タイの労働法制と実務 vol.14 従業員の個人情報の取扱い

タイの労働法制と実務 vol.14 従業員の個人情報の取扱い

タイでは、日本の個人情報保護法に当たるPersonal Data Protection Actが2019年5月27日に公布、2019年5月28日から一部施行され、パンデミックの影響で施行が延期されているものの全面施行が迫っています。そこで今回は、従業員の個人データの取扱いについて、日本の法制度との違いを踏まえて解説します。

 

【目次】

PDPAの施行と概要

従業員の個人データも保護の対象となる

収集時の注意点

管理上の注意点

国外移転時の注意点

開示時の注意点

従業員の同意についての注意点

PDPAの本格施行を見据えた対応を

PDPAの施行と概要

Personal Data Protection Act B.E.2562 (2019)(以下「PDPA」といいます。)は、タイにおける個人情報の取扱いについて包括的に定めた法律です。PDPAの全面施行後、個人情報を収集・利用・開示等する事業者は、同法に沿った個人情報の取り扱いが求められます(なお、COVID-19感染拡大の影響で、未施行部分につき2022年6月1日まで施行日が延期されています)。 PDPAの下位規則等はいまだ公表されておらず、規制の詳細については明らかでないのが現状です(現時点で公表されているアナウンスメントはいくつかあります)。そのため、PDPAに違反するか否か等を実際に検討する場面では、PDPAの基礎となったと思われるGDPR(General Data Protection Regulation;EU一般データ保護規則)やそのガイドラインを参考にせざるを得ません。

従業員の個人データも保護の対象となる

PDPAでは、保護の対象となるPersonal Data(個人データ)について、直接・間接を問わず自然人を識別(特定)しうる情報をいい、死者の情報を含まないと定義されています(6条)。 解釈の指針を示す公式のガイドライン等はまだ整備されていませんが、GDPRに沿って制定された経緯に鑑みると、氏名、住所、連絡先等の情報のみならず、社内システムのID・パスワード、職位、人事評価、給与情報、位置情報、IPアドレス等、従業員に関するほとんどのデータがPDPAによる保護を受けることとなると考えられます。したがって、PDPA上は、従業員に関するある特定の情報が個人データに該当するかどうかという議論よりも、これらが個人データに該当するという前提でどのようにPDPAのルールを遵守するか、という点が主な焦点となります。

 

従業員の個人データの取扱いにおいては、「収集」・「管理」・「移転」・「開示」の4つの場面で注意する必要があります。

収集時の注意点

個人データの収集に際しては、原則として、個人データの収集前又は収集時に本人に対して、収集の目的、対象となる個人データの種類・保管期間など一定の事項を通知し、本人の同意を得る必要があります(23条)。ただし、以下の通り、本人の同意以外にも適法に収集するための根拠となる事由がいくつかあります(24条各号)。つまり、個人データの収集をするためには原則として本人の同意が必要ですが、以下のいずれかに該当する場合には例外的に本人の同意が不要となるのです。

 

【個人データ収集の適法化根拠】

研究・統計目的(1号) 公益のための史料or公文書の作成に係る目的の達成のため、又は研究or統計に係る目的の達成のためであって、データ主体の権利及び自由を保護するための適切な措置が講じられており、かつ、委員会の定める通達に従って行われるものである場合
生命身体等への危険防止(2号) 人の生命、身体又は健康に対する危険を防止又は抑制するために必要な場合
契約締結・履行(3号) データ主体が当事者である契約の履行のため、又は契約締結前にデータ主体の要求に応じて措置を講じるために必要な場合
公共の利益・公的権限行使(4号) データ管理者が公共の利益のために行う業務の遂行のために必要な場合、又はデータ管理者に与えられた公的権限の行使のために必要な場合
正当な利益(5号) データ管理者又はデータ管理者以外の個人or法人の正当な利益のために必要な場合。ただし、データ主体の個人データに関する基本的権利が当該利益に優先する場合を除く。
法令遵守(6号) データ管理者に適用される法律を遵守するために必要な場合

従業員の個人データについてみると、例えば、氏名、住所、連絡先、生年月日等の情報は、雇用契約という従業員がその当事者となる契約の締結ないし履行に必要な情報といえます。一方、IPアドレスや位置情報等については、会社のセキュリティ対策や貸与PC、携帯電話、その他のデバイス等の機器の管理のために必要な場合には、会社の正当な利益のために必要な場合といえるでしょう。

 

ただし注意が必要なのは、人種や民族的出自、政治的意見、宗教的信条、また性的行動、健康データなどの情報は、センシティブ情報として、特に取扱に厳格な規制が設けられている点です(26条)。例えば、健康診断結果や持病等に関する情報などは、健康データに該当するため、原則として従業員本人の明確な同意がない限り収集することはできません。

管理上の注意点

次に、PDPAでは無権限者による個人データへのアクセス、改変、開示を防止するための適切なセキュリティ対策を施すこと(37条、40条)や、一定の事項を記録すること(39条、40条)等が求められていますので、従業員のデータ管理に際してもこれらの措置を講じる必要があります。なお、この記録義務は事業者にとって負担となることが危惧されており、一定の小規模事業者は義務が免除される予定ですが、免除対象の範囲や条件等はまだ未定です(39条3項)。

 

【記録すべき事項】

1号 収集した個人データそのもの
2号 個人データの収集目的と類型
3号 管理者の情報
4号 保存期間
5号 個人データにアクセスする方法(アクセス権限者等)
6号 27条3項に基づく利用又は開示(同意の例外に基づく利用・開示)
7号 本人による権利行使の詳細
8号 37条1号に基づく安全対策の説明

国外移転時の注意点

タイで経済活動を行う企業の中には、タイで収集した従業員のデータを日本の親会社等に送り、日本で管理している企業もありますが、個人データをタイ国外に移転する場合には、その移転先が十分な保護水準を満たしており、個人データ保護委員会の定める条件を満たすことが原則とされています(28条)。ところが、その具体的な条件はまだ明らかではありません。そのため、現時点では本人の同意を得る等、例外規定(28条)に従って移転せざるを得ないのが実情です。なお、同一グループ間の移転でありグループ内で適切な個人データ保護指針が確立され、かつその指針がタイ国の個人データ保護委員会によって認証されている場合にも移転が可能とされておりますが(29条)、やはりその具体的内容が明らかでないのが現状です。

開示時の注意点

会社が収集した従業員情報を外部に開示する場面は日常的にあるかと思います。例えば、会計事務所に給与計算を依頼している場合、自社のウェブサイトに従業員の紹介ページを掲載する場合、取引先に従業員を紹介するため氏名やメールアドレスを開示する場合などです。しかし、PDPAはこのような開示に際しても、原則として本人の同意を取得しなければならないとしています(19条1項、27条1項)。 ただし、PDPA第24条等で同意不要な場合として列挙されているケースに該当する場合には、開示についても例外的に同意不要とされています。例えば、給与計算業務を受託する会計会社への給与情報の開示等は、雇用主である会社が労働法上の義務を履行するために必要な場合として、同意なく開示できる場合に該当すると考えられます。一方、自社ウェブサイトに従業員の紹介ページを掲載する場合などは、雇用契約上の義務の履行に必要とまでいえるか判断が難しいところですので、従業員の同意を取得しておくのがベターと考えます。

従業員の同意についての注意点

以上のとおり、現時点での解釈としては、従業員の個人データを収集等する場合には、従業員本人の同意を得ることが重要となります。そのため、会社が収集・利用・開示する情報とその目的を明示した同意書により、個々の従業員から明確な同意を得る運用が望ましいでしょう。特に新たに採用する従業員については、雇用開始に際して必ず、雇用契約書とは別途「個人データ取扱同意書」といった書面により明確な同意を取得する運用を徹底すべきです。 しかしながら、このような同意取得については、懸念すべき点もあります。個人データの取扱いに関する同意については、GDPRの考え方を踏まえると、従業員の自由な意思に基づいて行われる必要があると解釈される可能性が高いと考えられます。しかし、使用者と従業員というパワーバランス下では、従業員側において同意を拒絶することは通常困難であり、たとえ同意があったとしても、自由な意思に基づく同意とはいえないと解釈される余地があります。したがって、場合によっては、同意は無効と判断されてしまう可能性があるのです。 それゆえ、収集するデータごとに従業員から同意を得るのみならず、同意以外に適法化できる根拠がないか事前に吟味しておくことが重要となりますし、前述のパワーバランス下に入る前、すなわち雇用前(採用時)にあらかじめ同意を得ておく等の工夫をすることが重要となります。

PDPAの本格施行を見据えた対応を

COVID-19感染拡大の影響でPDPAの全面施行は延期されているものの、タイ国内でも徐々に状況が改善されつつあることから、2022年6月の施行日は再延期されない可能性があります。上記で見たように、PDPAはサービスユーザーや顧客等の外部者の個人情報のみならず、従業員に関する個人情報にも適用されるため、施行日から法に従った対応が可能となるよう、まずは内部から準備と体制構築を進めていくと良いでしょう。

 

 

タイのサービス詳細はこちら