2020.03月号

ArayZオリジナル特集

個人情報保護法 〜対応に苦慮する事業者への手引き〜

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが gdm-info@gdm-asia.com までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

個人情報保護法 〜対応に苦慮する事業者への手引き〜

 デジタル技術の進化による次世代通信規格「5G」やモノのインターネット「IoT」などの実用化に伴い、生活の利便性向上、事業の効率化、経済効果などが期待されている。一方、企業の事業活動が国境を越え、データ流通量が増えるほど、個人情報の流出やサイバー攻撃に晒される脅威は高まっていく。
世界の潮流に乗って、タイでも2019年5月28日に「個人情報保護法(PDPA)」が施行された。1年間の猶予期間を経て、今年5月27日に効力を発するが、個人情報を取り扱う事業者は、手探り状態だ。
ASEAN法務特化型の法律事務所One Asia Lawyers タイ事務所の小出将夫弁護士に、顧客・社員の個人情報の安全性を確保するために必要な対応策などを聞いた。
(※20年2月26日現在の情報をもとに作成)

プライバシー保護を目的とした規制強化

新年が明けて間もない1月14日に、検索エンジン最大手の米グーグルは、同社の閲覧ソフト(ブラウザ)「Chrome(クローム)」での「Third Party Cookie(第3者クッキー、以下クッキー)」機能を段階的に制限し、2年以内に完全に廃止すると発表した。同社のクッキーを使って収集し、蓄積されたデータ(ウェブサイト閲覧履歴など)をもとに個人の嗜好などを分析する「ターゲティング広告」を行う広告会社にとって衝撃的なニュースだった。

背景には、個人のプライバシー保護を求める声が高まっていることが挙げられる。本人が認識していないのに特定の個人が識別されるデータが、民間企業などに分析・蓄積されると、健康状態や宗教・思想上の信念など、知られたくない情報まで追跡・悪用されかねないからだ(図表1)。

図表1 個人データの流出先(2018年) 産業別の漏洩件数(2018年)

ビッグデータの時代にさらに重要視されることになった個人情報。その保護の先鋒を切った欧州連合(EU)で強化されている規制の波が、日本、米国とタイを含むアジア諸国にも広がっている。それではまずデータ規制の歴史を振り返ってみる。

個人データ・プライバシー保護
歴史・経緯と社会的背景

欧州では1970年代から個人データ規制に関する議論が交わされてきた。東西冷戦下で各国は独自に法律や指針を制定してきたが、細則などが共通化されずにバラバラだった。最初に世界的な個人情報保護法の指針が打ち出されたのは、80年の経済協力開発機構(OECD8原則)。そして、93年に誕生したEUが2年後に、加盟国間の差異を埋めるために「EUデータ保護指令」をついに制定した。

ただ、加盟国間の足並みが揃っておらず、生みの苦しみは続いた。ようやく現在の法制度に固まったのは2016年4月。「EU一般データ保護規則(GDPR)」が採択され、EUおよび欧州経済領域(EU加盟国28ヵ国とアイスランド、リヒテンシュタイン、ノルウェー)のデータおよびプライバシーを保護する法律が標準化。18年5月から施行されている。

データ規制の動向

GDPRの発効と前後して、世界各国で個人データなどの自国外・地域外への移転を規制する「越境移転規制」と「データローカライゼーション」の導入が加速している。

前者は個人のプライバシー保護を目的に情報の移転行為に焦点を当てる規制。国や地域ごとにプライバシー保護の制度が異なる一方、形のない情報は容易に国境を超えて伝達されることから、近時プライバシー保護を目的とする法律に、このような規制を盛り込まれる例が増加する傾向にある。

他方、後者は企業などが自国の領域内で事業を行うための条件として、その領域内においてコンピュータ関連設備を利用または設置するなどの方法で、データの管理や処理が行われるように規制すること(図表2)。

図表2 越境移転規制・データローカライゼーションとは

対象は個人データに限らず、自国内の産業保護や国家安全保障の確保といった目的が背景にある。特に法執行・犯罪捜査などに関わるデータを国内に保存する義務を負うケースが多いとされ、例として、軍事施設からの情報漏洩に敏感な中国やベトナムといった社会主義国で導入されている規制が挙げられる。

導入している国の目的や思想が背景にあるが、規制が過度に強化されると、グローバル企業の事業活動に影響を与えることから、新興国は新たに外資を呼び込めなくなるリスクを伴う。

各地でこれらの規制の導入が加速する中、EUは16年に米国を個人データ保護が十分保障されている国と認定し、データの移転を可能とする枠組み「プライバシー・シールド協定」を結んだ。米商務省と連邦取引委員会(FTC)により強力な監視・執行権限が与えられ、適切な個人情報移転・管理が米国企業に求められるといった規定が盛り込まれている。

また、日本とは19年1月に個人データの保護水準を、相互に同等と認める「日・EU間相互十分性認定」を採択。ただ、日本の個人データ保護のレベルは2年ごとに査定される見通しだ。

その一方で、世界最大のソーシャル・ネットワーキング・サービス(SNS)であるフェイスブックによる個人情報の不正流用事件に揺れたカルフォルニア州で、今年1月に「消費者プライバシー法(CCPA)」が施行された。ハイテク企業が集積する同州を拠点とするIBMやアマゾンらは、包括的な連邦政府レベルの法案を米連邦議会に要望するなどのロビー活動を行っている。

日本国内の個人情報保護法は3年ぶりに今年改正される。19年11月に個人情報保護委員会が公表した改正大綱によると、開示のデジタル化推進、個人データの提供先基準の明確化、漏えいなどの報告義務化といった、個人情報を取得する事業者などの責務が拡充される規定が盛り込まれている。改正法案は今年の通常国会に提出され、審議される見込みだ。

ASEAN諸国のデータ規制

ASEAN10ヵ国中、シンガポール、マレーシア、フィリピンでは、事業領域等特定の範囲に限定せず、個人情報保護に関する一般的な規制を定める「プライバシー統一法」にあたる法律が制定され、いずれも発効している。マレーシアが先駆けて、13年に「個人情報保護法」を施行・発効。シンガポールが同年に「個人情報保護法」を施行し、翌年から本格的に適用を開始。続いて、フィリピンが16年に「データ・プライバシー法」の施行規則を制定し、翌年から本格的に適用を開始した。タイでも「個人情報保護法」が、サイバーセキュリティ法を含む5つのデジタル・電子関連法とともに、19年5月に同時に施行された。

一方、インドネシアでは16年12月に、特定の個人情報についてデータローカライゼーション規制を含む政令「改正電子情報および取引(EIT)通信情報省規則」が成立。18年12月から本格的に適用を開始した。現在、GDPRをもとにさらに厳格化する新法の制定が検討されている。ベトナムでも19年1月に、データローカライゼーション規制を含む「サイバーセキュリティ法」が施行された。

このように、ASEANでプライバシー統一法およびデータローカライゼーションの導入が加速している。これらの動きは、同地域で事業を展開する日系企業に大きな影響を及ぼす可能性を秘めている。一方、カンボジア、ラオス、ミャンマー、ブルネイの4ヵ国では目立った動きはない(図表3)。

図表3 ASEAN諸国のデータ規制

タイの個人情報保護法の成立

1 背景・経緯

タイ初となるプライバシー統一法である「個人情報保護法(PDPA)」や、サイバーセキュリティに関する規制を含む「サイバーセキュリティ法」等を含む6つのデジタル関連法(他に電子決済機構改革法、デジタル経済社会評議会法、デジタルID法、電子決済担当官法)が19年2月28日に国会で承認され、成立した。8年ぶりに実施された3月の総選挙を挟んで、5月24日には国王の承認を受け、27日に官報に掲載され、28日より同時に施行された。

タイの個人情報保護法は、個人データ取得の際の情報提供義務および同意取得等の適法性確保の義務、取得した個人データの安全管理・記録保持義務、情報漏えい等の発生時の当局への通知義務、個人データの国外移転に関する規定など多岐にわたる規制を個人データを取り扱う事業者に課している。

同規制の多くは、発効から適用開始まで1年間の猶予期間が設けられており、タイで個人データを取り扱う事業者は、20年5月27日までに、法律の定めに従って対応を完了させる必要がある。また、タイ国内の事業者のみならず、一定の場合に国外の事業者が同法の適用を受ける、いわゆる域外適用が定められており、日本を含む他の諸外国の事業者も留意が必要となっている(図表4)。

図表4 タイ王国個人情報保護法(2019)

2 概要

まず歴史的な経緯を踏まえつつ、個人情報保護法について考えていきたい。

タイで初めて同法の草案が提出されたのが、輸出・観光などが堅調で経済が安定していたタクシン政権下の06年。1月に閣議決定されたが、同年9月に軍事クーデターが発生し、棚上げとなった。その後、 現在のプラユット政権が再び法案の制定に向けて動き出し、18年5月に個人情報保護法案(PDPA)を内閣で承認した。

欧州ではほぼ同時に、EU一般データ保護規則(GDPR)が発効し、EU域内所在者の個人データを取り扱う事業者に規制の適用が開始された。PDPAは、GDPRの発効前後の時期に、一度閣議決定された草案を大幅に修正し、GDPRをほぼなぞるような形で、事業者に対する規制が定められたという経緯がある。従って、最終的に成立したPDPAのうち、事業者に適用される規制の大部分は、GDPRと同様の規定となっている。

世界水準と比較すると緩いが、タイに恩恵をもたらす自由貿易協定(FTA)交渉の再開を視野にEU側にすり寄ったとの見方もある。同交渉はクーデターで軍事政権が発足された14年から中断しているが、19年3月の総選挙で民政移管が行われたことで、再開の兆しが見られる。

タイ商務省通商交渉局によると、FTAが発効し、双方間の貿易関税が撤廃されると、タイの輸出・輸入額を18年比でそれぞれ3・43%、3・42%押し上げる効果があると期待されている。

3 個人データ・センシティブデータの定義

「個人データ」は、「個人に関する情報で、直接または間接を問わず、当該個人を識別することのできる情報をいい、死者の情報は含まない」と定義されている。

GDPRの定義では、識別された、または識別可能な自然人(GDPRによって保護されるデータ主体、個人)に関する一切の情報を言う。

識別可能な自然人とは、「氏名」「個人識別番号」「所在・位置」「オンライン識別子」などの識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な要素を参照することにより識別され得るものと定義される。タイの個人情報保護法は、この定義に沿う可能性が高く、現状、事業者はこれを参考に判断することになると思われる。

また、人種・民族出自、犯罪歴、労働組合への加入状況、政治的見解・信条、宗教・思想上の信念、性的嗜好、健康・障害、遺伝・生体情報、および個人情報保護委員会が規定する特定の個人データは、いわゆる「センシティブデータ」として、他の個人データに比べてより強い規制が適用される。原則(例外もある)として取り扱いは禁止だが、利用する場合は常に明示的な同意の取得が必要で、GDPRとほぼ同じデータが対象となる見込みだ(図表5)。

図表5 個人データの定義 センシティブデータの定義

4 適用対象

同法の適用を受ける者は、タイ国内に所在し、個人データの収集・利用、または開示の決定権限を有する自然人または法人である「管理者」と、管理者から委託(指示)を受けて個人データの収集等を行う自然人または法人である「処理者(決定権のない者。勝手に第三者提供などができない)」に分類され、それぞれ異なる規制が課せられる。取り扱う情報の量や収集、利用、開示行為自体がタイ国内で行われるかなどは問わない。

管理者と処理者の定義はGDPRと同様だが、課される義務の内容は微妙に異なる。また、取り扱う個人データによって、同じ事業者が管理者であったり、処理者であったりすることに留意が必要な点もGDPRと同様だ。

地理的な面では、上記の通り原則としてタイ国内に所在(GDPRでは「拠点の活動に関連して」と表現される)する「管理者」または「処理者」の個人データの取り扱いにおいて適用されるものとされている。

だが、タイ国内に所在するデータ主体(個人データの主体)に対して、①商品・役務の提供(Offering)を行う場合(有償または無償を問わない。電子商取引において、ウェブサイトで注文を受け、国外から発送・提供する場合など)や、②タイ国内に所在するデータ主体の行動を監視・追跡(Monitoring behavior)する場合(ターゲティング広告において、クッキー情報を収集し、行動追跡やデータ解析を行う場合など)には、タイ国外に所在する事業者に対しても同法が域外適用されるので、タイ国内に関連会社や拠点を有さない場合でも、注意が必要だ。

上記①について、どのようなケースで「タイ国内に所在するデータ主体に対して、商品・役務を提供」しているかの判断基準は明確ではないが、GDPRではそのような「意図が明白」であるかどうかにより決定され、単にウェブサイトにEU域内からアクセスできることや、EU域内の言語を用いていることのみでは、明白とは言えない。

EU域内で一般的に使われる言語・通貨によって商品・役務を注文することができ、EU域内の消費者・顧客について言及しているなどの場合、該当する可能性があるため、タイの個人情報保護法の解釈においても参考になる(図表6)。

図表6 個人情報保護法の適用対応者

5 事業者の義務

同法の適用を受ける事業者には、個人データ収集の際の情報提供義務および同意の取得、その他適法性確保義務、収集した個人データの安全管理、記録保持義務、情報漏えい等発生時の当局への通知義務、個人データの海外移転に関する規制等多岐にわたる規制が適用される(図表7)。

図表7 事業者の主な義務

十分な情報の提供

個人データを収集する前に、データ主体に対して十分な情報を提供し収集する情報を明示する義務が事業者に生じる。

個人データの収集・利用を説明するプライバシーノーティス(通知)に記載すべき要素として、「収集の目的」「法的義務の遵守および契約の締結・履行のために提供が必要な場合、その事実」「収集対象の情報とその保有期間」「第三者開示を行う場合、開示先の第三者のカテゴリー」「管理者に関する情報、住所、連絡先等の詳細(タイ国内代理人・情報保護責任者―DPOに関する情報)」「データ主体の権利」が挙げられている。

一方、GDPRでは、「正当な利益を根拠とする場合、当該利益の内容」「域外移転の有無および安全保護措置の有無等」「同意が撤回可能であること」「監督機関への不服申立権があること」「プロファイリング等の有無」等についても通知が求められており、タイの規制の方が比較的緩やかであると言える(図表8)。

図表8 プライバシーノーティスの要素

適法化の根拠

データ管理者は個人データの収集時に、「適法、公正、および透明な方法」で個人データを処理することが要求される。原則として、データ主体から同意を取得する必要があるが、同意によらずに個人データの収集が可能な場合として、以下が挙げられている。

1 歴史的保存または研究・統計を目的とする場合
2 人の生命・身体・健康に対する危険防止のため
3 データ主体が当事者である契約の履行に必要な場合
4 公共の利益のため、または公的権限行使のために必要な場合
5 事業者または第三者の正当な利益のために必要な場合
6 事業者に適用される法令を遵守するために必要な場合

同意の有効性

同法においてデータ主体の同意を得る場合、書面もしくは電子的な方法で使用目的などを説明し、データ主体から明確な同意を取得する必要がある。

例えば、ウェブサイト上で同意を取得する場合、データ主体が個人データの収集に対する「承認」ボタンをクリックしたからといって、直ちに適法な同意を取得したとは言えない。プライバシーノーティスを行っていないなど、管理者が「事前に十分な説明をした」と言えない場合は、同意は無効となる。

その他、データ主体に同意を求める際の要件として、「同意対象が特定されていること」「明瞭に範囲を認識できる方法で行うこと」「容易にアクセスが可能で、分かりやすい内容・形式」「明快で平易な言語を使用すること」「騙したり、誤解を生じさせないこと」が挙げられている。

特に言語については一般的なタイ人であれば、原則としてタイ語による必要があると考えられるため、注意が必要である。

また、同意は能動的に「自由に与えられ、条件付きでない」ことが求められ、かつ、いつでも容易に撤回が可能でなければならない。

例えば日本では、サービス提供にあたり、「サービスを利用するためには、個人データの提供に同意する必要があります」などとし、当該サービス提供に必ずしも必要ではない個人データを提供しなければサービスを受けられないようになっているケースがよく見られるが、タイではこのような方法は違法とされる可能性が高い。

以上のように、同意については通常我々がイメージするものよりも相当厳格な要件が定められているため、運用上特に注意が必要である。

同意取得の重要性を強調する小出氏
同意取得の重要性を強調する小出氏

データの安全保管

収集した個人データの安全保管を目的に、個人データの不正または違法に滅失・アクセス・使用・変更・修正、または開示を防止するための適切なセキュリティ対策を講じなければならない。具体的な水準は未確定だが、今後設置される個人情報保護委員会が指定・公表する最低水準に従う。

GDPRでは、リスクを考慮した上で、処理の安全水準を確保するために、以下を含む適切な技術的・組織的措置を講じなければならない。

・ データ保管時の仮名化・暗号化
・ データ管理システムおよびサービスの完全性・可用性の確保
・ 事故発生時の復旧体制の整備
・ 定期的な監査

タイにおいても、これらと同様の項目が指定される可能性は高いと考えられる。

代理人・データ保護責任者の選任

タイ国外に所在する事業者が、タイ国内に所在するデータ主体の個人データを取り扱う場合、原則として、タイ国内に拠点を有する代理人を選任する義務を負う。また、一定規模以上の個人データを取り扱うことなどの特定条件を満たす事業者は、情報保護責任者(Data Protection Officer, DPO)を選任する義務を負う。

DPOは、管理者または処理者による個人データの取り扱いが、個人情報保護法の規定を遵守しているかの監督等の義務を負い、個人情報保護委員会事務局との連絡・協力等を行う。

DPOの選任義務を負うのは、①管理者・処理者が一定の基準を超える大量の個人データを取り扱うことにより、データ主体の定期的・機械的な監視が必要な収集、利用または開示を行う場合、および②管理者・処理者の中心的業務がセンシティブデータの収集、利用または開示である場合である。「一定の基準」については、個人情報保護委員会が別途定め公開するが、現時点でその水準は未確定だ。

GDPRでもDPOの選定義務については概ね同等の要件が定められているが、①の場合でも管理者・処理者の「中心的業務が」、その性質・範囲・目的からみて、データ主体の定期的・機械的な大規模監視が必要な収集などである場合、との定めがなされており、タイ個人情報保護法と微妙に異なっている。

第三者への開示

第三者に個人データを開示する際も留意が必要だ。管理者はデータ主体の同意なく、個人データを第三者に開示してはならない。また、具体的な水準は未確定だが、提供先の第三者が個人データを違法、または不正に使用、または開示することを防ぐための措置を講じる必要がある。管理者が処理者に個人データを委託する場合、処理者のデータ保護に関する義務を定めた契約を締結しなければならない。具体的にどのような義務を契約に含めるべきかについては、現在のところ明らかにされていない。

一方、GDPRでは、管理者は、GDPRを遵守し、データの管理について適切な措置を講ずることのできる処理者を「選定」しなければならないとされ、選定においても義務が課せられている。また、処理者との間で締結する契約に含めるべき事項についても、法律で具体的な項目が指定されている。

図表9 個人情報の悪用方法

国外移転の規制

管理者が個人データを第三国に送信または移動する場合、その移転先は十分な保護水準を備え、今後設置される個人情報保護委員会の定める条件を満たすことが原則とされる。

GDPRにおいて移転先地域のデータ保護水準が十分であることを認定する制度(いわゆる「十分性認定」)と同様の考え方が取り入れられている。

また、例外として、「データ主体の同意がある場合」「法令遵守のためである場合」「データ主体が締結した契約の履行に必要な場合」「データ主体の利益のために管理者が締結した契約を遵守する場合」「データ主体の生命、身体または健康への危険を防ぐためである場合」「公共の重大な利益に必要である場合」には、国外移転が認められる。なお、グループ間では、企業内のデータ保護方針を当局が確認し、認証した場合(GDPRにおける「拘束的企業準則(BCR)」とほぼ等しい)にも例外的に国外移転が認められる。

GDPRにおける域外移転については、十分性認定がなされていない国・地域への移転について、右記タイ法において定められているような例外事由のほか、欧州委員会によって採択される特定の契約条項(Standard Contractual Clauses、標準契約条項、SCCおよびStandard Data Protection Clauses、標準データ保護条項、SDPC)を含む契約を締結することにより、データ主体の同意を取得せずとも、契約の当事者間で個人データの域外移転を行うことができる、との制度が採用されている。現在の実務において、一般的にEU域内のデータを域外の第三者に提供する場合は、SCCの締結による例が比較的多い。

これは、GDPRにおいて、同意の取得には厳格な要件が定められている上、いつでも撤回可能でなければならない。そのため、データ主体の同意を根拠に域外移転を行うと、同意が有効でないとされて違法となるリスクや、同意が撤回されて以後域外移転が行えなくなるリスクがあるとされるためである。

これに対しタイでは、前述の通り、個人データの国外移転を行える例外事由に、SCCまたはSDPCの締結に相当する方法が含まれていない。しかし、同意取得についてはGDPRと同様の問題があり、同意取得以外の事由に該当するケースは少ないと思われるため、個人データの国外移転規制対応としてどのような方法によるべきか、現状不明であるという問題がある。

細則等制定前の現時点では、相対的にリスクの低い同意取得を前提に対応を進めるよりほかないと思われる。しかし、今後細則等により、当局から何らかの解決策が提示されることが望まれる。

開示・訂正・消去の権利

データ主体は、自己の個人データを取り扱う事業者に対し、以下の請求を行う法的権利を有する。

・ 収集された個人データへのアクセス、コピーの交付、および収集手段の開示を請求すること
・ 自動機器で読み取り可能な形式での開示、または第三者への転送を請求すること(いわゆる「データポータビリティ」)
・ ダイレクトマーケティングを目的とする処理等に異議を唱えること
・ 一度与えた同意を撤回し、消去・削除・破棄等を求めること(いわゆる「忘れられる権利」)
・ 一定の場合に利用停止を求めること
・ 誤ったデータの訂正を求めること

特に、一度個人データの取り扱いに同意をしたとしても、一切の負担なくこれを撤回し、事業者に取り扱いをやめるように請求できる点に、留意する必要がある。ただし、すでに適法な同意のもとで行われた個人データの収集・利用・開示を遡って拒否することはできない。

GDPRにおいては、右記の権利以外に、プロファイリングを含む個人データの自動的処理をしないことを求める権利が規定されているが、タイ個人情報保護法においては、現在のところこのような権利は定められていない。

漏洩時の対応

個人データ漏洩等の際の対応も重要な事項だ。事業者が、取り扱う個人データが不適切に利用されていることを認識した場合、またはそのような警告が発せられた場合、今後設置される個人情報保護委員会事務局に遅滞のない通知が求められる(原則必須)。通知は可能であれば、認識してから72時間以内に行う必要がある。

また、データ主体の権利・自由への影響が大きい場合は、データ主体に対しても通知が必要となる。ただし、これらの通知に記載すべき具体的な内容項目や、データ主体への通知が必要となる場合の基準などは未確定だ。なお、GDPRにおいては、当局へ通知しなければならない事項は以下の通りとされている。

・ 関連するデータ主体の類型・概数
・ データ侵害の性質(記録の種類および概数等)
・ 情報保護責任者(DPO)の連絡先
・ データ侵害によって発生する可能性のある事態
・ 実施した被害低減措置の内容 

罰則その他のリスク

同法に違反した事業者には、行政罰として最大で5百万バーツ以下の課徴金が科せられる。裁判所は課徴金が未払いの場合、財産の差し押さえ、競売を命じることができる。

さらに、刑事罰として、最大で1年以下の禁錮、もしくは百万バーツ以下の罰金、またはその両方が科せられるものとされている。企業の違反の場合は、権限を有し責任を負う取締役や管理職も、法令違反の処罰の対象となるため注意が必要だ。

その他、同法違反によって第三者に損害が生じた場合は、民事損害賠償の対象となるが、現実に発生した損害に加え、損害額の2倍以内の範囲で懲罰的賠償が科される可能性がある(図表10)。

図表10 タイ個人情報保護法に違反した場合の罰則

GDPRにおいては、最大2千万ユーロまたは全世界連結ベース売上高の4%以下の課徴金が科せられる。19年1月には、フランス当局が米アルファベット傘下のグーグルに対して、課徴金5千万ユーロの支払いを命じた。同年8月には前年にウェブ上で航空券の予約手続きをした約50万人の顧客情報(氏名やクレジットカード情報など)を流出させた英航空大手ブリティッシュ・エアウェイズ(BA)に対して、GDPRに基づき、約250億円の制裁金を科した。

これと比較すると、タイ個人情報保護法における罰則ではそれほど莫大な金額は規定されておらず、リスクは低いと考えてしまいがちだが、課徴金や罰金だけでなく、企業の信用・信頼を失墜させる事態に発展する恐れもあり、このような風評被害(レピュテーショナル・リスク)も十分に考慮する必要がある。

個人情報保護法に関するセミナーの様子
個人情報保護法に関するセミナーの様子

今後必要な対応

前述の通り、同法は既に施行されており、主要な規制対応の猶予期間は20年5月27日までとなっている。ただ、同法は多くの曖昧さを残したまま、執行が始まろうとしている。

法律の規定を補足し具体的な内容を定める政令、規則、ガイドライン等の下位規定(細則)がまだ定められておらず、現時点(20年2月)でどのような対応をとればよいのか不明確な部分が多く残る。

タイ個人情報保護法が参考にしたというGDPRに対応したとしても、異なる定めがされている規制の存在や、今後細則等で異なる解釈が示される可能性はあり、十分とは限らない。

「詳細は曖昧で、細則を決定する委員会も設置されていないのに、どう備えればよいのか」――対応に苦慮する事業者の姿が浮かんでくる。

これら下位規則については、施行から1年の間に発効するものとされ、30ほどの制定が想定されていると言われている。今後公表される内容に常に目を配りつつ、猶予期間が満了するまでに法令に準拠した体制を構築できるよう、優先順位を決めて、計画的に準備を進めることが重要だ(図表11)。

図表11 必要な対応

タイ個人情報保護法遵守体制構築のための具体的な対応において、まず必要になるのが「データマッピング」と呼ばれる作業である。

データマッピングとは、法令上定められた各種の具体的な義務を遵守する前提として、事業者における個人データの取扱状況を網羅的に把握し、法令上の要求事項とのギャップを分析した上で、必要なタスクを洗い出す作業をいう。データマッピングの実施自体が法令上の義務として定められているわけではないが、「何をしなければならないか」をタスクレベルで整理しなければ対応を始めることができないため、対応の第一ステップとして事実上必須の工程といえる。

具体的には、社内のすべての部署にデータの取扱に関するヒアリングを行い、回答を集めることから始める。しかし、タイではこれまでプライバシー保護に関する一般的な法令がなかったことから、各部署の現場担当者は、個人データの概念を理解できなかったり、具体的にどのような情報が個人データに該当するのかを判断できなかったりすることが多い。

したがって、ヒアリングを実施していくにあたっても、現場担当者からの質問に対して都度回答し、説明をしなければならず、特に従業員数が多い企業や取り扱う個人データの種類・量が多い企業(B to C事業者等)では、完了までにかなりの時間を要する。

このような場合は、事前に社内セミナーを行い、個人データの概念やデータマッピングの意義等について現場担当者に理解を促すなどの工夫も必要となる。

データマッピングは、細則等が定められていない時点においても比較的実施内容が明確な作業である。開始してみると想定以上の時間がかかることもあり、適用開始に対応が間に合わなくなる恐れもあるため、早期に着手することが重要である。

個人情報保護委員会の事務局が入居すると思われる政府庁舎
個人情報保護委員会の事務局が入居すると思われる政府庁舎

お問合せ先

小出 将夫
小出 将夫
弁護士 / 情報処理安全 / 確保支援士

One Asia Lawyers
ITプラクティスチーム ヘッド
masao.koide@oneasia.legal

弁護士登録後、日本国内最大規模のIT企業に企業内弁護士として入社。メディア、eコマース、広告、Fintech等の各種ITサービスの法的サポートおよびM&A支援を中心に、企業法務の幅広い業務に従事する。
現在は、タイに常駐し、タイにおいて複数年の実務経験を有する。IT法務を含む一般企業法務案件、GDPR・各国個人情報保護規制等のグローバルデータ規制法対応、日系企業のタイへの進出案件、合弁、M&A、タイ現地法人のコンプライアンス、ガバナンス支援等を中心に、各種法的サポートを提供している。特に、タイにおける個人情報保護法対応については、相当数の実績を有する。
情報処理安全確保支援士(登録セキュリティスペシャリスト)、応用情報技術者の国家資格を保有。

One Asia Lawyers
日本およびASEAN各国の法に関するアドバイスをシームレスに一つのワン・ファームとして、ワン・ストップで提供するために設立された日本で最初のASEAN法務特化型の法律事務所です。
当事務所メンバーは、日本およびASEAN各国の法律実務に精通した専門家で構成されています。日本およびASEAN各国にオフィス・メンバーファームを構えることにより、日本を含めた各オフィスからASEAN各国の法律を一括して提供できる体制を整えることに注力しております。


\こちらも合わせて読みたい/

タイ ASEAN 飛躍の切り札 デジタライゼーション


この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが gdm-info@gdm-asia.com までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

gototop