icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

個人データの域外移転に係る下位規則の制定(タイ)

NO&T Asia Legal Update アジア最新法律情報

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

1. はじめに

 タイの個人情報保護法(以下「PDPA」という。)には、データ管理者が個人データを国外の受領者に移転する(いわゆる域外移転)方法がいくつか規定されているが、その具体的内容の多くは、下位規則に委ねられていた。2023年12月25日に個人データの域外移転に関して二つの下位規則(以下、個別に又は総称して「本下位規則」という。)が制定された。域外移転に関する下位規則の草案は2022年9月に一度公表され、パブリックヒアリングに諮られた後、進展がなかったが(内容の大幅な変更と共に)今般ようやく制定に至った。本下位規則は、2024年3月24日に施行される。タイの日系現地法人においては、自ら取得した個人データを親会社である日本・シンガポール等に移転する場合が想定され、実務上の意義が大きいと考えられるため、本稿ではその概要を説明する。

2. PDPA上のルール

 PDPA上、データ管理者が個人データを国外の受領者に移転するためには、大要、以下のいずれかの要件を満たす必要がある。

  • (1) 個人データの受領者の所在国が十分なデータ保護基準を有しており、かつ、かかる個人データの移転が個人情報保護委員会の定めるルールに従って行われる場合(以下、かかる方法を「十分性認定基準」という。)
  • (2) 海外の親会社、子会社又は関連会社等に対する移転の場合、個人情報保護委員会事務局から承認を受けた個人データの保護に関するポリシーに基づくとき(以下、かかる方法を「BCR基準」という。)
  • (3) 個人情報保護委員会が定めるルール及び方法に従ってデータ主体の権利行使を可能にする適切な保護措置を講じる場合(以下、かかる方法を「保護措置基準」という。)
  • (4) 個人データの受領者の所在国の個人データ保護基準が不十分であることについての通知及びデータ主体の同意
  • (5) その他PDPAに定める事由に該当する場合(法令遵守、契約の履行、生命・身体・健康危害の防止等、又は重大な公共の利益のため)

 これまでは、上記(1)乃至(3)にそれぞれ定める十分なデータ保護基準の内容、個人データの保護に関するポリシーの承認基準及び適切な保護措置の内容が明確ではなかったことから、実務的には、上記(1)乃至(3)のルートを利用した個人データの域外移転を行うことは困難であった。そのため、実務上、域外移転は、上記(5)に定めるデータ主体との間の契約の履行のために必要といえる場合等の例外的な場合でない限り、上記(4)に定めるデータ主体の同意(及び受領者の所在国のデータ保護基準の不十分性の通知)に依拠して行われていた。本下位規則は、上記(1)乃至(3)の具体的な内容を定めるものである。

3. 十分性認定基準

 本下位規則によれば、個人データの受領者の所在国が十分なデータ保護基準を有しているか否かを判断するにあたっては、PDPAに相当する個人データの保護に関する法制度・法的措置の存在(データ主体の権利その他の救済措置を含む。)とかかる法制度等を執行する管轄当局の存在の有無を考慮するとされている。PDPAは欧州のGDPRに類似した建付になっており、十分性認定基準もGDPRとの類似性が認められることから、同様の建付を取っている国又は既にGDPR上、十分性認定を受けている国(日本を含む。)は十分性認定基準を充足しやすいと思われる。本下位規則によれば、個人情報保護委員会は、これらの要素を考慮して十分性認定基準を充足する該当国を指定することができることになっている。そのため、十分性認定基準に基づいて安定的に域外移転を行うためにも、今後、個人情報保護委員会が十分性認定基準を満たす該当国のリスト(いわゆるホワイトリスト)を指定して公表することが期待される(2024年2月1日時点では未公表)。

4. BCR基準

 PDPAの規定によれば、海外の親会社、子会社又は関連会社等に対して個人データを移転する場合には、個人データの保護に関するポリシー(拘束的企業準則(Binding Corporate Rule)。以下「BCR」という。)を策定し、個人情報保護委員会の承認を得ることで、BCRの適用に服するこれらの親会社、子会社及び関連会社等の間で個人データを移転することが可能とされていた。本下位規則では以下のとおりBCRの承認の基準が具体的に示されている。

  • ● BCRが法的に有効、かつ執行可能性があること。
  • ● 個人データの保護を認識していることを示す条件が含まれていること(データ主体の権利・異議申立て等)。
  • ● 関連するデータ保護法制と適合したデータ保護措置・安全管理措置を有していること。

 上記基準はやや抽象的であることや個人データの保護に関する規程・方針を作成する場合には、通常入れることが多い内容であることに鑑みると、これをもってBCRの承認の基準が具体的になったとは言い難く、今後の実務の集積が待たれる。また、BCRの承認にかかる所要期間も特に明らかにされていない。

5. 保護措置基準

 受領者の所在国が十分性認定基準を充足していない又は十分性認定基準を充足しているか明確ではない場合であって、BCR基準も利用できないときには、保護措置基準により、個人データを域外移転することを検討することになる。本下位規則の制定により、保護措置基準を利用した方法として、①契約に基づく場合、②認証制度を利用する場合及び③二国間で合意された文書・契約に基づいたデータ保護措置を利用する場合があることが明確に規定された。いずれの保護措置基準も上記4で述べたBCR基準と概ね同様の基準を満たすことが求められている。この中でも今後特に利用頻度が上がると考えられるのが、①の契約に基づく場合であろう。これは、個人データの送信者と外国にいる受領者の間で本下位規則で要求される個人データの保護に関する条項を規定することで個人データの送信者から個人データの受領者へ域外移転を可能とする制度である。GDPRにおける標準契約条項(SCC)の制度を参考に創設されたと考えられる。

(1) 契約に基づく域外移転の類型

 本下位規則上、契約に基づく域外移転を行う場合には、以下のいずれかの方法を利用することが可能である。

  • 送信者と受領者の間で締結する契約に以下の事項を含む方法

    • ◇ 個人データ保護法制の遵守
    • ◇ 安全管理措置の整備
    • ◇ 個人データ侵害の通知義務
    • ◇ データ主体の法的救済措置
    • ◇ (受信者がデータ処理者の場合)送信者たるデータ管理者の指示に従う義務、データ主体の権利行使、データの削除等の義務
  • 送信者と受領者の間で締結する契約に以下のいずれかに定める契約条項(以下、総称して「モデル条項」という。)を含む方法

    • ◇ ASEANモデル契約条項
    • ◇ GDPRに基づく標準契約条項
    • ◇ 個人情報保護委員会が定める標準契約条項

(2) モデル条項の留意点

  • モデル条項の変更

    本下位規則によれば、モデル条項を利用する場合には、原則としてかかるモデル条項をそのまま利用することが求められており、変更を行うことが許容されていない。但し、参照法令の形式的な変更や安全管理措置の追加等、個人データの保護を低下させる又はデータ主体の権利・自由を害するものでなければ、モデル条項に加筆・修正を加えることも可能である。例えば、既にGDPR対応のためにGDPR準拠の標準契約条項を採用した経験のある企業では、その内容は既に受け入れ可能である又はそのための体制を整備しやすいと考えられるため、GDPRに基づく標準契約条項を流用するケースが考え得る。

  • モデル条項の内容

    本下位規則では、モデル条項を利用するためには、データ主体への域外移転の通知、必要最低限の域外移転、データ主体によるデータ利用等の中止・停止権等に関する措置等を含めることが義務づけられている。この点について、個人情報保護委員会事務局は、各モデル条項に関する情報及び詳細を別途ウェブサイトで公表することになっている。既存のASEANモデル契約条項とGDPRに基づく標準契約条項が修正を要することなくPDPAに基づく域外移転において利用できるか否かもかかる公表を通じて明らかにされることが予想される。2024年2月1日時点では、かかる情報及び詳細は未公表である。

6. 外国に所在するコンピュータシステム等への個人データの移転

 本下位規則では、域外移転の規制対象となる個人データの移転とは、データ管理者等が、物理的又はコンピュータシステム等によるか否かに拘わらず、外国に所在する者に対して、個人データを移転することと定義している。もっとも、本下位規則により、送信者以外の外部者が個人データにアクセスすることのできないようなデータ移転の中継点としてのコンピュータシステム間のデータ移転やデータ保存先への移転は域外移転の規制対象となる個人データの国外への移転には該当しないことが明らかにされた。規制対象外となる個人データの国外への移転として、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS)、Data Storage as a Service(DSaaS)等のクラウドサービスを利用し、かつ送信者以外の外部者がかかるクラウドにアクセスできない場合(すなわち情報の自己利用に留まる場合)が挙げられている。従前は、コンピュータサーバー自体が海外に存在する場合に個人データの国外への移転があったものと見做すか否かについて明確な判断基準がなかった。本下位規則により、送信者以外の外部者によるアクセス可否が域外移転の有無を判断する上で、一つの重要なメルクマールになることが明確に示されたといえよう。

7. まとめ

 本下位規則の制定により、域外移転の方法として、データ主体の同意を得る方法以外の選択肢が増えたことの意義は大きいと考えられる。前述のとおり、ホワイトリスト国が未公表であったり、モデル条項を利用する場合における具体的対応方法が未公表であったり、まだ不完全な点はあるものの、これらは今後公表されることが期待される。また、本下位規則により域外移転の方法が整備されたことによって、利用目的等の通知に用いられるプライバシーポリシー・プライバシーノーティスやデータ処理に関する記録の内容の見直しも併せて行うべきであると考えられる。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

タイに関連する著書/論文

決定 業務分野を選択
決定