皆さま、こんにちは。
東京コンサルティングファームタイ法人の植村です。
2021年5月5日の閣議決定(及び5月8日の正式通知)にて、タイ国個人情報保護法(PDPA)の適用再延長が決定されました。
前回のブログでは、データ主体の権利や、データ管理者・データ処理者の義務についてお伝えさせて頂きましたが、今回は、いよいよPDPA対策について説明していきたいと思います。
過去のブログでは、個人情報保護法の条文を説明させて頂きましたが、その中で、データ管理者が対応しなければならない内容がありました。
19条の同意の作成については、適法根拠に該当しない場合に準備が必要となり、同意取得については、①書面、または②電子的手段、のいずれかとなります。
また、データ主体から同意を得る際に気を付けるべきポイントがいくつかありましたが、作成の際には、このポイントを考慮しましょう。
23条のプライバシーノーティスは、個人情報を収集する際に通知する必要があります。
こちらも、通知が必要な内容が6項目ありましたので、作成の際には、内容が明記されているか確認を行いましょう。
37条の個人情報の侵害に関する通知については、データ管理者の義務の一つになります。
情報漏洩等の発生があった際には、発覚を確認後、72時間以内に当局に通知する義務がありますが、72時間以内に対応できるように規定を作成し、
担当者が対応の流れや方法を理解できていることが望ましいです。
また、37条では、『データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務』というのがデータ管理者に課せられています。
第三者(=データ処理者)が存在する場合には、管理のためにデータ処理契約書を作成し、データ処理者との間で当該契約書の締結をしておきましょう。
39条では、取扱活動の記録があります。こちらも必要な記録内容項目がありますので、作成の際には、抜け漏れがないか確認しましょう。
実務対応の流れとしては、①現状把握、②適法根拠項目の確認、③内容の記載、④見直し・修正、というのが一般的です。
現状把握では、データマッピング等を行い、会社内での個人情報の取扱活動を洗い出しを行っていきます。
例えば、採用の際に、候補者からレジメやIDカード情報、住居登録証、学歴証明書等を受け取る企業様も多いかと思いますが、
このような活動ごとに、個人情報の取り扱い(収集、保管、開示・使用、削除)の流れを把握していきます。
現状把握後、個人情報の収集目的が、どの適法根拠に該当するのかを確認し、必要であれば同意書の作成を行います。
なお、データ主体との同意に関して、19条に『同意の撤回は、法律による制限やデータ主体にとって利益のある契約がない限り、
同意を与えるのと同じくらい簡単なものでなければならない』とあるため、可能な限り、同意の取得ではなく適法根拠項目を見つけることを推奨しています。
現状把握と適法根拠項目の確認が終わった後は、いよいよ資料作成となります。作成には、法律に明記されているそれぞれのポイント
(例:プライバシーノーティスなら、6つのポイントの記載等)を確認しましょう。
現時点ではまだ政府非公式ではあるものの、600ページにわたるガイドライン等も発表されていますので、そちらを参考にされるのもいいかもしれません。
個人情報の越境移転に関する内容等は、今後当局からの発表によって対応する必要が出てくる可能性もありますが、1年後の完全施行へ向けて、可能な範囲での準備を進めていきましょう。
弊社では、個人情報保護法セミナー(日本語、タイ語)の開催や、個人情報保護法に関するアドバイザリー等も行っております。
ご不明な点等ありましたら、お気軽にお問い合わせくださいませ。
以上
東京コンサルティングファーム
植村 寛子
こちらの記事に関する質問、その他お問い合わせはこちらから!
~▶YouTuberになりました!~
弊社YouTubeチャンネル『久野康成の毎日が有給休暇!!』を開設いたしました!
「久野康成の毎日が有給休暇!!」では、代表の久野が作った365の金言を
『久野語録』として日めくりカレンダーにまとめ、内容を毎日解説していきます。
チャンネル名にある通り、「毎日が有給休暇」になるような生き方のツボとコツを発信しておりますので
ぜひ一度ご覧頂ければと思います!
また、代表の久野が執筆した
『国際ビジネス・海外赴任で成功するための賢者からの三つの教え 今始まる、あなたのヒーロー』
の解説を、執筆者自らが行っている「賢者からの3つの教え」シリーズもぜひご覧ください!
東京コンサルティングファーム タイ拠点
植村 寛子
※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Ltd.)は一切の責任を負うことはありませんのでご了承ください。
