【タイ リーガルコラム】タイの個人情報保護法について(1)〜個人データの範囲と収集時の注意点〜

【タイ リーガルコラム】タイの個人情報保護法について(1)〜個人データの範囲と収集時の注意点〜

弁護士 藤江 大輔/Daisuke Fujie

弁護士 靏 拓剛/Takuma Tsuru

 

 

今回は、タイの個人情報保護法であるParsonal Data Protection Act(以下「PDPA」と言います。)について、日本の個人情報保護法との比較を交えながら整理します。PDPAは、EUでの個人情報保護に関する規則であるGeneral Data Protection Regulation(EU一般データ保護規則。以下「GDPR」と言います。)を基礎として作られており、日本の個人情報保護法よりも厳格なルールを設けています。

 

 

PDPAの施行日

PDPAは、2019年2月に成立し、機関の設立に関する規定などの一部については、同年5月28日から施行されています。他方で、個人情報の収集や利用などの、実質的に企業が対応しなければならない規定群は未施行の状態のままで、これらの規定を含むPDPA全体の施行は、2020年5月27日に予定されていました。ところが、新型コロナウイルスの影響等により、施行日は1年間延期され、PDPA全体の施行日は、現在のところ2021年5月27日に予定されています。

 

なお、PDPAの下位規則やガイドラインは、いまだ公表されていません。そのため、規制の詳細について明らかでない部分が存在するのが現状であり、PDPAに違反するか否か等を実際に検討する場面では、GDPRにおける解釈やそのガイドラインを参考にせざるを得ないのが実情です。

 

 

PDPA上の個人データ

PDPAで保護の対象とされる個人データ(Personal Data)は、「直接・間接を問わず一定の自然人を識別(特定)しうる情報であり、死者の情報を除く。」と定義されています(第6条)。

 

この定義から、法人に関する情報、亡くなった人の情報が保護の対象とならないことは分かります。もっとも、PDPAではこれ以上詳しい定義はされておらず、「一定の自然人を識別しうる情報」に含まれる情報の範囲は、明確にはされないままです。しかし、PDPAがGDPRを基礎として作られているものであることからすれば、GDPRと同様、広範囲の情報が個人データに含まれ、氏名、住所、連絡先等の情報のみならず、個人に関するほとんどのデータが保護の対象となると理解しておくべきでしょう。

 

この点、日本でも、2017年5月から全面施行されている改正個人情報保護法により、個人識別符号(DNA・顔・指紋等の身体的特徴や、パスポート番号・基礎年金番号・免許証番号といった公的な番号)が保護の対象であることが明確化されました。タイのPDPAとの厳密な比較は難しいですが、相対的にはPDPAの方が保護の対象が広範囲であると思われます。

 

なお、PDPA上の個人データに当たるものとして注意が必要なのがcookieです。2020年1月14日にGoogleがトラッキング用サードパーティcookieのサポートを2年以内に打ち切るという計画を発表しましたが、本コラム執筆時点では、ユーザーのサイト利用時の利便性を向上させたり、ユーザーごとに適した広告を配信したりする目的でcookieを利用することは、広く普及しています。そして、GDPRでの解釈を踏まえると、このcookieもPDPA上の個人データに該当すると考えられ、タイでcookieを取得する際にはPDPA上のルールに則った説明や同意取得が必要になります。

 

 

PDPAの適用範囲

タイ国内に所在する企業が個人データを取り扱う場合にPDPAの適用を受けることは当然ですが、タイ国内に拠点を持たない企業であっても、以下の2つのどちらかに関する個人情報の取扱いには、PDPAの適用があります(第5条)。

  1. タイ国内の個人に対するサービスや商品を提供する場合(有償無償を問わない)
  2. タイ国内での個人の行動の監視を行う場合

【1.タイ国内の本人にサービスや商品を提供する場合】の典型例としては、タイ国内の者に対してECサイト上で商品を販売し、タイ国外からタイ国内に商品を発送する場合が挙げられます。

 

【2.タイ国内での本人の行動の監視を行う場合】の典型例としては、アプリやウェブサイト上で個人の行動履歴や購買履歴を追跡する場合が挙げられます。

 

つまり、たとえタイ国内に事業所がなくとも、タイ国内で、あるいは、タイ国内の人々を対象として何らかの事業を展開する場合には、PDPAの適用を受ける可能性があります。

 

 

個人データ収集時の注意点

日本では、個人データ(個人情報)の取扱いにあたり、その利用目的をできる限り特定しなければならないとされています(個人情報保護法 第15 条第 1 項)。そして、特定した利用目的は、あらかじめ公表しておくか、個人情報を収集する際に本人に通知する必要があるとされています(個人情報保護法第18条第1項)。これは、別の言い方をすれば、個人データの利用目的を公表・通知すれば個人データを収集することができ、必ずしも個人から同意を得る必要はないということです。

 

他方、タイでは、事前または収集時に目的を通知しなければならないことは日本と同様です。しかしながら、通知すべき事項が目的に限らず、また、原則として個人の同意を要することに注意が必要です。すなわち、タイでは、個人データを収集する際、原則として、事前または収集時に、以下の情報を通知し、その本人の同意を得なければならないのです(第23条、24条)。

  1. 収集の目的
  2. 法的義務の遵守、契約の締結・履行のため提供が必要な場合、その事実
  3. 対象となる個人データの種類、保管期間
  4. 個人データが開示される第三者の情報
  5. データ管理者に関する情報及び連絡先
  6. 本人のPDPA上の権利(同意の撤回権、自己の個人データへのアクセス権等)

もっとも、個人データの収集には原則として同意が必要ではありますが、例外的に、次のいずれか(以下「適法化根拠」と言います。)に該当する場合には、同意を得ずに個人データを収集できます(第24条第1号~第6号)。

  1. 歴史文書の準備、公共の利益の探求、研究・分析・統計に関する目的であり、適切な保護基準が設けられている場合
  2. 生命・身体・健康への危険の防止のためである場合
  3. 本人が当事者である契約の履行のため、または、契約締結前において本人からの要望に対応するために必要である場合
  4. 公共の利益に関するデータ管理者の義務履行のため、またはデータ管理者の公的権利行使のために必要である場合
  5. データ管理者または第三者の正当な利益のために必要である場合
  6. 事業者に適用される法令を遵守するために必要である場合

このうち、企業の経済活動との関連で該当しやすいのは、3又は5でしょう。

 

【3.本人が当事者である契約の履行のため、または、契約締結前において本人からの要望に対応するために必要である場合】の典型例は、ECサイト上で商品を販売して郵送する場合です。商品の郵送という義務を履行するためには郵送先の把握が必要ですから、郵送先の情報を収集することは契約の履行に必要だと評価できます。

 

【5.データ管理者または第三者の正当な利益のために必要である場合】は、実務上多く使われる可能性のある適法化根拠であろうと思われます。もっとも、正当な利益があるといえるか否かは、「本人の個人データ保護の利益・権利・自由」と「事業者または第三者の利益」との比較によって決定され、慎重に判断しなければなりません。なお、GDPR上では、正当な利益があると認められやすい場合として、企業グループの内部管理目的でのグループ内での送信(GDPR前文48項)、ネットワークの安全及びセキュリティ確保を目的とする厳格な必要性・相当性のある範囲でのデータ処理(GDPR前文49項)が挙げられています。

 

 

個人データ収集時の同意

個人データ収集時には、原則として同意が必要であることは前述のとおりですが、この同意も、GDPRの同意に関するルールを踏まえて厳格に解釈されるものと考えられ、実際にPDPA上もGDPRの同意に関するルールが部分的に導入されています(第19条第4項、第7項)。

 

そこで、GDPRの同意に関するルールを見てみると、同意は、「自由に与えられ、特定され、説明を受けた上での、不明瞭ではない、本人の意思の表示を意味し、それによって、本人が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するもの」でなければならないとされます(GDPR第4条第11号)。

 

1.自由に与えられた同意
「自由に与えられた」とは、本人に真の選択と支配権限があることを意味しており、本人が不利益を被らずに同意を拒否したり撤回したりできない場合には、自由に与えられたものであるとは言えません。サービス内容からすれば不要であるはずの個人データを提供しなければ契約できないといった場合(例えば、必要がないのに位置情報の提供に同意しないとサービス利用できない場合など)は、同意が自由に与えられたものではないと評価される可能性があります。

 

2.特定された同意
「特定された」とは、本人が、特定の取扱目的に対して同意を与えるものとしなければならないことを意味します。そのため、本人から同意を得て個人データを収集したとしても、別の目的のためその個人データの取扱いが必要となった場合には、管理者は、前述した他の適法化根拠がない限り、その別の目的のために改めて同意を求める必要があります。

 

3.説明を受けた同意
「説明を受けた」とは、同意の取得に先立って、本人に必要な情報を十分提供していることを意味します。つまり、どのような個人データが、何のために利用されるのか等について、本人が理解したうえで同意するか否かを決定できるようにする必要があります。また、その説明は、利用規約や契約条項など、他の事項とは明確に区別され、分かりやすいものでなければなりません。

 

4.明瞭で積極的な行為による同意
「明瞭で積極的な行為」とは、本人が同意することを積極的に表現しなければならないことを意味します。例えば、本人が同意する旨をメールで表明したり、同意する旨のチェックボックスにチェックを入れたりすることがこれに該当します。逆に、あらかじめチェックボックスにチェックが入ってしまっている場合や、スマートフォンの画面を単にスクロールするだけで同意があったものとして扱うような場合は、同意が認められない可能性があります。

 

そして、もし個人情報の収集時に同意を得たとしても、これらのルールに従った同意でなければ、同意が無効とされてしまう可能性がありますので(第19条第7項)、同意を得る際には、念には念を入れた注意が必要です。

 

 

まとめ

以上、今回は、タイの個人情報保護法であるPDPAについて、何が個人データに当たるのか、個人データを収集する際にはどのようなことに注意しなければならないのかについて整理しました。また、今回のコラムで整理したこと以外にも、例えば越境移転など、PDPA上、注意しておくべき事項がありますので、引き続きPDPAについて整理していく予定です。

 

 

タイのサービス詳細はこちら