タイ 個人 情報 保護 法。 タイでPDPA(個人情報保護法)が正式施行!

タイ国 個人データ保護法(PDPA)対応支援

タイ 個人 情報 保護 法

デジタル技術の進化による次世代通信規格「5G」やモノのインターネット「IoT」などの実用化に伴い、生活の利便性向上、事業の効率化、経済効果などが期待されている。 一方、企業の事業活動が国境を越え、データ流通量が増えるほど、個人情報の流出やサイバー攻撃に晒される脅威は高まっていく。 世界の潮流に乗って、タイでも2019年5月28日に「個人情報保護法(PDPA)」が施行された。 1年間の猶予期間を経て、今年5月27日に効力を発するが、個人情報を取り扱う事業者は、手探り状態だ。 ASEAN法務特化型の法律事務所One Asia Lawyers タイ事務所の小出将夫弁護士に、顧客・社員の個人情報の安全性を確保するために必要な対応策などを聞いた。 同社のクッキーを使って収集し、蓄積されたデータ(ウェブサイト閲覧履歴など)をもとに個人の嗜好などを分析する「ターゲティング広告」を行う広告会社にとって衝撃的なニュースだった。 背景には、個人のプライバシー保護を求める声が高まっていることが挙げられる。 本人が認識していないのに特定の個人が識別されるデータが、民間企業などに分析・蓄積されると、健康状態や宗教・思想上の信念など、知られたくない情報まで追跡・悪用されかねないからだ(図表1)。 ビッグデータの時代にさらに重要視されることになった個人情報。 その保護の先鋒を切った欧州連合(EU)で強化されている規制の波が、日本、米国とタイを含むアジア諸国にも広がっている。 それではまずデータ規制の歴史を振り返ってみる。 個人データ・プライバシー保護 歴史・経緯と社会的背景 欧州では1970年代から個人データ規制に関する議論が交わされてきた。 東西冷戦下で各国は独自に法律や指針を制定してきたが、細則などが共通化されずにバラバラだった。 最初に世界的な個人情報保護法の指針が打ち出されたのは、80年の経済協力開発機構(OECD8原則)。 そして、93年に誕生したEUが2年後に、加盟国間の差異を埋めるために「EUデータ保護指令」をついに制定した。 ただ、加盟国間の足並みが揃っておらず、生みの苦しみは続いた。 ようやく現在の法制度に固まったのは2016年4月。 「EU一般データ保護規則(GDPR)」が採択され、EUおよび欧州経済領域(EU加盟国28ヵ国とアイスランド、リヒテンシュタイン、ノルウェー)のデータおよびプライバシーを保護する法律が標準化。 18年5月から施行されている。 データ規制の動向 GDPRの発効と前後して、世界各国で個人データなどの自国外・地域外への移転を規制する「越境移転規制」と「データローカライゼーション」の導入が加速している。 前者は個人のプライバシー保護を目的に情報の移転行為に焦点を当てる規制。 国や地域ごとにプライバシー保護の制度が異なる一方、形のない情報は容易に国境を超えて伝達されることから、近時プライバシー保護を目的とする法律に、このような規制を盛り込まれる例が増加する傾向にある。 他方、後者は企業などが自国の領域内で事業を行うための条件として、その領域内においてコンピュータ関連設備を利用または設置するなどの方法で、データの管理や処理が行われるように規制すること(図表2)。 対象は個人データに限らず、自国内の産業保護や国家安全保障の確保といった目的が背景にある。 特に法執行・犯罪捜査などに関わるデータを国内に保存する義務を負うケースが多いとされ、例として、軍事施設からの情報漏洩に敏感な中国やベトナムといった社会主義国で導入されている規制が挙げられる。 導入している国の目的や思想が背景にあるが、規制が過度に強化されると、グローバル企業の事業活動に影響を与えることから、新興国は新たに外資を呼び込めなくなるリスクを伴う。 各地でこれらの規制の導入が加速する中、EUは16年に米国を個人データ保護が十分保障されている国と認定し、データの移転を可能とする枠組み「プライバシー・シールド協定」を結んだ。 米商務省と連邦取引委員会(FTC)により強力な監視・執行権限が与えられ、適切な個人情報移転・管理が米国企業に求められるといった規定が盛り込まれている。 また、日本とは19年1月に個人データの保護水準を、相互に同等と認める「日・EU間相互十分性認定」を採択。 ただ、日本の個人データ保護のレベルは2年ごとに査定される見通しだ。 その一方で、世界最大のソーシャル・ネットワーキング・サービス(SNS)であるフェイスブックによる個人情報の不正流用事件に揺れたカルフォルニア州で、今年1月に「消費者プライバシー法(CCPA)」が施行された。 ハイテク企業が集積する同州を拠点とするIBMやアマゾンらは、包括的な連邦政府レベルの法案を米連邦議会に要望するなどのロビー活動を行っている。 日本国内の個人情報保護法は3年ぶりに今年改正される。 19年11月に個人情報保護委員会が公表した改正大綱によると、開示のデジタル化推進、個人データの提供先基準の明確化、漏えいなどの報告義務化といった、個人情報を取得する事業者などの責務が拡充される規定が盛り込まれている。 改正法案は今年の通常国会に提出され、審議される見込みだ。 ASEAN諸国のデータ規制 ASEAN10ヵ国中、シンガポール、マレーシア、フィリピンでは、事業領域等特定の範囲に限定せず、個人情報保護に関する一般的な規制を定める「プライバシー統一法」にあたる法律が制定され、いずれも発効している。 マレーシアが先駆けて、13年に「個人情報保護法」を施行・発効。 シンガポールが同年に「個人情報保護法」を施行し、翌年から本格的に適用を開始。 続いて、フィリピンが16年に「データ・プライバシー法」の施行規則を制定し、翌年から本格的に適用を開始した。 タイでも「個人情報保護法」が、サイバーセキュリティ法を含む5つのデジタル・電子関連法とともに、19年5月に同時に施行された。 一方、インドネシアでは16年12月に、特定の個人情報についてデータローカライゼーション規制を含む政令「改正電子情報および取引(EIT)通信情報省規則」が成立。 18年12月から本格的に適用を開始した。 現在、GDPRをもとにさらに厳格化する新法の制定が検討されている。 ベトナムでも19年1月に、データローカライゼーション規制を含む「サイバーセキュリティ法」が施行された。 このように、ASEANでプライバシー統一法およびデータローカライゼーションの導入が加速している。 これらの動きは、同地域で事業を展開する日系企業に大きな影響を及ぼす可能性を秘めている。 一方、カンボジア、ラオス、ミャンマー、ブルネイの4ヵ国では目立った動きはない(図表3)。 タイの個人情報保護法の成立 1 背景・経緯 タイ初となるプライバシー統一法である「個人情報保護法(PDPA)」や、サイバーセキュリティに関する規制を含む「サイバーセキュリティ法」等を含む6つのデジタル関連法(他に電子決済機構改革法、デジタル経済社会評議会法、デジタルID法、電子決済担当官法)が19年2月28日に国会で承認され、成立した。 8年ぶりに実施された3月の総選挙を挟んで、5月24日には国王の承認を受け、27日に官報に掲載され、28日より同時に施行された。 タイの個人情報保護法は、個人データ取得の際の情報提供義務および同意取得等の適法性確保の義務、取得した個人データの安全管理・記録保持義務、情報漏えい等の発生時の当局への通知義務、個人データの国外移転に関する規定など多岐にわたる規制を個人データを取り扱う事業者に課している。 同規制の多くは、発効から適用開始まで1年間の猶予期間が設けられており、タイで個人データを取り扱う事業者は、20年5月27日までに、法律の定めに従って対応を完了させる必要がある。 また、タイ国内の事業者のみならず、一定の場合に国外の事業者が同法の適用を受ける、いわゆる域外適用が定められており、日本を含む他の諸外国の事業者も留意が必要となっている(図表4)。 2 概要 まず歴史的な経緯を踏まえつつ、個人情報保護法について考えていきたい。 タイで初めて同法の草案が提出されたのが、輸出・観光などが堅調で経済が安定していたタクシン政権下の06年。 1月に閣議決定されたが、同年9月に軍事クーデターが発生し、棚上げとなった。 その後、 現在のプラユット政権が再び法案の制定に向けて動き出し、18年5月に個人情報保護法案(PDPA)を内閣で承認した。 欧州ではほぼ同時に、EU一般データ保護規則(GDPR)が発効し、EU域内所在者の個人データを取り扱う事業者に規制の適用が開始された。 PDPAは、GDPRの発効前後の時期に、一度閣議決定された草案を大幅に修正し、GDPRをほぼなぞるような形で、事業者に対する規制が定められたという経緯がある。 従って、最終的に成立したPDPAのうち、事業者に適用される規制の大部分は、GDPRと同様の規定となっている。 世界水準と比較すると緩いが、タイに恩恵をもたらす自由貿易協定(FTA)交渉の再開を視野にEU側にすり寄ったとの見方もある。 同交渉はクーデターで軍事政権が発足された14年から中断しているが、19年3月の総選挙で民政移管が行われたことで、再開の兆しが見られる。 タイ商務省通商交渉局によると、FTAが発効し、双方間の貿易関税が撤廃されると、タイの輸出・輸入額を18年比でそれぞれ3・43%、3・42%押し上げる効果があると期待されている。 3 個人データ・センシティブデータの定義 「個人データ」は、「個人に関する情報で、直接または間接を問わず、当該個人を識別することのできる情報をいい、死者の情報は含まない」と定義されている。 GDPRの定義では、識別された、または識別可能な自然人(GDPRによって保護されるデータ主体、個人)に関する一切の情報を言う。 識別可能な自然人とは、「氏名」「個人識別番号」「所在・位置」「オンライン識別子」などの識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な要素を参照することにより識別され得るものと定義される。 タイの個人情報保護法は、この定義に沿う可能性が高く、現状、事業者はこれを参考に判断することになると思われる。 また、人種・民族出自、犯罪歴、労働組合への加入状況、政治的見解・信条、宗教・思想上の信念、性的嗜好、健康・障害、遺伝・生体情報、および個人情報保護委員会が規定する特定の個人データは、いわゆる「センシティブデータ」として、他の個人データに比べてより強い規制が適用される。 原則(例外もある)として取り扱いは禁止だが、利用する場合は常に明示的な同意の取得が必要で、GDPRとほぼ同じデータが対象となる見込みだ(図表5)。 4 適用対象 同法の適用を受ける者は、タイ国内に所在し、個人データの収集・利用、または開示の決定権限を有する自然人または法人である「管理者」と、管理者から委託(指示)を受けて個人データの収集等を行う自然人または法人である「処理者(決定権のない者。 勝手に第三者提供などができない)」に分類され、それぞれ異なる規制が課せられる。 取り扱う情報の量や収集、利用、開示行為自体がタイ国内で行われるかなどは問わない。 管理者と処理者の定義はGDPRと同様だが、課される義務の内容は微妙に異なる。 また、取り扱う個人データによって、同じ事業者が管理者であったり、処理者であったりすることに留意が必要な点もGDPRと同様だ。 地理的な面では、上記の通り原則としてタイ国内に所在(GDPRでは「拠点の活動に関連して」と表現される)する「管理者」または「処理者」の個人データの取り扱いにおいて適用されるものとされている。 EU域内で一般的に使われる言語・通貨によって商品・役務を注文することができ、EU域内の消費者・顧客について言及しているなどの場合、該当する可能性があるため、タイの個人情報保護法の解釈においても参考になる(図表6)。 5 事業者の義務 同法の適用を受ける事業者には、個人データ収集の際の情報提供義務および同意の取得、その他適法性確保義務、収集した個人データの安全管理、記録保持義務、情報漏えい等発生時の当局への通知義務、個人データの海外移転に関する規制等多岐にわたる規制が適用される(図表7)。 十分な情報の提供 個人データを収集する前に、データ主体に対して十分な情報を提供し収集する情報を明示する義務が事業者に生じる。 一方、GDPRでは、「正当な利益を根拠とする場合、当該利益の内容」「域外移転の有無および安全保護措置の有無等」「同意が撤回可能であること」「監督機関への不服申立権があること」「プロファイリング等の有無」等についても通知が求められており、タイの規制の方が比較的緩やかであると言える(図表8)。 適法化の根拠 データ管理者は個人データの収集時に、「適法、公正、および透明な方法」で個人データを処理することが要求される。 原則として、データ主体から同意を取得する必要があるが、同意によらずに個人データの収集が可能な場合として、以下が挙げられている。 1 歴史的保存または研究・統計を目的とする場合 2 人の生命・身体・健康に対する危険防止のため 3 データ主体が当事者である契約の履行に必要な場合 4 公共の利益のため、または公的権限行使のために必要な場合 5 事業者または第三者の正当な利益のために必要な場合 6 事業者に適用される法令を遵守するために必要な場合 同意の有効性 同法においてデータ主体の同意を得る場合、書面もしくは電子的な方法で使用目的などを説明し、データ主体から明確な同意を取得する必要がある。 例えば、ウェブサイト上で同意を取得する場合、データ主体が個人データの収集に対する「承認」ボタンをクリックしたからといって、直ちに適法な同意を取得したとは言えない。 プライバシーノーティスを行っていないなど、管理者が「事前に十分な説明をした」と言えない場合は、同意は無効となる。 その他、データ主体に同意を求める際の要件として、「同意対象が特定されていること」「明瞭に範囲を認識できる方法で行うこと」「容易にアクセスが可能で、分かりやすい内容・形式」「明快で平易な言語を使用すること」「騙したり、誤解を生じさせないこと」が挙げられている。 特に言語については一般的なタイ人であれば、原則としてタイ語による必要があると考えられるため、注意が必要である。 また、同意は能動的に「自由に与えられ、条件付きでない」ことが求められ、かつ、いつでも容易に撤回が可能でなければならない。 例えば日本では、サービス提供にあたり、「サービスを利用するためには、個人データの提供に同意する必要があります」などとし、当該サービス提供に必ずしも必要ではない個人データを提供しなければサービスを受けられないようになっているケースがよく見られるが、タイではこのような方法は違法とされる可能性が高い。 以上のように、同意については通常我々がイメージするものよりも相当厳格な要件が定められているため、運用上特に注意が必要である。 同意取得の重要性を強調する小出氏 データの安全保管 収集した個人データの安全保管を目的に、個人データの不正または違法に滅失・アクセス・使用・変更・修正、または開示を防止するための適切なセキュリティ対策を講じなければならない。 具体的な水準は未確定だが、今後設置される個人情報保護委員会が指定・公表する最低水準に従う。 GDPRでは、リスクを考慮した上で、処理の安全水準を確保するために、以下を含む適切な技術的・組織的措置を講じなければならない。 ・ データ保管時の仮名化・暗号化 ・ データ管理システムおよびサービスの完全性・可用性の確保 ・ 事故発生時の復旧体制の整備 ・ 定期的な監査 タイにおいても、これらと同様の項目が指定される可能性は高いと考えられる。 代理人・データ保護責任者の選任 タイ国外に所在する事業者が、タイ国内に所在するデータ主体の個人データを取り扱う場合、原則として、タイ国内に拠点を有する代理人を選任する義務を負う。 また、一定規模以上の個人データを取り扱うことなどの特定条件を満たす事業者は、情報保護責任者(Data Protection Officer, DPO)を選任する義務を負う。 DPOは、管理者または処理者による個人データの取り扱いが、個人情報保護法の規定を遵守しているかの監督等の義務を負い、個人情報保護委員会事務局との連絡・協力等を行う。 「一定の基準」については、個人情報保護委員会が別途定め公開するが、現時点でその水準は未確定だ。 第三者への開示 第三者に個人データを開示する際も留意が必要だ。 管理者はデータ主体の同意なく、個人データを第三者に開示してはならない。 また、具体的な水準は未確定だが、提供先の第三者が個人データを違法、または不正に使用、または開示することを防ぐための措置を講じる必要がある。 管理者が処理者に個人データを委託する場合、処理者のデータ保護に関する義務を定めた契約を締結しなければならない。 具体的にどのような義務を契約に含めるべきかについては、現在のところ明らかにされていない。 一方、GDPRでは、管理者は、GDPRを遵守し、データの管理について適切な措置を講ずることのできる処理者を「選定」しなければならないとされ、選定においても義務が課せられている。 また、処理者との間で締結する契約に含めるべき事項についても、法律で具体的な項目が指定されている。 国外移転の規制 管理者が個人データを第三国に送信または移動する場合、その移転先は十分な保護水準を備え、今後設置される個人情報保護委員会の定める条件を満たすことが原則とされる。 GDPRにおいて移転先地域のデータ保護水準が十分であることを認定する制度(いわゆる「十分性認定」)と同様の考え方が取り入れられている。 また、例外として、「データ主体の同意がある場合」「法令遵守のためである場合」「データ主体が締結した契約の履行に必要な場合」「データ主体の利益のために管理者が締結した契約を遵守する場合」「データ主体の生命、身体または健康への危険を防ぐためである場合」「公共の重大な利益に必要である場合」には、国外移転が認められる。 なお、グループ間では、企業内のデータ保護方針を当局が確認し、認証した場合(GDPRにおける「拘束的企業準則(BCR)」とほぼ等しい)にも例外的に国外移転が認められる。 GDPRにおける域外移転については、十分性認定がなされていない国・地域への移転について、右記タイ法において定められているような例外事由のほか、欧州委員会によって採択される特定の契約条項(Standard Contractual Clauses、標準契約条項、SCCおよびStandard Data Protection Clauses、標準データ保護条項、SDPC)を含む契約を締結することにより、データ主体の同意を取得せずとも、契約の当事者間で個人データの域外移転を行うことができる、との制度が採用されている。 現在の実務において、一般的にEU域内のデータを域外の第三者に提供する場合は、SCCの締結による例が比較的多い。 これは、GDPRにおいて、同意の取得には厳格な要件が定められている上、いつでも撤回可能でなければならない。 そのため、データ主体の同意を根拠に域外移転を行うと、同意が有効でないとされて違法となるリスクや、同意が撤回されて以後域外移転が行えなくなるリスクがあるとされるためである。 これに対しタイでは、前述の通り、個人データの国外移転を行える例外事由に、SCCまたはSDPCの締結に相当する方法が含まれていない。 しかし、同意取得についてはGDPRと同様の問題があり、同意取得以外の事由に該当するケースは少ないと思われるため、個人データの国外移転規制対応としてどのような方法によるべきか、現状不明であるという問題がある。 細則等制定前の現時点では、相対的にリスクの低い同意取得を前提に対応を進めるよりほかないと思われる。 しかし、今後細則等により、当局から何らかの解決策が提示されることが望まれる。 開示・訂正・消去の権利 データ主体は、自己の個人データを取り扱う事業者に対し、以下の請求を行う法的権利を有する。 ・ 収集された個人データへのアクセス、コピーの交付、および収集手段の開示を請求すること ・ 自動機器で読み取り可能な形式での開示、または第三者への転送を請求すること(いわゆる「データポータビリティ」) ・ ダイレクトマーケティングを目的とする処理等に異議を唱えること ・ 一度与えた同意を撤回し、消去・削除・破棄等を求めること(いわゆる「忘れられる権利」) ・ 一定の場合に利用停止を求めること ・ 誤ったデータの訂正を求めること 特に、一度個人データの取り扱いに同意をしたとしても、一切の負担なくこれを撤回し、事業者に取り扱いをやめるように請求できる点に、留意する必要がある。 ただし、すでに適法な同意のもとで行われた個人データの収集・利用・開示を遡って拒否することはできない。 GDPRにおいては、右記の権利以外に、プロファイリングを含む個人データの自動的処理をしないことを求める権利が規定されているが、タイ個人情報保護法においては、現在のところこのような権利は定められていない。 漏洩時の対応 個人データ漏洩等の際の対応も重要な事項だ。 事業者が、取り扱う個人データが不適切に利用されていることを認識した場合、またはそのような警告が発せられた場合、今後設置される個人情報保護委員会事務局に遅滞のない通知が求められる(原則必須)。 通知は可能であれば、認識してから72時間以内に行う必要がある。 また、データ主体の権利・自由への影響が大きい場合は、データ主体に対しても通知が必要となる。 ただし、これらの通知に記載すべき具体的な内容項目や、データ主体への通知が必要となる場合の基準などは未確定だ。 なお、GDPRにおいては、当局へ通知しなければならない事項は以下の通りとされている。 ・ 関連するデータ主体の類型・概数 ・ データ侵害の性質(記録の種類および概数等) ・ 情報保護責任者(DPO)の連絡先 ・ データ侵害によって発生する可能性のある事態 ・ 実施した被害低減措置の内容 罰則その他のリスク 同法に違反した事業者には、行政罰として最大で5百万バーツ以下の課徴金が科せられる。 裁判所は課徴金が未払いの場合、財産の差し押さえ、競売を命じることができる。 さらに、刑事罰として、最大で1年以下の禁錮、もしくは百万バーツ以下の罰金、またはその両方が科せられるものとされている。 企業の違反の場合は、権限を有し責任を負う取締役や管理職も、法令違反の処罰の対象となるため注意が必要だ。 その他、同法違反によって第三者に損害が生じた場合は、民事損害賠償の対象となるが、現実に発生した損害に加え、損害額の2倍以内の範囲で懲罰的賠償が科される可能性がある(図表10)。 19年1月には、フランス当局が米アルファベット傘下のグーグルに対して、課徴金5千万ユーロの支払いを命じた。 同年8月には前年にウェブ上で航空券の予約手続きをした約50万人の顧客情報(氏名やクレジットカード情報など)を流出させた英航空大手ブリティッシュ・エアウェイズ(BA)に対して、GDPRに基づき、約250億円の制裁金を科した。 これと比較すると、タイ個人情報保護法における罰則ではそれほど莫大な金額は規定されておらず、リスクは低いと考えてしまいがちだが、課徴金や罰金だけでなく、企業の信用・信頼を失墜させる事態に発展する恐れもあり、このような風評被害(レピュテーショナル・リスク)も十分に考慮する必要がある。 個人情報保護法に関するセミナーの様子 今後必要な対応 前述の通り、同法は既に施行されており、主要な規制対応の猶予期間は20年5月27日までとなっている。 ただ、同法は多くの曖昧さを残したまま、執行が始まろうとしている。 法律の規定を補足し具体的な内容を定める政令、規則、ガイドライン等の下位規定(細則)がまだ定められておらず、現時点(20年2月)でどのような対応をとればよいのか不明確な部分が多く残る。 タイ個人情報保護法が参考にしたというGDPRに対応したとしても、異なる定めがされている規制の存在や、今後細則等で異なる解釈が示される可能性はあり、十分とは限らない。 これら下位規則については、施行から1年の間に発効するものとされ、30ほどの制定が想定されていると言われている。 今後公表される内容に常に目を配りつつ、猶予期間が満了するまでに法令に準拠した体制を構築できるよう、優先順位を決めて、計画的に準備を進めることが重要だ(図表11)。 タイ個人情報保護法遵守体制構築のための具体的な対応において、まず必要になるのが「データマッピング」と呼ばれる作業である。 データマッピングとは、法令上定められた各種の具体的な義務を遵守する前提として、事業者における個人データの取扱状況を網羅的に把握し、法令上の要求事項とのギャップを分析した上で、必要なタスクを洗い出す作業をいう。 データマッピングの実施自体が法令上の義務として定められているわけではないが、「何をしなければならないか」をタスクレベルで整理しなければ対応を始めることができないため、対応の第一ステップとして事実上必須の工程といえる。 具体的には、社内のすべての部署にデータの取扱に関するヒアリングを行い、回答を集めることから始める。 しかし、タイではこれまでプライバシー保護に関する一般的な法令がなかったことから、各部署の現場担当者は、個人データの概念を理解できなかったり、具体的にどのような情報が個人データに該当するのかを判断できなかったりすることが多い。 したがって、ヒアリングを実施していくにあたっても、現場担当者からの質問に対して都度回答し、説明をしなければならず、特に従業員数が多い企業や取り扱う個人データの種類・量が多い企業(B to C事業者等)では、完了までにかなりの時間を要する。 このような場合は、事前に社内セミナーを行い、個人データの概念やデータマッピングの意義等について現場担当者に理解を促すなどの工夫も必要となる。 データマッピングは、細則等が定められていない時点においても比較的実施内容が明確な作業である。 開始してみると想定以上の時間がかかることもあり、適用開始に対応が間に合わなくなる恐れもあるため、早期に着手することが重要である。 現在は、タイに常駐し、タイにおいて複数年の実務経験を有する。 特に、タイにおける個人情報保護法対応については、相当数の実績を有する。 情報処理安全確保支援士(登録セキュリティスペシャリスト)、応用情報技術者の国家資格を保有。 日本およびASEAN各国の法に関するアドバイスをシームレスに一つのワン・ファームとして、ワン・ストップで提供するために設立された日本で最初のASEAN法務特化型の法律事務所です。 当事務所メンバーは、日本およびASEAN各国の法律実務に精通した専門家で構成されています。 日本およびASEAN各国にオフィス・メンバーファームを構えることにより、日本を含めた各オフィスからASEAN各国の法律を一括して提供できる体制を整えることに注力しております。 \こちらも合わせて読みたい/.

次の

GDPR準拠の個人情報保護法施行、1年間の移行期間中に十分な準備を(タイ)

タイ 個人 情報 保護 法

(参考)• (参考) 法律• 基本方針• 補完的ルール• その他• 特定分野ガイドライン• 自己点検チェックリスト• 個人データ取扱要領 例• 事務局レポート• その他• 個人情報保護委員会は、非識別加工情報の取扱いについて監視・監督権限を有しています。 個人情報保護委員会は、非識別加工情報の取扱いについて監視・監督権限を有しています。 APECウェブサイトの英語版 APEC Privacy Framework(PDF:189KB)へリンクします。

次の

法令・ガイドライン等

タイ 個人 情報 保護 法

第5回となる今コラムでは、タイの個人情報保護法制について説明させていただきます。 2019年2月28日、タイでは初となる個人情報保護の基本法「個人情報保護法」が国会で承認され、成立しました。 5月24日には国王の承認を受け、27日に官報に掲載、翌28日に施行されました。 ながらく個人情報の取扱いに関する統一法を持たなかったタイですが、同法の発効により、事業者による個人情報取扱いに一定の規制が課せられることとなり、タイに進出している、または今後の進出を検討している日本企業にとっても影響は大きいものと思われます。 同法は、法律が成立したのみで、下位規則にあたる政令、規則、ガイドライン等は公表されておらず、その詳細については今後の当局(タイ個人情報保護委員会)の動向を慎重に見守る必要があります。 なお、本法によって事業者に課される規制の多くは、発効から適用開始まで1年間の猶予期間が設けられるものとされています。 「個人情報」の定義 規制の対象となる「個人情報」とは、「個人に関する情報で、直接または間接を問わず、当該個人を特定することのできる情報をいい、死者の情報は含まない」と定義されています。 そして、個人情報を取り扱う事業者は、個人情報の収集、利用、または開示の決定権限を有する「管理者」と、管理者から委託を受けて個人情報の収集等を行う「処理者」に分類され、それぞれ異なる規制が課せられることとされています。 この点は、2018年5月に発効したEU一般データ保護規則(EU General Data Protection Regulation: GDPR)と同様の定めとなっており、タイ個人情報保護法においては、このようにGDPRの規定を意識した定めが随所に見られます。 また、いわゆる「センシティヴ情報」の定めがあり、「人種、民族、犯罪履歴、健康、組合加入、遺伝情報、生体情報等」を取り扱う場合には、情報主体から明示的な同意を得る必要があるものとされています。 個人情報の定義については、現時点では抽象的な規定に留まっており、具体的にどのような情報が個人情報に該当するのかについては、不明確な部分が大きいといえます。 この点については、発効後順次個人情報保護委員会より示されるとみられているガイドライン等によって、今後より具体的になっていく見込みです。 適用対象 (1)原則 タイ個人情報保護法は、原則としてタイ国内に所在する「管理者」または「処理者」の個人情報の取扱いにおいて適用されます。 「管理者」または「処理者」がタイ国内に所在する限り、個人情報の取扱いが国内でなされたか、国外でなされたかを問いません。 (2)域外適用 「管理者」または「処理者」がタイ国内に所在しない場合であっても、例外的にタイ個人情報保護法が適用される場合があります。 これらの場合は、タイ国内に拠点を有していない海外企業でも、同法の適用を受けることになりますので、留意が必要です。 事業者の義務 (1)情報提供および同意取得 個人情報の「管理者」は、個人情報を収集、利用、開示する場合、利用目的等の情報を通知したうえで、情報主体の同意を取得しなければなりません。 また、一度同意した場合であっても、情報主体は原則として、いつでも同意を撤回可能とされています。 同意の形式については、文言とフォーマットの指定が、発効後順次個人情報保護委員会により公表される予定です。 (2)安全管理措置 個人情報の「管理者」は、保有する個人情報を保護するための適切なセキュリティー対策をとらなければならないものとされています。 具体的な要求水準等は、今後のガイドライン等によって定められる予定です。 これらの「大規模」「大量」等の具体的な基準についても、今後のガイドライン等によって定められる予定です。 DPOは、「管理者」または「処理者」の情報の取扱いを監督し、個人情報保護委員会と連絡します。 また、DPOは、情報主体からの権利行使や問い合わせの窓口となります。 タイのDPOは、「管理者」または「処理者」の従業員である必要はなく、外部の専門家等に委託することができます。 個人情報をタイ国外に移転するには、移転先の国または地域における個人情報保護が十分な水準であることを確保しなければなりません。 「十分な水準」についても、委員会のガイドラインによって具体的に規定されます。 ただし、情報主体の同意を取得している場合は、上記の例外とされ、国外移転が可能とされています。 2019年1月23日、日本とEUとの間で、相互に個人情報の保護に関して十分な水準を有していることの認定(「十分性認定」)が行われ、GDPRおよび日本個人情報保護法に基づく国外移転規制の適用が緩和されました。 タイの個人情報保護法においても、今後同様の認定制度が設けられ、認定を受けた国/地域であれば、法の定める保護措置や情報主体の同意を得ることなく個人情報の移転を行うことができるようになるものとみられますが、現時点でどのような国/地域が対象となるのかは明らかでありません。 罰則 情報主体の同意を得ずに個人情報を第三者に開示した場合や、法の要件を満たさずに個人情報を国外に移転した場合等、本法に定める規制に違反した場合、最大で1年以下の禁固もしくは100万バーツ以下の罰金またはその両方が課せられます。 この刑事罰は、企業の違反の場合は、企業そのものに課されるだけでなく、取締役も処罰の対象となるものとされており、注意が必要です。 また、刑事罰以外にも、漏洩等に際して情報主体に対する通知を怠った場合等には、最大で500万バーツ以下の課徴金という行政罰が課されるほか、故意または過失によって情報主体に損害を与えた場合には、実損害に加えて損害額の2倍以内の懲罰的民事損害賠償の義務を負うなど、タイの他の規制法と比較しても厳しい罰則が定められています。 そのほか、発効後は、個人情報保護委員会によって違反企業の名称が公表されることが予想され、そのような場合の企業の信用低下(レピュテーション・リスク)にも十分に留意する必要があるでしょう。 おわりに タイは日本企業の進出が多いことで知られる国の一つですが、ながらく個人情報保護に関する規制がなかったことから、既に進出している企業でも、十分な保護体制を構築できている企業は多くないものと思われます。 顧客の個人情報を取り扱わない業種であっても、タイ拠点の従業員の個人情報を日本の本社で管理する場合には国外移転の問題が生じるなど、影響を受ける企業の範囲は広いものと思われます。 対象企業は、今後公表される告示・ガイドライン等関連法規の内容にも目を配りつつ、猶予期間が満了するまでに法令に準拠した体制を構築できるよう、計画的に準備を進めることが重要です。 第5回:ついに成立!タイの個人情報保護法• 拠点:シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー、東京 メンバー数:187名(内日本人31名) 弁護士登録後、日本国内最大規模のIT企業に企業内弁護士として入社。 また、情報処理安全確保支援士(登録セキュリティスペシャリスト)の国家資格を有し、個人情報を含む情報・データ処理関連法に関する案件も数多く取り扱う。 現在はOne Asia Lawyers東京オフィスとタイオフィスを兼任。

次の