(1)タイの個人情報保護法第5条
タイの個人情報保護法(Personal Data Protection Act B.E. 2562 (2019)、以下「PDPA」といいます。)の第5条は法の適用範囲を定めたものであり、本条項は、PDPAが、タイ国内の事業者のみならず、タイ国内の個人のデータを管理又は処理するタイ国外の事業者に対しても適用され得ることを定めています。
ア 基本的な適用範囲(PDPA第5条第1項)
原則として、PDPAはタイ国内に所在するデータ管理者およびデータ処理者が行う、個人データの収集・利用・開示に適用されます。これは、対象となる個人(データ主体)がタイ国内にいるか国外にいるかを問いません。
イ タイ国外の事業者に対する適用(PDPA第5条第2項)
第5条第2項は、タイ国内に拠点を持たない国外の事業者であっても、以下のいずれかに該当する活動を行う場合には、本法が適用されると規定しています。
①タイ国内の個人に対する商品またはサービスの提供
②タイ国内における個人の行動監視(Monitoring)
①は、タイ国内の個人(データ主体)を対象として、物品の販売やサービスの提供を行う場合です。有償である場合と無償である場合を問いません。②は、タイ国内で行われるデータ主体の行動を追跡し、そのデータを収集・分析する場合です。具体的には、クッキー(Cookie)等を用いたウェブサイト上の行動追跡、位置情報の取得、利用傾向のプロファイリングなどが考えられます。
(2)代理人の選任
PDPA第37条第5項は、第5条第2項の適用対象となるタイ国外の事業者に対し、個人データ管理者の代理人を任命することを義務付けています。この代理人は、タイ国内に所在している必要があります。この代理人に対しては、データ管理者の目的に従った個人データの収集、利用または開示に関して、責任を制限することなく、データ管理者に代わって行動する権限を付与する必要があります。
