知らなきゃ損する！タイビジネス法務

個人情報の越境移転に関する下位規則

1. 越境移転に関するPDPAの定め（第28条及び第29条）

まず、法律であるPDPAはどのようなルールを定めているかを確認していこう。PDPA第28条は「外国又は外国機関への個人情報の移転は、当該移転先国が適切なデータ保護基準を有するとPDPCが承認した場合にのみ行うことができる」という原則を定めている。

他方でこれには例外があり、本人の同意を得た場合（移転先国が適切なデータ保護基準を有していないことを通知する場合に限る）等は、個人情報の越境移転が認められる。現在多くの企業は、この例外規定、特に「本人の同意」に依拠する形で個人情報の越境移転を実現していると考えられる。

次に、PDPA第29条は、同一グループ会社に個人情報を越境移転する場合であって、「PDPCが承認する拘束的企業準則（Binding Corporate Rules＝BCR）」を定めている場合には、第28条に従うことなく越境移転できると定めている（第1項）。またそれ以外の場合であっても、「PDPCが定める規則及び方法に従った適切な保護措置」を提供している場合には、第28条に従うことなく個人情報を越境移転することができる（第3項）。

このように、PDPAによる越境移転のルールには、「PDPCが承認する」等の記載が多く、PDPCが公表する下位規則がなければ把握できないものが多かった。本通知はこの不明瞭な状態の解消を前進させるものである。

2. 2023年12月25日の通知内容

本通知は、まず第28条の「当該移転先国が適切なデータ保護基準を有するとPDPCが承認した場合」について、移転先国が適切なデータ保護基準を有しているかどうかを判断する基準として、以下の2つを公表した。

1. （１）移転先国が、PDPA に規定されている以上の個人情報保護に関する法的規制（適切なセキュリティ措置に関する規制、本人の権利行使を可能にする適切なデータ保護規制等）を有していること
2. （２）移転先国が、個人情報保護法及び規則の執行に関する権限を有していること

これらの基準を満たすか否かの判断がなされ、PDPCによって適切なデータ保護水準を有する移転先国又は機関のリストを公表することが予定されている。

次に、第29条第1項の「PDPCが承認する拘束的企業準則（BCR）」について、本通知は、BCRがPDPCの承認を受けるにあたって含めなければならないルールを明確化した。これによると、PDPCの承認を受けるためのBCRは、すべての関係者（処理者、送信者、受信者、従業員など）に適用されるものでなければならず、移転された個人情報に関する苦情対応の仕組み、そしてPDPAに定めるセキュリティ措置を含んだものでなければならない。

また、第29条第3項の「PDPCが定める規則及び方法に従った適切な保護措置」については、本通知は、以下の3つの類型を明記した。

1. (1)標準契約条項の合意（データ移転契約内に定める契約条項）
2. (2)認証の取得（認証基準は未公表）
3. (3)政府機関間の行動規範の設定

このうち、欧州GDPR適用国の実務上の運用に照らせば、企業の多くが依拠することになるのは、(1)の標準契約条項の合意であろう。この点、本通知によれば、GDPRのSCCやASEANモデル条項等の外国法に準拠した又は海外当局が作成したモデル契約条項に対し、必要に応じて一定の修正を加えたものを締結することも可能だとされている。

3. 外国のクラウドサービス等の利用

最後になるが、本通知には、クラウドサービス等の利用に伴う個人情報移転についての記述があり、ネットワークシステム間のデータ転送の仲介に過ぎない方法による個人情報の送受信、又は第三者が個人情報にアクセスできない一時的又は恒常的なデータ保管が、規制対象から除外されている。

具体的には、企業がタイ国外の事業者が提供するクラウドサービス等を用いる場合に、サービス事業者側が個人情報にアクセスできない状態であれば、当該サービスを通じた国外サーバへの個人情報保存は、PDPAによる越境移転の規制対象にならないと考えられる。

以上のとおり概観したが、本通知によって明らかになった越境移転規制対応は、PDPA対応を必要とする日系企業にとって非常に重要なものである。引き続き今後の動向に注意されたい 。