【タイ リーガルコラム】タイの個人情報保護法について(2)〜本人の権利や企業の対応〜

【タイ リーガルコラム】タイの個人情報保護法について(2)〜本人の権利や企業の対応〜

弁護士 藤江 大輔/Daisuke Fujie

弁護士 靏 拓剛/Takuma Tsuru

 

『タイの個人情報保護法について(1)~個人データの範囲と収集時の注意点~』へ

 

今回は、前回に引き続き、タイの個人情報保護法であるParsonal Data Protection Act(以下「PDPA」と言います。)について、日本の個人情報保護法との比較を交えながら整理します。PDPAは、日本の個人情報保護法よりも厳格なルールを設けているため、タイにおいて、日本国内と同じような感覚で個人情報を取り扱っていると、知らぬ間にPDPAに違反し、無用の紛争を招いたり罰則を課されたりすることにもなりかねず、注意が必要です。

 

 

個人データの第三者提供

日本の個人情報保護法では、個人データを第三者に提供する場合、原則として本人の同意が必要とされています(個人情報保護法第23条1項)。 PDPAでも、日本の個人情報保護法と同様、個人データを第三者に提供する場合、原則として、事前に必要な事項を通知(説明)したうえで、本人の同意を得ておく必要があります(第23条、27条1項)。
また、現在、個人データの利用や管理のため、他国に所在する企業との間で個人データを遣り取りする場面も少なくありませんが、そのような場合には、次に述べる越境移転に関する規制に注意しなければなりません。

 

 

越境移転(PDPA28条)

日本の個人情報保護法では、取得した個人データを国外に移転する場合(越境移転)、次の1〜3のいずれかを満たす必要があるとされています(個人情報保護法第24条)。

  1. 本人の同意を得る。
  2. 移転先が、適切な体制を整備している。
  3. 移転先が、個人情報保護委員会が認めた国に所在している。

なお、2020年6月12日に公布された日本の改正個人情報保護法では、この点に関して、本人の同意を得ようとする場合には、個人情報保護委員会規則の定めに従って、当該外国における個人情報の保護に関する制度等の情報を本人に提供しなければならない等の義務が追加されています。

 

他方、PDPAでは、日本の個人情報保護法よりもやや厳格な規定ぶりが伺えます。
すなわち、個人データを越境移転する場合、原則として、【個人データ保護委員会の定めるルール】に従い、移転先の国が【個人データ保護のための適切な基準】を有していることが必要です(第28条1項)。

 

もっとも、今のところ【個人データ保護委員会の定めるルール】や【個人データ保護のための適切な基準】が明らかでありません。
この点、GDPR(EUデータ保護規則)でも、EU域外に個人データを移転する場合、移転先の国が十分なレベルの個人データ保護を行っていると欧州委員会が認定していること等、一定の条件を満たすことが必要とされており、日本、カナダなどの国がその認定を受けています(*米国については、EU司法裁判所が2020年7月16日、EUから米国への個人データの移転に関する「プライバシー・シールド」を無効とする判決を出したため注意が必要です)。それゆえ、これらの国であれば、上記の【個人データ保護のための適切な基準】を満たしていると見ることができるのではないかという考え方もあるところですが、断定はできない状況です。

 

では、事実上、越境移転が不可能かというと、そうではありません。PDPA上は、例外的に個人データを越境移転できる場合として、次の6つの場合を挙げています(第28条1項1号〜6号)。

  1. 法令に基づく場合。
  2. 本人の同意が得られた場合。ただし、本人が、移転先の個人データ保護基準が不十分であることを事前に知らされていなければならない。
  3. 本人が契約当事者となっている契約の履行のために必要な場合。又は、契約締結前に、本人の要求に応じた措置を講じるために必要な場合。
  4. 本人の利益のために他者と締結した契約を遵守するために必要な場合。
  5. 本人又はその他の者の生命、身体又は健康に対する危険を防止し、又は抑制するために必要があり、本人の同意を得ることができない場合。
  6. 重大な公共の利益のために必要な場合。

このうち、企業が一般的に根拠としうるものとしては、2か3であろうと思われます。もっとも、3は契約履行のために必要な範囲でしか根拠にできません。そのため、前述の原則が不明瞭である現在、3を根拠とできない場合には、事実上、2によるほかない(事前に移転先の個人データ保護基準が不十分であることを通知し、本人の同意を得るほかない)ものと思われます。

 

 

越境移転(同一グループ間の場合)

なお、タイに所在する企業が、海外所在の同一グループ会社に属する会社へ個人データを越境移転する場合、【個人データ保護委員会が承認した個人データ保護方針】を定めている場合には、前述の28条ルールに従うことなくデータ移転できることとされています(第29条1項)。
また、【本人の権利の行使を可能にする適切な保護措置】を提供する場合にも、前述の28条ルールに従うことなく個人データを越境移転できることとされています(第29条2項)。
もっとも、やはり、【個人データ保護委員会により承認されうる個人データ保護方針】や【本人の権利の行使を可能にする適切な保護措置】とはどのようなものかが明らかでなく、現時点で、これらの規定に基づく越境移転は困難であると言わざるを得ません。

 

 

本人の権利

日本の個人情報保護法では、本人には、自己の個人データの開示を求める権利(個人情報保護法第28条)、訂正・追加・削除を求める権利(同法第29条) 、利用停止・消去を求める権利(同法第30条)などが認められています。
PDPAでも、本人に様々な権利が認められています。主要な権利は、以下のとおりです。

  1. アクセス権、謄写請求権(第30条1項)
    自己の個人データにアクセスし、その謄写を求めることができる権利。なお、同意以外の根拠に基づき個人データが取得されている場合、その情報源についても知ることができる。
  2. ポータビリティ権(第31条1項)
    一定のフォーマットでデータが作成されている場合、そのフォーマットによる自己の個人データを受け取り、使用したり開示したりできる権利。なお、直接、他社に自己の個人データを直接送信するよう求めることもできる。
  3. 同意の撤回権、個人データの削除等の請求権(第33条)
    自己の個人データの取り扱いがその目的に照らして不要となった場合や、自己の個人データの取り扱いについての同意を撤回し、かつ、同意以外に個人データ取り扱いの根拠がない場合などに、個人データの削除、破棄、匿名化(個人が識別できないようにする)を求めることができる権利。
  4. 正確性の確保を求める権利(第35条)
    自己の個人データについて、更新され、完全性があり、誤解を招かないものとするよう求める権利。

 

個人データの取り扱い時におけるその他の義務

PDPAでは、前回から今回にかけて整理してきた様々な義務のほかにも、個人データ取り扱い時に遵守すべき様々な義務が規定されています。
その義務は、その企業が、個人データの取り扱い(収集、使用、開示)について決定する立場にある【個人データ管理者(Data Controller)】と、個人データ管理者に代わってその指示のもと個人データを取り扱う【個人データ処理者(Data processor)】のいずれに当たるかで変わりますが、主要なものを幾つか抜粋すると、以下のとおりです。

 

個人データ管理者が遵守すべき主要な義務

  1. セキュリティ対策(第37条1号)
    無権限又は違法な方法での個人データへのアクセス等を避けるための適切なセキュリティ対策を実施する義務
  2. 記録保持(第39条1項)
    収集した個人データ、個人データ収集の目的、個人データの保管期間、本人の同意以外の根拠に基づき個人データを取得した場合、本人のアクセス権等の行使に対して拒否した場合等に関する記録を保持する義務
  3. データ侵害時の通知(第37条4号)
    個人データ侵害(漏えい等)があった場合、一定期間内に当局や本人にその旨を通知する義務
  4. DPOの選任(第41条)
    大量の個人データを取り扱う場合や、センシティブデータ(人種、信仰、政治的思考、犯罪経歴、遺伝子情報、健康情報、性的指向、労働組合への加入等)を取り扱う場合に、DPO(Data Protection Officer)を選任する義務
  5. 代理人の選任(第37条5号)
    個人データ管理者がタイ国外に所在する場合、タイ国内に代理人を選任する義務

個人データ処理者が遵守すべき主要な義務

  1. 指示の遵守(第40条1号)
    法令に反しない限り、管理者の指示に従って個人データを収集、利用又は開示する義務
  2. セキュリティ対策(第40条2号)
    無権限又は違法な方法での個人データへのアクセス等を避けるための適切なセキュリティ対策を実施し、データ侵害について管理者に通知する義務
  3. 記録保持(第40条3号)
    個人データ保護委員会が定める基準や方法に従って、個人データの処理活動を記録する義務
  4. DPOの選任(第41条)
    大量の個人データを取り扱う場合や、センシティブデータを取り扱う場合に、DPOを選任する義務

 

企業のとるべき対応

前回と今回の2回にわたり、PDPAにおける個人データの取り扱いについて概観しました。PDPAの下位規則や個人データ保護委員会が定めるべき基準等がいまだ明らかにされておらず、不明瞭な点が多数存在しているため、現時点では、今後の動向を注視しつつ、不明瞭な点が明らかになるたびに適宜対応していかざるを得ないのが実情です。

 

もっとも、PDPAがGDPRを基礎として作成されているのは間違いないと思われます。それゆえ、GDPRの条文、前文や各種ガイドラインを参考として、PDPAへの対応を準備しておくべきといえます。

 

企業が準備を進めておくべき項目としては、おおよそ以下のものがあります。

  1. 個人データ保護のためのセキュリティや個人データ管理体制の構築
  2. 取り扱う個人データの内容、取り扱いの目的、取得根拠の整理
  3. 法令に合致したプライバシーポリシーの策定、個人データ取得の際の通知事項(説明事項)や通知方法(説明方法)、同意の取得方法の整理
  4. 本人からの権利行使があった場合やデータ侵害があった場合への対応等に関するマニュアルの策定
  5. 必要に応じてDPOや代理人の選任

以上、個人データの取り扱いを適切に行うためには、取得・管理・利用・開示など様々な場面を想定した入念な準備が必要です。前述のとおりPDPAの施行日は2021年5月ですが、施行まであと1年もありませんし、日本の個人情報よりも厳格な規定も多いので、今から、PDPAに対応できるよう少しずつでも準備しておくことをお勧めします。

 

 

タイのサービス詳細はこちら