(1) タイの個人情報保護法の概要
タイの個人情報保護法(Personal Data Protection Act B.E. 2562 (2019)、以下「PDPA」といいます。)は、2019年に成立、一部施行されました。その後、数回の施行延期を経て、最終的に2022年6月1日から、企業などが対応しなければならない規定を含め、全面施行されています。今回は、このPDPAの概要及び、押さえるべきポイントを3つ、ご紹介します。
(2) PDPAのポイント
ア PDPAの適用は「タイ国内」にいる事業者だけではない
PDPAは、タイ国内に拠点を置く組織・事業者はもちろん、国外の組織・事業者にも適用されます。タイ国内の個人に対して商品・サービスを提供したり、彼らの行動をモニタリングしたりする場合、日本からのリモートサービスであっても対象となる点に注意が必要です。
イ 「同意」が原則、かつ「機微情報」はより厳格
個人情報の収集・利用・開示には、原則としてデータ主体(本人)の明示的な同意が必要です。特に、人種、信条(宗教・政治)、遺伝データ、生体データ、健康状態、犯罪歴などの「機微情報(Sensitive Data)」についても収集・利用・開示はできますが、その場合がより制限されています。
ウ 三重の罰則・制裁リスク
PDPAは、違反時のペナルティが多様です。このため事案によっては多層的に罰則や賠償責任を負う場合があり得ます。規定されている違反対象は行政罰、刑事罰により異なり、その罰則及び制裁の概要は以下の通りです。
・行政罰:最大500万バーツの制裁金
・刑事罰:他者に損害や名誉毀損を引き起こす可能性のある違反行為等について、最大1年以下の禁錮刑、または100万バーツ以下の罰金、またはその両方が科される(法人の代表者が対象になる可能性あり)
・民事責任:実際の損害額に加え、最大2倍の懲罰的損害賠償(PDPA独自の懲罰的損害賠償制度)
個人情報を取り扱う事業者としては、まずは自社が保有する個人情報の棚卸しから始め、個人情報漏えい防止のための対策、また漏えい時の対応方法について対策を進めることが重要でしょう。
