タイの「個人情報保護法」、日本企業に必須な重要ポイントとは?

【2020年6月18日】公開

昨年5月にタイで施行された「個人情報保護法」(PDPA)は、2020年5月27日から本格的に適用される予定でした。
しかし、新型コロナウイルスの影響で、企業のPDPA対応準備が間に合わない恐れがあるとし、タイのデジタル経済社会省は一部条文の施行を1年間延期する決定をしました。

これにより、2021年5月31日まで猶予期間は延長されましたが、タイとかかわりがある日本企業が規制対象となる可能性も高く、法律内容の把握と社内体制の構築が急務となっていることは変わりありません。

個人情報の取り扱いに関する統一法がなかったタイですが、初めて導入されるこの個人情報保護法は欧州連合(EU)の「一般データ保護規制(GDPR)」の影響を強く受けた内容で、規制対象となる企業はかなり厳しい対応が求められます。

本記事では、タイで日系企業への法務対応を手がける弁護士法人 One Asia Lawyers  タイ事務所代表の藪本雄登氏に取材し、個人情報保護法の詳しい内容やタイに進出している日本企業が知っておくべきポイントなどをまとめました。
まだ未確定で流動的な部分もありますが、現状把握にお役立てください。 

 

細則が不明確な部分もありつつ、GDPR同様に厳しい内容

タイでは初となる個人情報保護法は施行から1年間の猶予期間を経ましたが、まだ不明確な部分が多く、最も気になる事業者の義務などに関する細則については公表されていません。
法律の具体的内容を定める政令や細則、ガイドラインなどの規定は施行から2年間で30ほどが制定される見込みです。
 
タイでは個人情報保護法の必要性が議論されながら修正などで何回も先送りされ、約10年が経過していました。
2018年5月にEUで適用が始まったGDPRの影響を受け、GDPRの内容をなぞった形でようやく施行されることになったのです。

ただ、GDPRに沿った結果、日本の個人情報保護法と比べると規制内容はかなり厳しく、かつ、領域も多岐にわたるものとなりました。
個人情報を収集する前段階で提供者への情報提供が義務化されていたり、刑事罰として責任者が身柄拘束されたりと、進出する日本企業にとっては注意が必要となります。

それでは、法律内容のポイントについてみていきましょう。
 

個人情報の定義ではGDPRと同様に「オンライン識別子」も含まれる可能性

まずは個人情報の定義についてですが、「直接または間接を問わず、当該個人を識別することができる情報」とされています。
ただ、具体的に何が個人情報に該当するかについては不明確な部分が多く、今後個人情報保護委員会が公表するガイドラインなどで具体的に示される見込みです。

一般的な個人情報としては、氏名、住所、電話番号、生年月日、メールアドレス、IDカード情報、従業員記録などがあります。
GDPRでは位置情報やオンライン識別子(クッキーやIPアドレス)も個人情報に含まれていることから、タイでもおそらく同じ解釈になるだろうと想定されます。
日本ではまだクッキー単体は個人情報に含まれていないため、その点が大きく違うといえるでしょう。

また、人種や民族、犯罪歴、宗教、政治的見解、病歴、障害、遺伝などの個人情報は、センシティブ情報として一般的な個人情報よりも強い規制が適用されています。
GDPRでは原則として取り扱いは禁止で、利用する場合は常に提供側の明示的な同意の取得が必要ですが、タイでの取り扱いも同じになるとみられます。
 

個人情報保護法の適用対象は「管理者」と「処理者」の2種類

個人情報保護法が適用される対象については、原則としてタイ国内に所在していて個人情報を取り扱う「管理者」と「処理者」となります。
タイに所在してさえいれば、個人情報の取り扱いが国内でされたか国外でされたかは関係ありません。

「管理者」はタイ国内に所在し、個人情報の収集や利用、または開示の決定権限を持つ者のことです。「処理者」はやはりタイ国内に所在し、管理者から委託されて個人データの収集などを行う者で、子会社やディストリビュータなどが想定されますが決定権限は持っていません。
「管理者」と「処理者」の定義はGDPRと同様ですが、それぞれに異なる規制が課されるものとされています。

ただ、タイ国内に所在する「管理者」と「処理者」が適用対象となるものの、場合によっては国外に所在していても国境を越えて同法が適用されることもあるので注意が必要です。
 

タイの個人情報を海外で利用する「国外移転」には厳しい条件

GDPRではグローバル化に合わせ、個人情報が国外に移転される際の規制も盛り込まれています。
タイの個人情報保護法でも、個人情報を海外に移す場合は「移動先が十分な保護水準を備えていて、個人情報保護委員会の定める条件を満たす」ことが前提となります。
そのほかにも、タイ国内の個人情報を海外で利用する「国外移転」に関しては厳しい規制が施されています。

「国外移転」はタイにある法人が現地で収集した個人情報を、海外へ移して利用する場合に定められているものです。
タイに所在する法人なのでもともと個人情報保護法の対象となりますが、海外へ移転させるためには、さらにいくつかの条件を満たさなければなりません。

例えば、タイにある、とあるメーカーの子会社が日本の本社に従業員や顧客の個人情報を送信し、本社がサーバーで管理している場合などは「国外移転」に該当するとみられます。
よくあるのは、タイの子会社の人事情報に日本本社がアクセスしてデータを取得し、日本で一括管理するケースです。

また、タイに拠点を持たない日本のメーカーやディストリビュータなどが、タイの展示場やセミナー会場で名刺やアプリデータを個人情報として収集し、日本で管理するデータベースに登録する場合も国外移転が適用されます。

最近は個人情報をデジタル化してクラウドにアップしておくことも多いですが、クラウドデータがどこに置かれているかにも注意が必要です。
タイでデータを入力しても、仮にデータセンターがシンガポールにあった場合はタイ国外に移転することになるので、国外移転に当たります。

国外移転が認められるのは、法律で定められているいくつかの保護措置としての条件を満たしている場合に限られます。例えば、「個人情報のデータ主体(個人情報を提供した人)にあらかじめ情報を提供して同意を得ている場合」や、「データ主体が締結した契約の履行に必要な場合」などです。

日本本社とタイ子会社というように移転元と移転先がグループ間であれば、両社に共通する社内規定を作成し、そのデータ保護方針をタイの個人情報保護委員会に確認・認証してもらうことで認められます。
この場合は、「データ主体」の同意は不要となります。

※この続きはメールマガジン会員限定です。
 メールアドレスをご登録いただくと記事の全文をお読みいただけます。【登録無料】

(既に会員の方は、後日配信予定のメルマガ「ピリピリニュースレター」よりダウンロードください)


~後編目次~
■ ネット通販やターゲッティング広告は現地法人がなくても「域外適用」で規制
■ 個人情報の「収集前」「収集時」「収集後」に生じる事業者の義務
■「第三者」への情報開示や提供についても注意が必要
■ 情報漏えいが発生した場合は72時間以内に当局へ通知
■「刑事罰」では日本と異なり身柄拘束の可能性も
■ 必須項目は優先順位を決めて早急に態勢構築を

 



ビッグビートでは、東南アジア地域での展示会出展をサポートしております。
日本からご出展される皆さまに、日本国内でのワンストップサービスをご提供いたします。
また、2018年にはバンコクに現地法人Bigbeat Bangkokを設立しました。

私たちビッグビートが日本国内で打ち合わせをし、現地の企業に直接発注します。
そのため、ご担当者様の工数の削減とリーズナブルな料金を両立させています。
出展申し込みから展示ブースの造作、コンパニオンなどの運営スタッフの手配や管理まで。
トータルなご相談から、部分的なご依頼までお気軽にお問い合わせください。

たとえば・・・
・出展申込み
・出展位置折衝
・主催者折衝
・各種申請書類代行
・造作企画デザイン・レイアウト・設営
・運営スタッフ手配
・アンケート設計
・名刺情報取得・管理
・カタログ作成
・動画コンテンツ作成
・ランディングページ作成
・Webコンテンツ作成・運用(会期前後)
・リードナーチャリング
・デジタルマーケティング
・翻訳業務、通訳手配
・製品・必要備品の輸送申請代行 など
 
   
 

関連記事