個人情報保護法

個人情報保護法（PDPA）

この法律は、データ処理業者またはデータ管理者によるタイ王国内での個人データの収集、使用、開示に適用されます。データ処理者またはデータ管理者がタイ国外に所在する場合でも、本法はタイ国内のデータ主体に適用されます。

「個人情報」とは、特定の個人に関する情報であって、直接的であるか間接的であるかを問わず、当該個人を識別することができるものをいう；

「データ管理者」とは、個人データの収集、利用または開示に関する決定を行う権限および義務を有する一般人または法人をいう；

「データ処理者」とは、データ管理者の命令に従って、またはデータ管理者に代わって、個人データの収集、使用または開示に関して業務を行う自然人または法人を意味します。

背景タイにおける個人情報保護

個人データ保護法は2019年に初めて公布され、1年間は企業などがコンプライアンス違反の罰則、データ管理者の義務、データ主体の権利などの面で同法に準拠できるようになる期間が設けられた。

データ保護委員会事務局が主な監督官庁であり、デジタル経済社会省がPDPAの監督官庁である。

タイの個人情報保護の概要

PDPA遵守の適用
‍
一般的に、PDPAはタイ国内またはタイ国民に関するデータの開示、使用、収集に適用される。データ処理者およびデータ管理者がタイ国外で業務を行う場合でも、PDPAを遵守しなければならない場合があります：

• データ対象者がタイで監視されている場合。
• データ対象者がタイで商品やサービスにアクセスする場合。

個人データの収集、使用、および開示に関する法的根拠
この慣行に関する合法的な許可は6つしかありません。それ以外の場合は、データ対象者の同意が必要です。

法的に許可されている慣行は以下の通りです：

• データ管理者がデータ収集を必要とするコンプライアンス法の適用を受ける場合。
• データ主体の基本的権利が、管理者または個人データ収集によって利益を得る可能性のあるその他の者の合法的利益に優先しない場合。
• データの管理者が、公益のために個人データの収集を伴う業務を遂行する必要がある場合。
• データ対象者がそれを必要とする契約の当事者である場合、またはデータ対象者が措置を必要とする契約の締結を希望する場合。
• 人の健康、福祉、生命に対する危険を防止する目的。
• 公共の利益のために歴史的文書を作成する場合、または統計や調査に関連して、対象者の権利を保護するために十分な措置が取られる場合であって、規則に従って所定の注意が払われることを前提とする場合。

同意の問題

同意が有効とみなされるためには、満たさなければならない基準がある：

• 同意の要請において、ごまかしや誤った情報は許されない。
• 同意の要請には、平易で明確な言葉を使わなければならない。
• フォームのリクエストは、読みやすく、アクセスしやすいものでなければならない。
• データ対象者が他の情報を提供される場合、同意の要求は他のすべての情報と容易に区別できなければならない。
• データ主体は、データが何に使用され、どのように開示される可能性があるかを知る必要がある。
• 同意は、書面または電子的な通信手段を介して行われるものとする。

プライバシーポリシー

個人情報保護に関する通知は、データが収集されるまでに対象者に行われる必要があります。通知には以下の情報が含まれなければならない：

• データ主体の権利
  • 個人データのコピーにアクセスする権利
  • 他のデータ管理者へのデータ転送を要求する権利
  • 同意を撤回する権利
  • 苦情を申し立てる権利
  • 個人情報保護の正確な管理を求める権利
  • データ利用停止請求権
  • データの削除を要求する権利
  • 個人情報の開示、利用、収集に対する異議申し立ての権利
• データ保護責任者、管理者、および状況によっては管理者の代理人の連絡先詳細
• データが開示される可能性のある組織または人物の身元
• 当該データの保存期間、または少なくともデータ保存基準に従った予想データ保存期間
• データ対象者が個人データを提供する必要があるかどうかの情報
• 個人データの開示、利用、収集にどのような法的根拠が用いられたか
• 収集するデータ：
  • 機密データ
  • 健康関連データ
  • その他のデータ

違反の通知

データ管理者が個人データ保護に影響を及ぼすデータ侵害に気づいた場合、72時間以内に事務局に通知しなければならない。データ侵害が重大な影響を及ぼす場合、または対象者の自由と権利に高いリスクをもたらす場合は、対象者にもできるだけ早く通知しなければならない。

データ保護セキュリティ義務

データを安全に保管することはデータ管理者の義務である：

• 保存期間が過ぎたら、データ処理が完了した時点で記録を破棄する適切なシステムがなければならない。
• データ処理者が許可されていない方法または違法な方法でデータを開示または使用することを防止する方法。
• データのプライバシーを保護し、データ保管中の違法な修正、開示、変更、使用、アクセス、または紛失を防止するために、あらゆる合理的な措置が講じられています。

クロスボーダー・トランスファー

適切なデータ保護基準」はまだ公式には確立されていないが、個人データが世界の他の場所に転送される場合、その国はデータ保護を管理する適切な保護基準を有していなければならないという期待がある。唯一の例外は、適用除外に該当する場合である。

データ保護の失敗に関する罰則

個人情報保護法違反の重大性に応じて、行政罰、刑事罰、刑事責任、民事責任のいずれかが適用される。

例えば、法律で同意が義務付けられていたにもかかわらず、データ管理者が同意なしにデータ対象者からデータを収集した場合、最高300万バーツの罰金が科される。

データ保護法（PDPA）への準備

経過措置

2020年5月27日以前に収集されたデータは、データ管理者が以下の措置を講じることを条件に、引き続き使用することができる：

• データ主体が自己の個人データの使用に反対する機会を提供しなければならない。最も一般的な方法は、同意撤回方法を公表することである。
• データ主体による異議申し立てがない限り、個人データは当初収集された目的のためにのみ使用されなければならない。

データ保護コンプライアンスの準備

• まず、あなたが行おうとしている活動にPDPAが適用されるかどうかを確認する必要があります。
• あなたの活動にPDPAが適用されることが判明した場合、以下の手順を踏む必要があります：
  • データフローのマップを作成する。
  • 既存の個人データを引き継ぐ場合は、対象者に異議申し立ての機会があることを 確認し、異議申し立てのない個人データのみを使用するようにしてください。さらに、そのような個人データは本来の目的に従ってのみ使用するようにしてください。
  • データ処理が国内のデータ保護基準に適合していること、および最新のデータ同意プロトコルを導入していることを確認する。
  • 業務上必要と思われる個人データの開示、使用、収集について、法的根拠があることを確認する。ビジネスパートナーを含め、個人データの収集を希望するすべての関係者に対して、プライバシーに関する通知を行い、明確な同意を求める必要があります。
  • データ管理者に期待されるその他の義務の遵守を保証すること。

中小企業のデータ保護をどのように管理するか？

小規模な企業では、不当な搾取などを隠蔽することが難しいため、コンプライアンスを確保しやすいと感じるかもしれない。その他の重要な側面も把握しやすくなり、対象者との直接的なコミュニケーションも可能になる。データ所有者は、必要であればデータポータビリティに実時間と労力を投資することができ、また、必要な場合には同意を得ることを追求し、データ管理者が統合法にしっかりと従うことを確認することができる。データ収集に先立つデータ主体とのコミュニケーションと透明性もデジタル時代には容易であり、データプールが小さければ処理活動も時間がかかりません。

データ移転の場合、データ管理者がそのような情報について通知を出すようにする必要があることを忘れないでください。タイ政府は、守秘義務違反や知的財産基準を満たさない場合、懲罰的損害賠償と刑事罰の両方を適用する。デジタル時代の到来は、世界中のデータやそのような利益の管理方法に大きな影響を及ぼしており、データ保護に関する新しい法律が制定されたのはタイだけではありません。

特に非常に機密性の高い（例えば公衆衛生）、あるいは大規模なデータ侵害の場合には、多額の罰金や最高1年の禁固刑といった厳しい罰則が科される可能性があります。この法律は勅令であり、タイが国際基準に適合できるようにするためのものであることを忘れてはならない。

概要

万が一、個人情報の侵害や漏洩の被害に遭われた場合は、遠慮なくご連絡ください。Juslaws&Consultは、常にお客様の利益を守るために存在します。