PwC タイビジネススタディ

猶予は1年間 個人情報保護法の施行に向けて企業が取り組むべき対策

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが matsuoka@mediator.co.th までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

猶予は1年間 個人情報保護法の施行に向けて企業が取り組むべき対策

加藤 英悟
Manager
カリフォルニア大学サンディエゴ校卒業。
IT企業にて東南アジアにおける日系企業向けのシステムの提案、導入を担当。
PwC コンサルティング合同会社に入社後、2018年4月よりPwC Thailandに赴任。
基幹システム(ERP)、デジタルテクノロジー、サイバーセキュリティ-の専門家として、製造業、金融業、商社等の幅広い日系企業向けのご支援を提供している。

095-371-6719(携帯)
eigo.e.kato@pwc.com

 

 近年、EUの一般データ保護規則(通称GDPR)を筆頭に世界各国で個人情報の保護を目的とした法令の整備が進んでおり、タイにおいても個人情報保護法(Personal Data Protection Bill)が2月の国民議会において可決されました。今回は新たに公布されるこの法律の内容と、企業の取るべき対策についてその概要をご説明いたします。

個人情報の定義

 個人情報保護法について最初に理解すべき点は、「個人情報」の定義です。ここで言う「個人情報」とは「その情報そのもの、又は複数の情報を組み合わせることで個人を特定出来うる情報」の事を指します。具体的には単一の情報で個人の特定に繋がる情報(Linked Information)、複数の情報の組み合わせる事で個人の特定に繋がる情報(Linkable Information)、そして個人に付随する機密性の高い情報である「センシティブ情報」が該当します。具体的にどのような情報がそれぞれに該当するかについては、図1をご覧ください。

 それでは、具体的に企業が保有するどのような情報が、「個人情報」にあたるのでしょうか。顧客情報などは最も分かりやすい例かと思いますが、それ以外にも企業の人事部門に保管されている従業員の氏名、住所、電話番号、身分証明書番号、社会保険番号等も個人情報に該当します。このため、今後企業は自社が保有する様々な個人を特定しうる情報を、「個人情報」として適切に管理する必要があります。

企業に求められる個人情報保護法への対策

 まず、「個人情報」の所有権はその情報を提供する個人に帰属するものであり、企業が個人情報を収集・利用する場合には、その情報を提供する個人から同意を得る必要があります。この同意を得るにあたり、企業はどのような目的で個人情報を収集・利用するのかという内容を明確に、誤解無く説明する必要があります。加えて、「個人情報」に付随する各種の権利も保証される必要があります。一般的には、収集・利用目的と権利を文章で明示したうえで同意書へのサインや、Webサイトにおいて「同意する」といったチェック項目をチェックする事で、同意を得たものとみなされます。従いまして、今後は個人情報を収集・利用する際には、このような同意書を用意する事が推奨されます。

 次に、社内においては「データ管理者」と「データ処理者」を任命する必要があります。データ管理者は「個人情報」の収集、利用、保管の責任者であり、個人情報が適切な同意のもとで収集され、同意内容に従って利用され、尚且つ適切に保管されているかを管理・監督する責任があります。これに対して、データ処理者はデータ管理者の代理として、収集された「個人情報」の利用・保管を行います。データ作業者はデータ管理者の指示のもとで作業を行いますので、個人情報の取り扱いに関わる決定や責任はデータ管理者の責務です。

 最後に、こうして収集された情報は適切に保管される必要があります。当然の事ながら、誰でもアクセスできる社内の共有サーバー上などに個人情報を保管する事は不適切であり、アクセス権の管理、パスワードの設定、暗号化等の対策がされた環境で保管される必要があります。また、近年では「個人情報」を狙ったサイバー犯罪が非常に増えてきており、企業はこういった攻撃に対しても十分な対策を取る必要があります。

日本人にも適応される可能性がある違反時の罰則

 上記の各種対応を行わずに「個人情報」を収集・利用したり、同意内容に反する用途で「個人情報」を利用したり、適切な管理を行わずに「個人情報」が外部に漏洩した場合には、重い罰則が科されます(図2参照)。行政責任と民事責任は企業が負うべき責任ですが、刑事責任に関しては個人が責任を負うことになります。違反内容の悪質性やその規模によっては、実際にデータを取り扱うデータ管理者やデータ処理者のみならず、社長や役員、部門長がこの責任を負う可能性があります。

 個人情報保護法は国王による署名後に正式に公布されますが、公布後に1年間の猶予期間があり、正式な発効は2020年中になる予定です。このため、企業はこの猶予期間中に十分な対策を行う必要があります。企業が行うべき対策としては、社内に保管されている「個人情報」の把握、管理体制の見直し、取り扱いに関する規定の策定、従業員に対する教育、情報漏洩を防ぐセキュリティ対策等が挙げられます。

 PwC Thailandでは皆様により詳しい個人情報保護法に関する情報の提供を目的として、6月3日に日本語でのセミナーの開催を予定しております。本セミナーに関する案内や参加申し込みをご希望される場合には、前頁に記載されております私のメールアドレス(加藤:までご連絡ください。

PricewaterhouseCoopers
Legal & Tax Consultants Ltd.
15th Floor Bangkok City Tower, 179/74-80
South Sathorn Road, Bangkok 10120, Thailand
Tel: 0 2344 1000

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが matsuoka@mediator.co.th までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

gototop