タイで6月に施工された個人情報保護法(PDPA)は、現在、タイでも大きな関心を持たれているトピックである。組織内で適切に応用するためには、組織内の複数部門において合同で解決しなければならない側面の問題が様々あるが、PDPAの理念を正しく導入し、最大の利益を実現できるようにしなければならない。
マヒドン大学付属ラーマーティボディー病院医学部・副学部長代理・健康情報学者であるナワナン・ティーラアムポーンパン教授(以下、ナワナン氏)は、個人情報保護に関する有資格者委員を務めている。今回、ナワナン博士には、PDPAの基本について説明して頂いた。
*本記事は「日本のITソリューションをタイのビジネスマンに紹介するメディアICHIで掲載された記事を翻訳して転載しております
マヒドン大学付属ラーマーティボディー病院 ナワナン・ティーラアムポーンパン教授
それによると、PDPAすなわち個人情報保護法とは、個人情報の収集、使用、及び開示の理念に関するもので、保護規定、導入の原則、データ保証などとなるが、個人情報保護委員会事務局(PDPC)がデジタル時代の使用水準向上に努め、タイ国内のユーザのデータをより基準に適った形で管理できるようにするものである。
PDPAは社会や組織にとって比較的新しいものであるとはいえ、重要なものであり、組織では早急に理解を構築し、導入するようにしなければならない。
「組織やプロセスはPDPA以前に生まれたものですから、ギャップがあるのは当然です。法や理念は新しいものですから、まだ全ては見通せていないわけです」(ナワナン氏)
ナワナン教授(博士・医師)の説明によると、組織はPDPA以前に生まれているため、組織において始めなければならないことは、データ収集、使用、及び開示に関し、これまでに実行されていた組織内部の業務プロセスを振り返って検討することだという。この時、PDPAの理念に整合する適正なものかどうかを考慮しなければならない。
重要なことは、何を改善しなければならないか、追加して理解しなければならないことは何かを模索することである。また、この問題に関する専門家の中から顧問を探してもよい。この検討の段階で、目に見えてくるのが「ギャップ(Gap)」、すなわち、法律ができる前の業務との溝だとナワナン教授(博士・医師)は言う。組織では早急にこの溝を埋めたり、解決策を模索したりしてPDPAの理念に適合するようにしなければならない。
「ここで発生するギャップすなわち溝とは、組織やプロセスがPDPA以前に生まれているということによる溝ですから、これらは法の理念に反していることがあります。これまでは法律違反だとは言われていなかったので、そのようにしてきたわけで、そうするべきだと自分たちで考えてやっていたわけです。しかし、そのような方式では、法の理念が定められた現代では理念に合っていないという可能性があります。
PDPAは、国際標準の理念に則って定められています。言い換えれば、今のところ、新しい概念もあります。ですので、場合によっては、現在保有している物事に合わせて調整していく必要もあります。法律と自分たちのやっていることを比べて、どこに違いがあるか確認しなければなりません」(ナワナン氏)
ナワナン教授(博士・医師)の説明によると、組織へのPDPA導入は緊急の目標だといえるという。というのも、法が施行されているからだ。組織において行うべきことは、業務班を設立して合同で進められるようにすることである。このプロセスにおいては、課の内部だけで、独断で変更ができるものではない。PDPAの問題は多部門の知識が必要なことなのである。
たとえば、PDPAとはIT課の仕事だと解釈している組織も少なくなく、そうした組織ではIT課だけに責任を担わせている。全体としてはデジタルシステムに関する問題だと思われているのである。確かに、IT部門では使用上のシステムやプラットフォームの外観は作成することができる。しかし、データを必要とする現場のニーズや必要性については、IT部門には分からない。どこでどんな風に使われるのかは分からないわけである。
また、PDPAが単に法律の問題だと思っている組織もある。もちろん、法律用語を分かりやすく解釈してもらうには法務部門が必要だが、デジタルシステムの使用形態については、法務部門でも最終的にIT部門の知識や理解が必要になってくるのである。
つまり、PDPAへの対応は、多部門に関与してくるものなのである。ある部門ではデータの収集を管理し、またある部門ではプログラムを開発し、さらに別の部門では個人情報の使用を行う。
「ですので、各組織において適宜、任務・責任を明確化し、どの課が何について責任を負うか決定しておくことが必要です。また、業務班を設置し、合同でギャップを見つけ、解決策を見出し、一緒に解決していくようにします。これが私の考えているおおよその原則ですが、指針は、組織によって異なってきます」(ナワナン氏)
ナワナン教授(博士・医師)によると、PDPAの適用におけるもう一つの重要なものは、プライバシーノーティス(Privacy Notice)すなわち告知だという。これは、データ収集、使用、及び開示の規定についてデータ主体に通知・警告するもので、使用範囲を認知させ、理解を統一するためのものである。
「データの開示や他の目的での使用については、『データ主体に通知した目的、すなわち、プライバシーノーティスに基づく目的に限り使用することができる』という原則が定められている場合があります。つまり、何を収集するか、何に使用するか、どれくらいの期間保管するかを本人に通知しますので、それ以外の使用をした場合は、このような保護条項のあるPDPAに反する可能性があります。したがって、何が可能で何が不可能か、組織において再確認をする必要があります」(ナワナン氏)
最後に、ナワナン教授(博士・医師)より、組織でのデータ収集における注意事項を頂いた。以下の4事項である。
1. 必要なだけのデータを収集すること
必要以上にたくさんのデータを収集している組織、将来の使用に備えて念のためにデータを収集している組織がよくある。だが、実際問題として、必要以上にデータを収集するとデータ収集の責任や負担も増えてしまい、もしデータ漏洩の事態などが発生した場合には、被害者への損害費の支払いや救済措置の必要が生じてしまう。
2. PDPAは単一の部門だけの問題ではない
前述の通り、PDPAは様々な部門の知識や理解、協力が必要なものである。したがって、どんな組織でも合同で解決策を模索するようにしなければならない。
3. 同意(Consent)は最終の選択肢である
個人情報を開示する全ての場合について必ずデータ主体に同意を求める必要がある、と誤解している組織も少なくないが、実際は、データ収集、使用、又は開示については、対応する法があり、条件として7つの法的根拠がある。この法的根拠としては、法令遵守、生命への重要な利益、政府の権限、研究、契約、合法な利益があり、これら6つの法的根拠と照合した後の最終の選択肢として、同意がある。重要なことは、データ主体への告知、すなわち、Privacy Noticeや、データ主体が知っておかなければならないその他の条件の通知を忘れてはならないということである。
4. トランザクションログ(Transaction Log)は必ずしも必要なわけではない
トランザクションログの使用とは、データの様々な場所に引き出されるデータについてデータ主体が確認できるようにすることである。たとえば、自分の個人情報を保管している組織がいつ、どこで、どのようにデータを使用したか、データ主体がアクセスして確認できるようにすることである。しかし、タイ国では、トランザクションログの使用を義務付ける法律は今のところない。というのは、PDPAの要とは、収集、使用、及び開示の原則を分析することだからである。これらについては関連法に基づく方策を確認することが可能だ。したがって、組織において、トランザクションログサービスのための追加費用をかける必要は特にありません。