2022年6月1日にタイの個人情報保護法(PDPA)が施行された。しかし、日本はもちろん、タイ国内ですら、まだ実態を正確に把握できている人は多くない。そこで、本記事ではタイの個人情報保護委員会委員長であるミスター・ティエンチャイ・ナ・ナコーンさん(以下、ナコーン氏)に本法律の焦点や意図を取材した。
*本記事は「日本のITソリューションをタイのビジネスマンに紹介するメディアICHIで掲載された記事を翻訳して転載しております
個人情報保護委員会委員長 ミスター・ティエンチャイ・ナ・ナコーンさん
PDPAの重要性
現在、企業組織管理では、組織全体の管理効率を高めるために様々なシステムが導入され、データの収集、保管、処理、及び分析や、データの使用及び開示が行われている。しかし、顧客やサービス利用者に関するデータの機密保持を意識していない、または重視していない組織も少なくはない。こうした意識がないと、データ主体やデータの関係者のプライバシー権に損害を発生させてしまうこともある。
大規模な企業、または、外国の企業と取引のある企業では、顧客やサービス利用者に関するデータを相互に送達し合ったり移転し合ったりしなければならないことがあり、これが大きな障壁にぶつかることがある。理由として、自国で個人情報保護関連法が既に施行されている国も多く、タイ国外の組織や事業者は、顧客に関するデータをタイ国に送信する場合、タイでは他者に知られないように保護されるのかどうか、取引協定の目的と異なる不正な利用がされないように保護されるのか、に意識的になっているからだ。
このような問題や障壁の状況により、タイ国においても個人情報保護関連法が制定されることとなった。これが個人情報保護法(Personal Data Protection Act 通称:PDPA)であり、2022年6月1日に施行された。
前述の通り、PDPAとは、個人情報に関連する国家間取引の問題や障壁を低減するために重要な役割を果たすものだといえる。タイ国のPDPAの指針は、個人情報保護に関する欧州連合の規則であるGDPR(General Data Protection Regulation)が参考に作成された、と言われている。
個人情報の重要性について企業が意識するべきこと
現在、個人情報保護法の遵守に関して懸念を持っている組織も多い。法の条文に整合していなかったり、適正に行われていなかったりすれば、処罰があり、かなり高額の罰金を支払う必要があるためだ。この点について、個人情報保護委員会委員長であるミスター・ティエンチャイ・ナ・ナコーンは、個人情報保護関連法の指針に整合する事業運営に関し、次の通り助言を提示している。
「実際問題としては、法が施行されたとしても、企業組織や事業者はこれまでと同じ通常通りの業務やビジネスを行うことが可能だと思います。ただ、顧客やサービス利用者の個人情報の重要性については、これまでよりも意識をしなければなりません。データの収集、保管、使用、又は開示が法の規定通りに行われるよう細心の注意を払う必要があります。これさえ遵守すれば、処罰や罰金の心配をする必要はありません。」(ナコーン氏)
個人情報保護法には、以下のような内容が記載されている。
例えば、「個人情報」とは、同法によると、直接又は間接的にその人を特定することの可能な、人に関する情報をいう。但し、死者の情報に限っては、これに含まない。具体的な要素としては例えば、氏名、住所、電話番号等が挙げられる。
他にも、同法第26条には「機微(センシティブ)な個人情報」(Sensitive Data)という項目がある。これは、民族、血筋、政治的信条、主義、宗教、又は哲学上の信念、性行動、犯罪歴、健康情報、身体障害、労働組合情報、遺伝情報、生物学データに関する個人情報、又は、個人情報保護委員会の定める個人情報のデータ主体に同様の影響のある情報を指す。
役割の定義としては例えば、以下のような記載もある。「情報管理者」(Data Controller)とは、個人情報の収集、使用、又は開示に関する決断における権限・任務を有する人又は法人をいう。
また、「情報処理者」(Data Processor)とは、情報管理者の指示に基づき、又は、その者の名義で、個人情報の収集、使用、又は開示に関する手続きをする人又は法人をいう。尚、当該手続きをする人又は法人は、情報管理者でないものとする。
組織の懸念をやわらげるために
2019年個人情報保護法の構成は全7章、96条となっており、企業組織、事業者、及び個人情報のデータ主体である人に関連する章は第2章「個人情報保護」、第3章「個人情報のデータ主体の権利」、第5章「申立て」、第6章「民事責任」、及び第7章「罰則規定」である。尚、罰則規定は、刑事処分と行政処分の2部に分類されている。
第2章「個人情報保護」の焦点は、「データの収集、使用、又は開示」であり、データを収集するところから始まっている。個人のデータを収集する場合には、当該個人情報のデータ主体に認諾を求め、収集、使用、又は開示の目的を通知しなければならず、必要な限りのデータしか収集してはならない。データ主体の認諾については、データ収集前又は収集時に認諾したものでなければならず、データ主体に収集の目的を通知し、理解させた上でなければならない。また、Sensitive Dataすなわち機微(センシティブ)な個人情報については、通常は収集禁止となっているが、一部の場合については法に基づく例外がある。データ主体にSensitive Dataの収集の認諾を求める際には、データ主体による明白な認諾である旨が明確である場合(Explicit Consent)に限り、収集することができる。
使用又は開示について重要な概念は、許諾の上で収集されたデータが使用又は開示が収集の認諾及び目的の枠組みの下で行われるということである。但し、法に基づき権限の与えられた担当官への開示など、法定の条件の下での開示についてはこの限りでない。
外国へのデータの送信については、以下の原則への遵守が求められる。
・データ送信先の国が個人情報のセキュリティ維持に十分な個人情報保護基準を保有している
・法の条件の下で行うものであることを原則としていること。例えば、データ主体の認諾を受けた状態で、契約履行のために外国へのデータの送信が必要な場合などである。
第5章に基づくデータ主体による申立てについては、同法によると、個人情報保護委員会は申立て事項に関する措置検討のための専門家委員会を任命することができるとされている。
違反処分の実行は各ケースの重大度に応じて異なり、警告、仲裁、または行政処分などがある。一番重いのは行政処分だが、仲裁で住む場合もある。専門家委員会が申立て事項を受け付け、根拠があると判断した時で、検討の結果、仲裁可能と思われ、当事者が仲裁を希望する場合だ。しかし、仲裁がうまくいかなかった場合、又は、不可能だった場合は、専門家委員会は、是正命令、損害の抑止命令など問題解決のための命令を発することができる。
これらの専門家委員会の対応手順を読んで分かることは、行政処分の前に様々な手順があるため、企業組織や事業者は、発生した問題・争議を終結させるための方法を選択・決断することが可能だということである。
また、企業組織や事業者は違反及び罰則規定を懸念し、恐れているが、同法は全てのケースに行政処分の処罰を適用することではない、とミスター・ティエンチャイは考えている。
専門家委員が処罰を検討するに際して、考慮する点は、「発生した影響の重大度」、「組織の規模及びデータの数」、そして特に「データ主体が被った損害」など、他にも様々あるからである。重大なケースやデータ主体に多大な損害を発生させない限りは、罰金も低いものとなる。
なお、同法に基づく違反及び罰則規定は2部、すなわち、第6章「民事責任」及び第7章「罰則規定」に分類されている。
・ 民事責任は、裁判所への提訴があった時に発生し得るものである。責任があり、補償金を補填しなければならない場合は、裁判所が補償金を決定する。補償金の金額については、データ主体が被った損害に応じる。尚、補償金をいくらと定めるべきであるかは裁判所の裁定による。
・ 罰則規定については、刑事処分と行政処分の2部に分類されている。
- 刑事処分は、罰金、禁錮、または、禁錮及び罰金を含む罰則規定である。罰則規定は、現行の刑法に基づく違反行為による罰則規定と変わらないものである。また、他者に損害をもたらしたり、名声を損ったり、冒涜又は陵辱したりする違反行為については、第79条に基づき、刑法に基づく名誉毀損と同様の性質となる。
- 行政処分は、罰金だけである。しかし、多額の罰金の支払い措置となるのではないかと企業は懸念している。これについて第90条では、専門家委員会の裁定によるとう前提はあるが、行政処分の前に予め企業に是正を命じたり警告がされる場合もある。したがって、違反した場合に罰金が最高500万バーツ(約1,750万円)になるというのは、違反したら直ちに500万バーツが科されるということではない。専門家委員会は罰金命令を発することなく警告したり損害解消を命令したりすることもあ。また、罰金があったとしても法定の全額とは、ならない場合もある。
また、企業が個人情報保護に関する認定等のの取得有無については、ミスター・ティエンチャイによると、個人情報保護法(PDPA)には、法令遵守に関する監査に合格したことを示す認定書(Certificate)を組織が取得しなければならないとは明記されていないという。
監査方法しては無作為抽出によるものだが、相応の理由がなければ、立ち入り監査は行うことができない。監査はチェックリスト形式である可能性もあり、たとえば、過去1年間に個人情報をどれくらい使用したか、個人情報に関する知識提供のための従業員研修はあるか、個人情報の収集・使用はどのように行っているかなどである。監査プロセス詳細については、法の施行後、ある程度の期間を経てから委員会が考えなければならない問題となる。
現在、関連する法律や原則、規則等が全て発布されているわけではない。そのため、法の施行後も情報の確認を続ける必要がある。