、個人情報を提供した個人の権利などが定められています。
(1) PDPAの施行延期 PDPAの実質的な個人情報保護についての条項は、告示日から1年間の移行期間が設けられ、2020年5月27日から施行される予定でした。しかし、タイ政府は、2020年5月19日の閣議において、新型コロナウイルスの影響による準備不足などを理由に、PDPAの施行を1年間延期(2021年5月31日まで)する法案を承認しました。そのため、個人情報を取り扱う会社などは、来年の施行日までに準備を行えばよいことになりましたが、対応すべき事項が多岐にわたるため、準備を速やかに行うことが望ましいと思われます。
(2) 個人情報とは PDPAによる保護の対象となる「個人情報」とは、直接的・間接的であるかを問わず、個人を識別することのできる情報をいい、故人に関する情報は含まれないと定義されています。したがって、直接的には個人を識別することができない情報であっても、そのような情報を複数収集することで個人を識別することができる情報であれば、「個人情報」に含まれることになります。 現時点、細則の制定などは行われておらず、どのような情報が、具体的に「個人情報」に該当するかは明確ではありませんが、従業員や顧客の氏名、性別、生年月日、住所、電話番号、電子メールアドレスなどは、「個人情報」に該当すると考えられます。
(3) 個人情報管理者及び処理者 個人情報管理者(以下、「管理者」)とは、個人情報の収集・利用・開示に関して、決定権を有する個人又は法人と定義されています。従業員や顧客の個人情報の収集などを行う会社は、管理者に該当することになります。 また、管理者からの指示を受け、又は代理として個人情報の収集などを行う個人又は法人は、個人情報処理者(以下、「処理者」)と定義されています。
(4) 適用範囲 PDPAは、タイ国内に所在している管理者又は処理者が、個人情報の収集などをする場合に適用されます。この場合、個人情報の収集などがタイ国内で行われるか、タイ国外で行われるかを問わず、PDPAが適用されることになります。 さらに、管理者又は処理者がタイ国外に所在している場合でも、以下の場合に関して個人情報の収集などをする場合には、PDPAが適用されます。 (a)タイ国内に所在する個人情報保有者に対して、製品やサービスの提供をする場合
(b)タイ国内に所在する個人情報保有者の行動をモニタリングする場合 したがって、タイ国内に会社が所在していない場合でも、インターネット販売サイトなどでタイ国内向けに製品を販売し、個人情報を収集する場合などには、PDPAが適用されるため注意が必要です。
(5) 個人情報取扱時のルール 管理者による、個人情報の収集、利用、開示について、原則、個人情報保有者(以下、「本人」)の同意がない限り、行ってはならないとされています。そして、管理者は以下について対応する必要があります。
(a) プライバシー通知 個人情報の収集の際には、事前または収集時に、本人に以下の事項を通知しておく必要があります。 ・個人情報を収集する目的 ・法令または契約の遵守のために本人による個人情報の提供が必要な場合、その通知 ・収集対象となる個人情報およびその個人情報が保管される期間 ・収集された個人情報の開示先に関する情報 ・管理者の連絡先 ・本人が有する権利
(b) 個人情報の管理 収集した個人情報について取扱記録を作成し、更に以下の管理体制を構築する必要があります。 ・個人情報の不正または違法な紛失、アクセス、利用、改ざん、訂正、開示を防止するための適切な安全対策の構築 ・個人情報が管理者以外に提供される場合、個人情報の違法または無許可による利用、開示を防止する措置の実施 ・保管期間が終了した場合、収集目的外の個人情報がある場合、本人からの請求や同意の撤回があった場合に、個人情報を消去・破棄するための管理体制の整備
(6) 具体的な対応 会社としてはまず、①自社で保有する個人情報、または今後取得する予定の個人情報の内容を把握する必要があります。従業員の情報、一般消費者・取引先企業等の情報、ウェブサイトから取得する情報等が考えられます。次に、②当該個人情報についてのプライバシー通知の作成、個人情報管理体制の構築を行う必要があります。さらに、③個人情報の取得・利用・開示について、当該個人情報がPDPAの適用除外項目に該当するかを確認します。該当しない場合には、④本人から同意を取得する必要があります(同意を取得せずに個人情報の利用等を行うと、罰則が科されます)。
(7) 同意の取得 本人に同意を求める際には、個人情報の収集、利用、開示の目的を本人に通知した上で、本人から明確な同意を取得する必要があります。この場合、他のものと明確に区別できる方法で提示しなければならず、明瞭でわかりやすい言語を使用し、本人を欺いたり誤解させたりするような表現を用いてはならないとされています。この同意は、本人の自由な意思によるものであることが求められているため、細心の注意を払う必要があります。会社が、従業員または一般消費者・取引先企業等から同意を取得する場合は、当該対象者に適したプライバシー通知を作成の上、そのプライバシー通知を含んだ同意書を作成し、当該対象者から明確な同意を得てサインを取得することが望ましいと思われます。PDPAに関し、未だ細則の制定がなされておらず、細かな点は不明確な部分が多いですが、来年6月の施行に向け、会社として準備を進める必要があります。
詳細は当事務所へお問い合わせ下さい。
