icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

個人情報保護法:①全面施行にあたってのチェックポイントと②下位規則の制定状況を踏まえた今後の注意点(タイ)

NO&T Asia Legal Update アジア最新法律情報

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

2020年から全面施行が予定されていながら二度に渡り施行が延期されていたタイの個人情報保護法が、2022年6月1日に漸く全面的に施行された。実務的にどのような対応が必要かについては、佐々木弁護士及び中弁護士が行ったウェビナーでも詳細を解説しているため、同ウェビナーも併せて視聴されたいが、本稿では、全面施行を迎えるにあたっておさえておくべき事項について、ポイントを絞って紹介をしたい。

1. 全面施行にあたってのチェックポイント

STEP1:個人情報の取得ルート・利活用の方法を把握しているか

まず、どのような対応を行う必要があるかを把握するために、現状、どのような個人情報を取得しており、どのような形で利活用をしているのかを把握する必要がある。いわゆる、データマッピングといわれる作業である。

どのような個人情報を取得しており、今後も継続してどのような個人情報を取得しうるかを把握するために、以下の観点から整理することが有用と考える。

情報主体 事業者が保有する主たる個人情報は、(1)従業員、(2)取引先・顧客、(3)仕入先・ベンダー(顧客や仕入先が法人である場合はその関係者・担当者)に関連するものである。
したがって、まずは保有する個人情報をこの3つに大別し、整理することが有用である。
取得方法 タイの個人情報保護法は、個人情報の収集にあたり、個人情報を保有する主体(情報主体)に対して、利用目的の通知を行い、収集にあたっての同意を取得することが原則として求められる。
したがって、このような通知や同意の取得といった対応を直接情報主体に対して行いうるかを把握するために、取得した個人情報は、直接情報主体より取得したものなのか、第三者を通じて間接的に取得したものなのかを整理しておくべきといえる。
種類 タイの個人情報保護法上、個人情報がセンシティブデータか否かで要求される対応が異なりうる。したがって、どのような個人情報を取得したのかを整理しておくべきといえる。
取得・保管部署 個人情報を取得・保管する際に適切な手続を踏んでいるかを把握するために、個人情報を取得し、保管する部署を特定しておくべきといえる。

次に、どのように個人情報を利活用しているかについては、以下の観点から整理をすることが有用と考える。

利用目的・方法 利用目的・方法により、個人情報収集時に行う利用目的の通知の内容が異なりうるため、個人情報毎の利用目的・方法は確認しておくべきである。
域外移転の有無 タイ国外へ個人情報を移転させるにあたっては法令上特定の手続を経ることが原則として求められているため、域外移転の有無は確認する必要がある。
第三者への提供の有無 第三者への提供の有無は、個人情報収集時に行う利用目的の通知の内容に影響する。また、記帳代行業者等に個人情報を提供する場合には、所定の手続を経ることが原則として求められている。これらの観点から個人情報の第三者への提供の有無は確認する必要がある。
保存期間 法令上、個人情報の保存期間は把握していることが求められているため、現状の保存期間の運用は確認しておく必要がある。

STEP2:必要書類の整備は完了しているか

上記のプロセスを経て、どのような対応をする必要があるかを検討することとなるが、まずは個人情報保護法を遵守するにあたって必要となる書面を整備するべきである。一般的には、以下の書面を準備することが必要となる。

プライバシーポリシー 『個人情報収集時に個人情報の利用目的を通知する書面』

  • ・ 情報主体毎に通知するべき内容が異なりうるので、従業員用や顧客用といった複数の様式を準備することが望ましい。
同意書 『個人情報収集時に情報主体より取得する同意に関する書面』

  • ・ 情報主体毎に取得するべき同意の内容が異なりうるので、従業員用や顧客用といった複数の様式を準備することが望ましい。
  • ・ 全面施行後に採用する従業員については、雇用契約を通じて同意を取得することも考えられる。
情報処理契約 『記帳代行を行う事業者等、情報処理者に分類される事業者との間で締結する契約』

  • ・ 上述のとおり、情報処理者に分類される事業者に個人情報を提供する場合には、個人情報の保護に配慮した所定の手続を経ることが原則として求められており、その一環として所定の規定を設けた情報処理契約を締結することが求められている。
個人情報管理台帳 『事業者が保有する個人情報の記録を保管する台帳』

  • ・ 個人情報を、個人情報の内容、情報主体、収集目的、保管期間、管理方法、管理場所等に基づいて整理した上で個人情報管理台帳を作成し、保存することが求められている。
  • ・ 小規模事業者には一部適用除外が将来的に認められる可能性がある。
個人情報保護規程・マニュアル 『個人情報の取扱い・運用方法等の従業員向けの規程』

  • ・ 就業規則に組み込む場合もあれば、独立した規則を制定する場合もある。
情報主体の権利行使に関する申請書 『情報主体が事業者に対して同意の撤回や個人情報の開示・修正・抹消等を申告・要求するにあたって使用する書面』

  • ・ 個人情報保護法が全面施行される前に取得した個人情報は、原則として情報主体が事業者の個人情報の収集に同意したものとみなされる。そのため、そのような情報主体に対して同意を撤回できる機会を与えるために、同意の撤回方法については公示をすることが求められている。

STEP3:法令上要求される事項への対応がなされているか

上記に加え、個人情報保護法上、主として以下の対応が要請されている。この要請に対応できる体制が整えられているかを確認するべきである。

安全管理措置 管理・保管している個人情報への不正なアクセスの防止、不用意な滅失等の事故の防止等に配慮した、適切な安全管理措置を講じることが求められている。
DPOの選任 一定数以上の大量の個人情報を取り扱ったり、センシティブデータの収集を主たる活動としていたりする場合には、個人情報管理の責任者としてData Protection Officer(DPO)を選任することが求められている。
情報漏洩時の対応 情報漏洩が発生した場合、発見時から可能な限り72時間以内での当局へ通知することや被害を受けた情報主体へ必要に応じて通知すること等の対応を行うことが求められている。

STEP4:構築した体制が適切に運用できるように社内で知識の共有がなされているか

上記のステップを経て法令遵守に向けた体制が整えられたら、この体制を従業員・関係者が適切に運用できるようにするべきである。社内の認識を向上させる方策として、個人情報を取り扱う可能性のある従業員・関係者向けに社内研修を行うことが一案として考えられる。

2. 下位規則の制定状況

個人情報保護法は、詳細や重要な点について下位規則に委ねるような建付になっているものの、本稿執筆時点(2022年6月1日時点)で、施行されている下位規則はない。さはさりながら、下位規則案が徐々に公表され始めているため、策定の進捗状況や、今後動向を注目するべき事項について簡単に紹介したい。

安全管理措置 下位規則案が2022年5月に公表されている。現状の下位規則案は抽象的な規定が多いため、更なる検討を経て具体的な要求事項(例えば、他の法域にて要求されている、保持している個人情報の暗号化措置等)が明記されることが期待される。
記録の保存の例外 下位規則案が2022年5月に公表されている。現状の下位規則案上、中小の事業者の記録保存義務が免除されている。なお、駐在員事務所等は明確には免除の対象として挙げられていないため、これらの事業者の取扱いが明確化されることが期待される。
域外移転の手続 十分性認定を受けた国への個人情報の移転は、情報主体の同意なく行うことが許容されているところ、個人情報保護委員会より十分性認定を受けた国のリストを公表することが予定されている。
DPOの選任義務の要件 1年で5万件以上の個人情報又は5,000件以上のセンシティブデータを処理する場合を基準とすることが提案されている。
情報漏洩時の対応 当局へ通知する場合の具体的手続は下位規則にて制定されることとされている(現状、何らの規定もないため、情報漏洩時に当局へ通知する方法や通知するべき内容が明確化されていない。)。

上述のとおり、重要な下位規則についても未制定の状況にあるため、制定に進捗がみられる場合には、随時情報発信をしていく予定である。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

コーポレートに関連する著書/論文

一般企業法務に関連する著書/論文

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

タイに関連する著書/論文

× 閉じる
業務分野を選択
× 閉じる