個人情報保護法～完全施行から1年を振り返る～（タイ）

2. 下位規則・ガイドラインの制定動向

　この1年で制定された主として事業者に影響のあるPDPAの下位規則・ガイドラインを纏めると以下のとおりとなる。

　上記の他、未制定ではあるものの、2022年9月29日に個人データの域外移転に関する下位規則案が公表され、パブリックヒアリングに付された。もっとも、本稿執筆時点（2023年7月18日時点。以下同じ。）では未だ制定に至っていない。また、2023年7月13日にデータプロテクションオフィサー（「DPO」）の選任に関連する下位規則案が公表され、パブリックヒアリングに付されている。

3. 下位規則・ガイドラインの重要ポイント

　上記2で取り上げた下位規則・ガイドラインの中から実務上の影響が比較的大きいと考えられる事項をいくつか取り上げる。

(1) 小規模事業者の個人データの処理活動の記録の作成・保存義務の一部免除

　PDPA上、データ管理者は、原則として、個人データの処理活動の記録の作成・保存を行うことが求められているが、一定の小規模事業者については、請求の拒絶に関する事項を除き、その記録の作成・保存義務が免除される場合がある。この点、下位規則（小規模事業者）によれば「中小企業振興法に定める中小企業」※2は、小規模事業者に該当することが明らかになったため、請求の拒絶に関する事項を除き、記録の作成・保存義務が免除される（但し、データ主体の権利・自由に対するリスクが高い、センシティブデータ※3を取り扱っている、又は個人データの収集が不定期ではない事業に従事している場合は除く。）。

(2) 個人データの侵害発生時

• 「個人データの侵害」とは
  PDPAにおいては、データ管理者は、個人データの侵害を認識した後、遅滞なく（実行可能であれば、72時間以内に）個人情報保護委員会に対し、その旨を通知する義務を負い（データ主体の権利・自由に対してリスクを生じさせる可能性が低い場合を除く。）、また、個人データの侵害がデータ主体の権利・自由に対して高度のリスクを生じさせる可能性がある場合には、データ主体に対しても、遅滞なくその旨及び是正措置を通知する必要がある。下位規則（個人データ侵害）においては、「個人データの侵害（Personal Data Breach）」の内容※4が明らかになっているが、単なる個人データの外部漏洩のみならず、個人データに対する不正なアクセスや改変行為等、サイバー攻撃を受けた場合も「個人データの侵害（Personal Data Breach）」に該当する。

• 通知の遅延申請
  前述のとおり、個人データの侵害を認識したデータ管理者は、基本的には72時間以内に個人情報保護委員会に対し、その旨を通知する義務を負う。もっとも、下位規則（個人データ侵害）においては、かかる通知を遅延せざるを得ない事情がある場合、データ管理者は、72時間以内の通知義務を免除するための申請を行うことが可能となっている。

• 通知義務が免除される場合
  前述のとおり、個人データの侵害によりデータ主体の権利・自由に対してリスクを生じさせる可能性が低い場合には、個人情報保護委員会への通知義務自体が発生しない。この点、下位規則（個人データ侵害）によれば、データ管理者は、個人データの侵害がデータ主体の権利・自由に対してリスクを生じさせる可能性が低いことを示す情報等を個人情報保護委員会に対して提出する義務がある。そのため、個人データの侵害によりデータ主体の権利・自由に対してリスクを生じさせる可能性が低いと判断した場合であっても、事実上、個人情報保護委員会に対してその内容を通知することが求められている点で、データ管理者の通知義務は何ら免除されていないようにも読める。やや疑問のある規定であり、個人情報保護委員会の今後の運用を引き続き注視していく必要がある。

(3) プライバシーポリシーへの影響

　実務上、データ管理者がデータ主体から同意を取得して、個人データを収集するにあたっては、利用目的等の通知等のためにプライバシーポリシーを作成し、交付・通知することが一般的である。この点に関して、同意取得ガイドラインにおいては、利用目的の通知は、一つの同意要求の中で包括的に行われてはならず、複数のカテゴリーの目的をカバーする形で行われてはならないと記載されている。そのため、実務的には、利用目的をカテゴリー毎に分類した上で、各カテゴリーについてチェックボックス欄を設けてそれぞれについて同意を求める形式を採用している場合もある。また、プライバシーポリシーとの関連では、センシティブデータを収集する場合には、収集予定のセンシティブデータの内容を収集予定の他の個人データとは別項目で明示することによって、どのような個人データがセンシティブデータとして収集されるかを明確にしている例も多く見られる。これは、PDPA上、センシティブデータの収集の際には単なる同意ではなく、明示的な同意が必要とされていることを意識したものと思われる。

4. 未制定の下位規則がもたらす影響等

(1) 個人データの域外移転の方法

　PDPA上、データ管理者が個人データを外国に移転する場合の方法はいくつか規定されており、具体的な方法は下位規則に委ねられているものもあるが、下位規則の制定は進んでいない。本稿執筆時点で実際に利用可能な方法は、データ主体の同意を取得して移転する方法（データ主体に対して、（十分性認定を受けていないが故に）移転先の国の個人データ保護基準が不十分であることについての通知を行うことが条件）となる。PDPA上では、十分性認定を受けた国への移転の場合には、データ主体の同意なく個人データを国外に移転することが可能であるが、十分性認定を受けた国を明らかにした下位規則（いわゆるホワイトリスト）が制定されていないため、利用できない。また、前述のとおり、2022年9月29日に個人データの域外移転に関する下位規則案が公表されている。この中では、当局より、拘束的企業準則（「BCR」）の承認を受けることにより、外国にある関連会社等へ個人データを移転することを可能とすることが想定されている（なお、BCRの利用はPDPA上、域外移転の一つの方法として規定されている。）。また、PDPA上は明示的に許容されていないものの、かかる下位規則案の中では、移転元と移転先が標準契約条項（SCC）を締結することで、域外移転を可能とすることが予定されている。もっとも、前述のとおり、本稿執筆時点でかかる下位規則は制定されていない。

(2) PDPAの域外適用時の代理人の選任義務

　PDPA上、外国法人が、タイ国内に所在する者に対して商品やサービスを提供する場合、又はタイ国内の者の行動の監視を行う場合※5において、タイ国内に所在する個人データを収集、利用又は開示するときには、当該外国法人にPDPAが適用される。この場合、外国法人は、原則として、データ管理者に代わって、データ主体や当局からの問い合わせに対する窓口対応を行うことを主たる業務とする代理人（タイ国内に所在する者であることを要する。）を選任する義務がある。他方で、センシティブデータを取り扱わず、かつ大量の個人データの処理を行わないときには、例外的に代理人の選任義務が免除されている。本稿執筆時点では、代理人の選任義務が免除されるか否かの一つのメルクマールとなる「大量の個人データの処理」の内容を明確にした下位規則が制定されていないため、上記例外要件に依拠できるか否かの判断が付かない以上、原則通り代理人を選任する義務があると整理するのが保守的な対応と考えられる。実務的にはタイにグループ会社が存在する場合には、そのグループ会社に代理人になってもらうことで解決できるものの、グループ会社が存在しない場合には、外部の法律事務所やコンサルタント会社の起用を検討することになるため、費用を要することになる。

(3) DPOの選任要否

　PDPA上、データ管理者は、①個人情報保護委員会が定める大量の個人データを取り扱うために、個人データ等の定期的な監視を要する場合、又は②データ管理者の主たる活動がセンシティブデータの収集等である場合には、DPOを選任する義務がある。これらの要件の具体的内容や資格要件は下位規則で制定されることが想定されているが、本稿執筆時点では、これらの下位規則は制定されていない。タイにおける日系企業との関係では、センシティブデータを主として取り扱う事業は多くないと考えられるため、主として上記①の要件該当性がDPOの選任要否を左右することになるが、下位規則が未制定の状況下においては、その判断ができないことや実際の執行リスクが低いことを勘案して、実務的には、DPOの選任を見送っているケースも見られる。この点に関し、前述のとおり2023年7月13日に上記①の要件の判断基準を示す下位規則案が公表され、パブリックヒアリングに付されている。DPOの選任に関する下位規則においては「大量の個人データ」の閾値が定められることが期待されていたが、当該下位規則案においては、閾値の定めはなく、「大量の個人データ」の処理の該当性の判断のためには、取り扱う個人データの数、種類及び期間並びに個人データを取り扱う国等を考慮する旨定められているのみであり、具体的な指針となっているとは言い難い。また、「個人データ等の定期的な監視を要する場合」として、事業者の活動内容が、個人データの追跡、分析及び行動傾向のプロファイルを伴う場合が挙げられており、例として、公共交通機関のICカード又はクレジットカードの発行会社、電気通信事業者、警備会社による個人データの処理が定められている。もっとも、これらの活動は個人データの定期的な監視を要する場合の典型例を定めたものといえ、通常の事業会社による個人データの処理が「個人データ等の定期的な監視を要する場合」に該当するかの判断の際の指針となり得るかは疑問が残る。今後、パブリックヒアリングを経て、上記各要件に関し、より具体的な基準が明示されることが期待される。

5. まとめ

　PDPAが完全施行されてから約1年が経過し、徐々に下位規則が整備されてきているものの、本稿で述べたとおり、域外移転の方法に関する整備が不十分であり、また、代理人・DPOの選任要否についても、現行法の下では不明確な点が依然として残るため、その判断基準を具体的に示した下位規則・ガイドラインの制定が待たれるところである。また、PDPAの完全施行前には、個人情報保護委員会の内部で（PDPA上の明示的な根拠規定はないものの）自動化された処理に基づく意思決定や個人データ保護影響評価（DPIA）に関する規制も検討されていたようであるが、PDPAの完全施行以降、これらについて個人情報保護委員会の方針や検討状況は明らかになっていない。今後も未制定の下位規則は随時制定されることが予想されるため、実務的には、継続的に下位規則・ガイドラインの制定・施行状況をキャッチアップしながら、既存のプライバシーポリシーや実務フローへの影響を検討すべきであろう。