当ウェブサイトでは、サイトの利便性向上を目的に、クッキーを使用しております。 詳細はクッキーポリシーをご覧ください
また、サイト利用を継続することにより、クッキーの使用に同意するものとします。

タイ・ASEANの今がわかるビジネス経済情報誌アレイズ

ArayZロゴマーク

知らなきゃ損する!タイビジネス法務

個人情報の越境移転に関する下位規則

  • この記事の掲載号をPDFでダウンロード

    メールアドレスを入力後、ダウンロードボタンをクリックください。
    PDFのリンクを送信いたします。

メールアドレスを入力後、ダウンロードボタンをクリックください。PDFのリンクを送信いたします。

    ダウンロードができない場合は、お手数ですが arayz-info@mediator.co.th までご連絡ください。

      1. 越境移転に関するPDPAの定め(第28条及び第29条)

      まず、法律であるPDPAはどのようなルールを定めているかを確認していこう。PDPA第28条は「外国又は外国機関への個人情報の移転は、当該移転先国が適切なデータ保護基準を有するとPDPCが承認した場合にのみ行うことができる」という原則を定めている。

      他方でこれには例外があり、本人の同意を得た場合(移転先国が適切なデータ保護基準を有していないことを通知する場合に限る)等は、個人情報の越境移転が認められる。現在多くの企業は、この例外規定、特に「本人の同意」に依拠する形で個人情報の越境移転を実現していると考えられる。

      次に、PDPA第29条は、同一グループ会社に個人情報を越境移転する場合であって、「PDPCが承認する拘束的企業準則(Binding Corporate Rules=BCR)」を定めている場合には、第28条に従うことなく越境移転できると定めている(第1項)。またそれ以外の場合であっても、「PDPCが定める規則及び方法に従った適切な保護措置」を提供している場合には、第28条に従うことなく個人情報を越境移転することができる(第3項)。

      このように、PDPAによる越境移転のルールには、「PDPCが承認する」等の記載が多く、PDPCが公表する下位規則がなければ把握できないものが多かった。本通知はこの不明瞭な状態の解消を前進させるものである。

      2. 2023年12月25日の通知内容

      本通知は、まず第28条の「当該移転先国が適切なデータ保護基準を有するとPDPCが承認した場合」について、移転先国が適切なデータ保護基準を有しているかどうかを判断する基準として、以下の2つを公表した。

      1. (1)移転先国が、PDPA に規定されている以上の個人情報保護に関する法的規制(適切なセキュリティ措置に関する規制、本人の権利行使を可能にする適切なデータ保護規制等)を有していること
      2. (2)移転先国が、個人情報保護法及び規則の執行に関する権限を有していること

      これらの基準を満たすか否かの判断がなされ、PDPCによって適切なデータ保護水準を有する移転先国又は機関のリストを公表することが予定されている。

      次に、第29条第1項の「PDPCが承認する拘束的企業準則(BCR)」について、本通知は、BCRがPDPCの承認を受けるにあたって含めなければならないルールを明確化した。これによると、PDPCの承認を受けるためのBCRは、すべての関係者(処理者、送信者、受信者、従業員など)に適用されるものでなければならず、移転された個人情報に関する苦情対応の仕組み、そしてPDPAに定めるセキュリティ措置を含んだものでなければならない。

      また、第29条第3項の「PDPCが定める規則及び方法に従った適切な保護措置」については、本通知は、以下の3つの類型を明記した。

      1. (1)標準契約条項の合意(データ移転契約内に定める契約条項)
      2. (2)認証の取得(認証基準は未公表)
      3. (3)政府機関間の行動規範の設定

      このうち、欧州GDPR適用国の実務上の運用に照らせば、企業の多くが依拠することになるのは、(1)の標準契約条項の合意であろう。この点、本通知によれば、GDPRのSCCやASEANモデル条項等の外国法に準拠した又は海外当局が作成したモデル契約条項に対し、必要に応じて一定の修正を加えたものを締結することも可能だとされている。

      3. 外国のクラウドサービス等の利用

      最後になるが、本通知には、クラウドサービス等の利用に伴う個人情報移転についての記述があり、ネットワークシステム間のデータ転送の仲介に過ぎない方法による個人情報の送受信、又は第三者が個人情報にアクセスできない一時的又は恒常的なデータ保管が、規制対象から除外されている。

      具体的には、企業がタイ国外の事業者が提供するクラウドサービス等を用いる場合に、サービス事業者側が個人情報にアクセスできない状態であれば、当該サービスを通じた国外サーバへの個人情報保存は、PDPAによる越境移転の規制対象にならないと考えられる。

      以上のとおり概観したが、本通知によって明らかになった越境移転規制対応は、PDPA対応を必要とする日系企業にとって非常に重要なものである。引き続き今後の動向に注意されたい 。

      寄稿者プロフィール
      • 藤江 大輔 プロフィール写真
      • GVA Law Office (Thailand) Co., Ltd.
        代表弁護士藤江 大輔

        2009年京都大学法学部卒業。11年に京都大学法科大学院を修了後、同年司法試験に合格。司法研修後、GVA法律事務所に入所し、15年には教育系スタートアップ企業の執行役員に就任。16年にGVA法律事務所のパートナーに就任し、現在は同所タイオフィスの代表を務める。

        URL : https://gvalaw.jp/global/3361
        CONTACT : info@gvathai.com

      • この記事の掲載号をPDFでダウンロード

        メールアドレスを入力後、ダウンロードボタンをクリックください。
        PDFのリンクを送信いたします。

      メールアドレスを入力後、ダウンロードボタンをクリックください。PDFのリンクを送信いたします。

        ダウンロードができない場合は、お手数ですが arayz-info@mediator.co.th までご連絡ください。

          人気記事

          1. タイ自動車市場〜潮目が変わった2023年と日系メーカーの挽回策〜
            タイ自動車市場〜潮目が変わった2023年と日系メーカーの挽回策〜
          2. ASEAN-EV市場の今〜タイ・インドネシアEV振興策および主要自動車メーカーの戦略〜
            ASEAN-EV市場の今〜タイ・インドネシアEV振興策および主要自動車メーカーの戦略〜
          3. 2023年のASEANの自動車市場の見通しと注目されるトレンド
            2023年のASEANの自動車市場の見通しと注目されるトレンド
          4. Dear Life Corporation CEO 安藤 功一郎
            Dear Life Corporation CEO 安藤 功一郎
          5. タイのEV充電ステーションの方向性
            タイのEV充電ステーションの方向性
          6. SMG(サイアム・モーターズ・グループ)
            SMG(サイアム・モーターズ・グループ)
          7. 【シンガポール】シンガポール、生活費が世界一=大衆車で1500万円、駐在員もつらいよ
            【シンガポール】シンガポール、生活費が世界一=大衆車で1500万円、駐在員もつらいよ
          8. なぜタイ人は日系企業を辞めるのか?
            なぜタイ人は日系企業を辞めるのか?
          9. タイ国外への支払いにかかる源泉所得税・前編
            タイ国外への支払いにかかる源泉所得税・前編

          閉じる