タイにおける情報保護法
タイの個人情報保護法(PDPA)(2019年)は、個人データの不正な、または違法な収集、使用、または開示から自然人を保護するために公布されました。2019年5月27日に施行されましたが、その全面施行は2度延期され、直近では2022年6月1日まで延期されています。
データ権限
PDPAには、個人情報保護委員会(PDPC)の設立が規定されており、以下のような責務を担っています。
- 個人データ保護のための措置または手続きの決定、
- 通知の発行または規則の公布、
- データ保護手続き、および海外に移転されるデータの保護に関する基準の公布、
- 個人データをサポートおよび保護するための基本計画の作成。
個人情報保護委員会(PDPC)は、法令の検討や施行のために小委員会を設立する権限も有しており、またPDPCの下に、個人情報に関する苦情や紛争解決を調査・検討する専門委員会を設置することができます。
最後に、PDPAは、PDPCの事務所と監督委員会の設置を規定しています。事務所は、PDPC、個人情報保護委員会、および監督委員会のために学術的および管理的業務を行います。また、国際的なデータ移転に関するポリシーの審査や認証を行う権限もあります。
実体的適用範囲、地理的適用範囲
PDPAは、データ処理行為がタイ国内で行われるかどうかを問わず、タイにおけるデータ管理者またはデータ処理者による個人データの収集、使用および開示(以下、総称してデータ処理行為)を規制しています。
データ管理者またはデータ処理者がタイ国外にいる場合でも、データ管理者またはデータ処理者の活動が以下の項目を含む場合、PDPAは、タイ国内における主体のデータ処理行為に適用されます。(1)データ主体が支払いを行っているかどうかにかかわらず、タイ国内のデータ主体への商品またはサービスの提供、および(2)タイ国内でのデータ主体の行為のモニタリング。ただし、PDPAは以下には適用されません。
- 当該個人のみの個人的な利益または世帯活動のために収集されたデータ、
- 公的機関の業務に関するデータ、
- マスメディア、美術、文学に関する活動のみを対象として収集したデータ、
- 国会または議会委員会の任務および権限に分類されるデータ、
- 裁判所の裁判や判決に関するデータ、および法的手続きにおける役員の業務に関するデータ、ならびに
- 信用調査会社およびその社員が収集したデータ。
収集、使用、開示
PDPAでは、個人データを「直接または間接を問わず、識別可能な個人に関する情報」と定義していますが、故人に関する情報は含みません。
個人データには、一般的な個人データとセンシティブデータの2種類があります。一般的な個人データとは、センシティブデータ以外のあらゆる種類の個人データを指します。センシティブデータとは、人種、民族的出自、政治的見解、カルト、宗教上・思想上の信条、性行動、犯罪歴、障害、労働組合への加入情報、健康データ、遺伝子データ、生体データ、およびPDPCが定める、データ主体に同様の影響を与える可能性のあるその他の個人情報を指します。
別の方法を許可する法的根拠がない限り、個人データの処理にはデータ主体の明示的な同意が必要です。ただし、同意なく個人データを処理するための法的な根拠には、調査、重大な利益、契約、公益のために、または職務上の権限に基づき行われる業務、(データ主体の権利とのバランスが保たれた)データ管理者の正当な利益、合法的な非営利活動、公開済みデータ、法的要求、法的義務などがあります。
個人データの海外移転
個人データの海外への移転は、PDPAに基づき、以下の限定された状況下に限り許可されています。(1)PDPCが決定した適切なデータ保護基準を有する移転先国への移転である場合、(2)PDPCの事務所が審査し承認したグループデータ保護方針に基づいて移転する場合、ならびに(3)法律を遵守するための移転である場合、またはデータ主体が移転先国のデータ保護基準が不適切であることを知らされている条件のもとで同意が得られている場合など、特定の適用制約に基づく場合。
管理者および処理者
PDPAでは、データ処理行為に関する決定権を持つデータ管理者と、データ管理者の命令に基づき、またはデータ管理者に代わってデータ処理行為に関連する業務を行うデータ処理者とを区別しています。
データ管理者は、セキュリティ対策と検証手順を実施し、違反があった場合はPDPCの事務所に通知しなければなりません。PDPAは、個人データの不正な、または違法な紛失、アクセス、使用、変更、修正または開示を防止するために適切な措置を講じることをデータ管理者に義務付けています。データ管理者は、データ処理者との契約を結び、間違いなくPDPAを遵守しなければなりません。
データ処理者は、セキュリティ対策の実施、違反があった場合のデータ管理者への通知、ログの作成および維持に責任を持ちます。
透明性と説明責任
透明性はPDPAにおける重要な原則であり、データ管理者はデータ収集前、またはデータ収集時にデータ主体に以下のことを通知しなければなりません。
- 法的根拠を含む収集目的、
- 情報を提供しない場合の影響、
- 収集されるデータおよび保存期間、
- 個人データの開示先となる可能性のある個人または事業体のカテゴリー、
- データ管理者、管理者の代表者またはデータ保護責任者(該当する場合)の連絡先、住所、連絡先詳細、ならびに
- データ主体の権利。
また、データ主体に新たな目的を伝え、事前の同意が得られた場合を除き、データ処理行為は、事前にデータ主体に通知された目的に従って行わなければなりません。
さらに、PDPAに基づく説明責任の観点から、データ管理者は以下の記録を保持し、データ主体およびPDPCの事務所が閲覧できる状態を維持しなければなりません。
- 収集した個人データ、
- 収集の目的、
- データ管理者の詳細、
- 個人データの保存期間、
- 個人データにアクセスする際の権利と方法、
- 同意の要件が免除される個人データの使用または開示、
- 要求または異議の拒絶、ならびに
- データ漏洩を防止する適切なセキュリティ対策についての説明。
漏洩通知
PDPAでは、データ管理者に対して、個人データの漏洩が発覚した時点から72時間以内に、その漏洩がデータ主体の権利と自由を損なう可能性が低い場合を除き、PDPCの事務所に通知することを義務づけています。漏洩によってデータ主体の権利と自由に大きなリスクがもたらされる場合、データ管理者はデータ主体に通知し、直ちに改善策を講じなければなりません。
データ主体の権利
データ主体は、データ管理者に対して、自身の個人データへのアクセスを要求し、そのコピーを取得する権利、データ可搬性の権利、処理を拒否する権利、忘れられる権利、個人データの使用を制限する権利、および正確を期すためにデータを修正する権利などを有しています。
罰則
PDPAへの違反に対する罰則には、刑事罰、行政罰、民事罰があります。刑事罰としては、1年以下の懲役および100万タイバーツ(2万9,250米ドル)以下の罰金、またはそのいずれかが課されます。また、違反の原因が企業責任者の指示または不作為にある場合、その個人も同様の処罰を受ける可能性があります。民事責任には、損害額の実額の2倍を上限とする懲罰的損害賠償金が含まれ、民事上の損害賠償は集団訴訟によって請求することができます。PDPCは、一般的なデータについては最高300万タイバーツ、センシティブデータについては最高500万タイバーツの過料を命じる権限が与えられています。
下位規則
以下の事項について、現在、PDPCによって検討中の3組の下位規則案について、公聴会が開催されました。
- 同意を得るための基準や方法、
- 個人データの処理、
- 個人のセンシティブデータに対する適切なデータ保護方法、
- 海外にデータを移転するための基準と保護措置
- 活動記録、データ主体の要求に関する方法、漏洩に関する報告書、
- データ保護責任者、
- 外国代表者の選任、
- 特定の規定の遵守を目的とした業界の例外、
- データ主体の権利に関する義務、
- データ処理者の義務、
- 行動規範、
- データ保護の影響評価および自動意思決定、ならびに
- 個人情報保護基準および認証。
WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
電話: +662 264 8215
www.weerawongcp.com