中翔平 Shohei Naka
アソシエイト
バンコク
NO&T Asia Legal Update アジア最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
ニュースレター
個人情報保護法違反を理由に制裁金が課された初めての事例(タイ)(2024年9月)
タイの個人情報保護法(以下「PDPA」という。)には、データ管理者が個人データを国外の受領者に移転する(いわゆる域外移転)方法がいくつか規定されているが、その具体的内容の多くは、下位規則に委ねられていた。2023年12月25日に個人データの域外移転に関して二つの下位規則(以下、個別に又は総称して「本下位規則」という。)が制定された。域外移転に関する下位規則の草案は2022年9月に一度公表され、パブリックヒアリングに諮られた後、進展がなかったが(内容の大幅な変更と共に)今般ようやく制定に至った。本下位規則は、2024年3月24日に施行される。タイの日系現地法人においては、自ら取得した個人データを親会社である日本・シンガポール等に移転する場合が想定され、実務上の意義が大きいと考えられるため、本稿ではその概要を説明する。
PDPA上、データ管理者が個人データを国外の受領者に移転するためには、大要、以下のいずれかの要件を満たす必要がある。
これまでは、上記(1)乃至(3)にそれぞれ定める十分なデータ保護基準の内容、個人データの保護に関するポリシーの承認基準及び適切な保護措置の内容が明確ではなかったことから、実務的には、上記(1)乃至(3)のルートを利用した個人データの域外移転を行うことは困難であった。そのため、実務上、域外移転は、上記(5)に定めるデータ主体との間の契約の履行のために必要といえる場合等の例外的な場合でない限り、上記(4)に定めるデータ主体の同意(及び受領者の所在国のデータ保護基準の不十分性の通知)に依拠して行われていた。本下位規則は、上記(1)乃至(3)の具体的な内容を定めるものである。
本下位規則によれば、個人データの受領者の所在国が十分なデータ保護基準を有しているか否かを判断するにあたっては、PDPAに相当する個人データの保護に関する法制度・法的措置の存在(データ主体の権利その他の救済措置を含む。)とかかる法制度等を執行する管轄当局の存在の有無を考慮するとされている。PDPAは欧州のGDPRに類似した建付になっており、十分性認定基準もGDPRとの類似性が認められることから、同様の建付を取っている国又は既にGDPR上、十分性認定を受けている国(日本を含む。)は十分性認定基準を充足しやすいと思われる。本下位規則によれば、個人情報保護委員会は、これらの要素を考慮して十分性認定基準を充足する該当国を指定することができることになっている。そのため、十分性認定基準に基づいて安定的に域外移転を行うためにも、今後、個人情報保護委員会が十分性認定基準を満たす該当国のリスト(いわゆるホワイトリスト)を指定して公表することが期待される(2024年2月1日時点では未公表)。
PDPAの規定によれば、海外の親会社、子会社又は関連会社等に対して個人データを移転する場合には、個人データの保護に関するポリシー(拘束的企業準則(Binding Corporate Rule)。以下「BCR」という。)を策定し、個人情報保護委員会の承認を得ることで、BCRの適用に服するこれらの親会社、子会社及び関連会社等の間で個人データを移転することが可能とされていた。本下位規則では以下のとおりBCRの承認の基準が具体的に示されている。
上記基準はやや抽象的であることや個人データの保護に関する規程・方針を作成する場合には、通常入れることが多い内容であることに鑑みると、これをもってBCRの承認の基準が具体的になったとは言い難く、今後の実務の集積が待たれる。また、BCRの承認にかかる所要期間も特に明らかにされていない。
受領者の所在国が十分性認定基準を充足していない又は十分性認定基準を充足しているか明確ではない場合であって、BCR基準も利用できないときには、保護措置基準により、個人データを域外移転することを検討することになる。本下位規則の制定により、保護措置基準を利用した方法として、①契約に基づく場合、②認証制度を利用する場合及び③二国間で合意された文書・契約に基づいたデータ保護措置を利用する場合があることが明確に規定された。いずれの保護措置基準も上記4で述べたBCR基準と概ね同様の基準を満たすことが求められている。この中でも今後特に利用頻度が上がると考えられるのが、①の契約に基づく場合であろう。これは、個人データの送信者と外国にいる受領者の間で本下位規則で要求される個人データの保護に関する条項を規定することで個人データの送信者から個人データの受領者へ域外移転を可能とする制度である。GDPRにおける標準契約条項(SCC)の制度を参考に創設されたと考えられる。
本下位規則上、契約に基づく域外移転を行う場合には、以下のいずれかの方法を利用することが可能である。
本下位規則によれば、モデル条項を利用する場合には、原則としてかかるモデル条項をそのまま利用することが求められており、変更を行うことが許容されていない。但し、参照法令の形式的な変更や安全管理措置の追加等、個人データの保護を低下させる又はデータ主体の権利・自由を害するものでなければ、モデル条項に加筆・修正を加えることも可能である。例えば、既にGDPR対応のためにGDPR準拠の標準契約条項を採用した経験のある企業では、その内容は既に受け入れ可能である又はそのための体制を整備しやすいと考えられるため、GDPRに基づく標準契約条項を流用するケースが考え得る。
本下位規則では、モデル条項を利用するためには、データ主体への域外移転の通知、必要最低限の域外移転、データ主体によるデータ利用等の中止・停止権等に関する措置等を含めることが義務づけられている。この点について、個人情報保護委員会事務局は、各モデル条項に関する情報及び詳細を別途ウェブサイトで公表することになっている。既存のASEANモデル契約条項とGDPRに基づく標準契約条項が修正を要することなくPDPAに基づく域外移転において利用できるか否かもかかる公表を通じて明らかにされることが予想される。2024年2月1日時点では、かかる情報及び詳細は未公表である。
本下位規則では、域外移転の規制対象となる個人データの移転とは、データ管理者等が、物理的又はコンピュータシステム等によるか否かに拘わらず、外国に所在する者に対して、個人データを移転することと定義している。もっとも、本下位規則により、送信者以外の外部者が個人データにアクセスすることのできないようなデータ移転の中継点としてのコンピュータシステム間のデータ移転やデータ保存先への移転は域外移転の規制対象となる個人データの国外への移転には該当しないことが明らかにされた。規制対象外となる個人データの国外への移転として、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS)、Data Storage as a Service(DSaaS)等のクラウドサービスを利用し、かつ送信者以外の外部者がかかるクラウドにアクセスできない場合(すなわち情報の自己利用に留まる場合)が挙げられている。従前は、コンピュータサーバー自体が海外に存在する場合に個人データの国外への移転があったものと見做すか否かについて明確な判断基準がなかった。本下位規則により、送信者以外の外部者によるアクセス可否が域外移転の有無を判断する上で、一つの重要なメルクマールになることが明確に示されたといえよう。
本下位規則の制定により、域外移転の方法として、データ主体の同意を得る方法以外の選択肢が増えたことの意義は大きいと考えられる。前述のとおり、ホワイトリスト国が未公表であったり、モデル条項を利用する場合における具体的対応方法が未公表であったり、まだ不完全な点はあるものの、これらは今後公表されることが期待される。また、本下位規則により域外移転の方法が整備されたことによって、利用目的等の通知に用いられるプライバシーポリシー・プライバシーノーティスやデータ処理に関する記録の内容の見直しも併せて行うべきであると考えられる。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
箕輪俊介、中翔平(共著)
(2024年8月)
殿村桂司、カオ小池ミンティ、灘本宥也、山本安珠(共著)
水越政輝、小松諒、渡辺翼(共著)
(2024年7月)
山本匡、椎名紗彩(共著)
箕輪俊介、中翔平(共著)
逵本麻佑子、木原慧人アンドリュー(共著)
塚本宏達、緒方絵里子、伊藤伸明、中村勇貴(共著)
山本匡
箕輪俊介、中翔平(共著)
山本匡
福井信雄、小宮千枝(共著)
(2024年8月)
川合正倫、万鈞剣(共著)
箕輪俊介、中翔平(共著)
佐々木将平
(2024年5月)
中翔平
箕輪俊介