箕輪俊介 Shunsuke Minowa
パートナー
バンコク
NO&T Asia Legal Update アジア最新法律情報
2020年から全面施行が予定されていながら二度に渡り施行が延期されていたタイの個人情報保護法が、2022年6月1日に漸く全面的に施行された。実務的にどのような対応が必要かについては、佐々木弁護士及び中弁護士が行ったウェビナーでも詳細を解説しているため、同ウェビナーも併せて視聴されたいが、本稿では、全面施行を迎えるにあたっておさえておくべき事項について、ポイントを絞って紹介をしたい。
まず、どのような対応を行う必要があるかを把握するために、現状、どのような個人情報を取得しており、どのような形で利活用をしているのかを把握する必要がある。いわゆる、データマッピングといわれる作業である。
どのような個人情報を取得しており、今後も継続してどのような個人情報を取得しうるかを把握するために、以下の観点から整理することが有用と考える。
| ① | 情報主体 |
事業者が保有する主たる個人情報は、(1)従業員、(2)取引先・顧客、(3)仕入先・ベンダー(顧客や仕入先が法人である場合はその関係者・担当者)に関連するものである。 したがって、まずは保有する個人情報をこの3つに大別し、整理することが有用である。 |
|---|---|---|
| ② | 取得方法 |
タイの個人情報保護法は、個人情報の収集にあたり、個人情報を保有する主体(情報主体)に対して、利用目的の通知を行い、収集にあたっての同意を取得することが原則として求められる。 したがって、このような通知や同意の取得といった対応を直接情報主体に対して行いうるかを把握するために、取得した個人情報は、直接情報主体より取得したものなのか、第三者を通じて間接的に取得したものなのかを整理しておくべきといえる。 |
| ③ | 種類 | タイの個人情報保護法上、個人情報がセンシティブデータか否かで要求される対応が異なりうる。したがって、どのような個人情報を取得したのかを整理しておくべきといえる。 |
| ④ | 取得・保管部署 | 個人情報を取得・保管する際に適切な手続を踏んでいるかを把握するために、個人情報を取得し、保管する部署を特定しておくべきといえる。 |
次に、どのように個人情報を利活用しているかについては、以下の観点から整理をすることが有用と考える。
| ① | 利用目的・方法 | 利用目的・方法により、個人情報収集時に行う利用目的の通知の内容が異なりうるため、個人情報毎の利用目的・方法は確認しておくべきである。 |
|---|---|---|
| ② | 域外移転の有無 | タイ国外へ個人情報を移転させるにあたっては法令上特定の手続を経ることが原則として求められているため、域外移転の有無は確認する必要がある。 |
| ③ | 第三者への提供の有無 | 第三者への提供の有無は、個人情報収集時に行う利用目的の通知の内容に影響する。また、記帳代行業者等に個人情報を提供する場合には、所定の手続を経ることが原則として求められている。これらの観点から個人情報の第三者への提供の有無は確認する必要がある。 |
| ④ | 保存期間 | 法令上、個人情報の保存期間は把握していることが求められているため、現状の保存期間の運用は確認しておく必要がある。 |
上記のプロセスを経て、どのような対応をする必要があるかを検討することとなるが、まずは個人情報保護法を遵守するにあたって必要となる書面を整備するべきである。一般的には、以下の書面を準備することが必要となる。
| ① | プライバシーポリシー |
『個人情報収集時に個人情報の利用目的を通知する書面』
|
|---|---|---|
| ② | 同意書 |
『個人情報収集時に情報主体より取得する同意に関する書面』
|
| ③ | 情報処理契約 |
『記帳代行を行う事業者等、情報処理者に分類される事業者との間で締結する契約』
|
| ④ | 個人情報管理台帳 |
『事業者が保有する個人情報の記録を保管する台帳』
|
| ⑤ | 個人情報保護規程・マニュアル |
『個人情報の取扱い・運用方法等の従業員向けの規程』
|
| ⑥ | 情報主体の権利行使に関する申請書 |
『情報主体が事業者に対して同意の撤回や個人情報の開示・修正・抹消等を申告・要求するにあたって使用する書面』
|
上記に加え、個人情報保護法上、主として以下の対応が要請されている。この要請に対応できる体制が整えられているかを確認するべきである。
| ① | 安全管理措置 | 管理・保管している個人情報への不正なアクセスの防止、不用意な滅失等の事故の防止等に配慮した、適切な安全管理措置を講じることが求められている。 |
|---|---|---|
| ② | DPOの選任 | 一定数以上の大量の個人情報を取り扱ったり、センシティブデータの収集を主たる活動としていたりする場合には、個人情報管理の責任者としてData Protection Officer(DPO)を選任することが求められている。 | ③ | 情報漏洩時の対応 | 情報漏洩が発生した場合、発見時から可能な限り72時間以内での当局へ通知することや被害を受けた情報主体へ必要に応じて通知すること等の対応を行うことが求められている。 |
上記のステップを経て法令遵守に向けた体制が整えられたら、この体制を従業員・関係者が適切に運用できるようにするべきである。社内の認識を向上させる方策として、個人情報を取り扱う可能性のある従業員・関係者向けに社内研修を行うことが一案として考えられる。
個人情報保護法は、詳細や重要な点について下位規則に委ねるような建付になっているものの、本稿執筆時点(2022年6月1日時点)で、施行されている下位規則はない。さはさりながら、下位規則案が徐々に公表され始めているため、策定の進捗状況や、今後動向を注目するべき事項について簡単に紹介したい。
| ① | 安全管理措置 | 下位規則案が2022年5月に公表されている。現状の下位規則案は抽象的な規定が多いため、更なる検討を経て具体的な要求事項(例えば、他の法域にて要求されている、保持している個人情報の暗号化措置等)が明記されることが期待される。 |
|---|---|---|
| ② | 記録の保存の例外 | 下位規則案が2022年5月に公表されている。現状の下位規則案上、中小の事業者の記録保存義務が免除されている。なお、駐在員事務所等は明確には免除の対象として挙げられていないため、これらの事業者の取扱いが明確化されることが期待される。 |
| ③ | 域外移転の手続 | 十分性認定を受けた国への個人情報の移転は、情報主体の同意なく行うことが許容されているところ、個人情報保護委員会より十分性認定を受けた国のリストを公表することが予定されている。 |
| ④ | DPOの選任義務の要件 | 1年で5万件以上の個人情報又は5,000件以上のセンシティブデータを処理する場合を基準とすることが提案されている。 |
| ⑤ | 情報漏洩時の対応 | 当局へ通知する場合の具体的手続は下位規則にて制定されることとされている(現状、何らの規定もないため、情報漏洩時に当局へ通知する方法や通知するべき内容が明確化されていない。)。 |
上述のとおり、重要な下位規則についても未制定の状況にあるため、制定に進捗がみられる場合には、随時情報発信をしていく予定である。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2025年4月)
三笘裕、伊藤環(共著)
(2025年4月)
宮下優一
酒井嘉彦
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
(2025年4月)
三笘裕、伊藤環(共著)
酒井嘉彦
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
(2025年3月)
金田聡
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
逵本麻佑子、内海裕也、木原慧人アンドリュー(共著)
(2025年3月)
関口朋宏(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
酒井嘉彦
(2025年4月)
梶原啓
(2025年3月)
金田聡
(2025年3月)
石原和史
今野庸介
(2025年3月)
中翔平
箕輪俊介
(2025年1月)
箕輪俊介、ヨティン・インタラプラソン、ポンパーン・カターイクワン、ノパラック・ヤンエーム、プンニーサー・ソーンチャンワット、サリン・コンパックパイサーン(共著)