皆さま、こんにちは。
東京コンサルティングファームタイ法人の植村です。
2021年5月5日の閣議決定にて、タイ国個人情報保護法(PDPA)の適用再延長が決定されました。
今回は、PDPAの概要とPDPAの冒頭部分(1条~7条)に関して、確認していきたいと思います。
2019年5月28日に施行された個人情報保護法(PDPA)について、適用開始まで1年間の準備期間がありましたが、
2020年5月中旬に、適用開始日が2021年6月1日へと延長する発表がありました。
適用開始に向けて、政府非公式ではあるものの、600ページにもわたるガイドライン(Thailand Data Protection Guidelines 3.0、3.1)が2020年12月末、2021年3月に発表され、
いよいよ適用開始かと思われていましたが、2021年5月5日の閣議において、適用開始の再延長が決定し、現時点での適用開始予定日は、2022年6月1日からとなりました。
なお、現時点でも当局からの公式通知は行われておりませんが、間もなく通知書が公表されるかと存じます。
適用開始は2022年6月1日からとなりましたが、ガイドラインの発表内容が、今後大きく変更されることは考えにくく、現時点で未だ発表されていない部分
(個人情報の越境移転に関する内容等)が明らかになり、発表内容によっては、追加資料の準備を行う必要が出てくる可能性があります。
1年間の追加猶予期間があるため、PDPAの概要と、重要な条文を改めて確認し、必要規定の準備を進めていきましょう!
さて、今回のブログでは、PDPAの概要と、PDPAの冒頭部分(1条~7条)の中から、特に重要な条文に関して、説明していきたいと思います。
前述した通り、PDPAは2019年5月28日に施行されました。法律は、以下の通り、全96条から構成されています。
個人情報保護(1条~7条)
第1章:個人情報保護委員会(8条~18条)
第2章:個人情報保護(19条~29条)
第3章:データ主体の権利(30条~42条)
第4章:個人情報保護委員局(43条~70条)
第5章:苦情(71条~76条)
第6章:民法上の責任(77条~78条)
第7章:罰則(79条~90条)
経過規定(91条~96条)
96ある条文の中でも、重要な部分は、個人情報保護(1条~7条)、第2章の個人情報保護(19条~29条)、そして第3章のデータ主体の権利(30条~42条)です。1条~7条の個人情報保護については、用語の定義や、適用範囲、適用除外が明記されており、第2章の個人情報保護(19条~29条)については、個人情報の取り扱いに関して、詳細内容が記載されています。第3章のデータ主体の権利(30条~42条)では、題名はデータ主体の権利となっているものの、データ管理者、データ処理者、及びデータ保護責任者の義務についても第3章に明記されています。
上記に挙げた章項目の中から、今回は、冒頭部分の個人情報保護(1条~7条)の中から、用語の定義(6条)、適用範囲(5条)、適用除外(4条)を確認していきたいと思います。
◇用語の定義(6条)
6条で明記されている用語の定義の中でも、覚える必要のある項目は①個人情報、②データ管理者、③データ処理者の3つとなります。
「個人情報(Personal Data)」とは、直接的・間接的を問わず、個人の識別を可能にする、個人に関連する情報を指します。なお、死亡した個人の情報は含まれません。
「データ管理者(Data Controller)」とは、個人情報の収集、使用、開示に関して、決定を下す権限と義務を有する、個人または法人を指します。
「データ処理者(Data Processor)」とは、データ管理者の命令に従って(またはデータ管理者の代わりに)個人情報の収集、使用、開示に関連する活動を行う個人または法人を指します。
また、用語の定義の中では明記されていませんが、条文では、データ主体(Data Subject)という用語が頻繁に登場します。
「データ主体(Data Subject)」とは、特定されたまたは特定可能な自然人を指します。
用語の定義自体は難しくないかと思いますが、条文を読む際には、データ管理者とデータ処理者の定義が混合しないように気を付けましょう。
◇適用範囲(5条)は、
5条では、PDPAの適用範囲について明記されています。条文では、タイ国内に所在する「データ管理者」または「データ処理者」による個人情報の収集、使用、開示がPDPA適用範囲の原則となります。また、有償無償に関係なく、タイ国内にいるデータ主体に対して、商品またはサービスの提供がある場合や、データ主体のタイ国内での行動を監視する場合についても、PDPAの適用範囲となります。なお、データ管理者がタイに所在がない場合でも、上記の適用範囲に該当する場合は、データ管理者は、代理人を書面にて選定する必要があります。(37条 (5) )
◇適用除外(4条)
PDPAの適用除外(4条)は、以下の6通りの活動となります。これらの活動に該当する場合は、PDPAの適用範囲外となります。
今回のブログでは、PDPAの概要と、冒頭部分の個人情報保護(1条~7条)から特に重要な条文(4,5,6条)を説明させて頂きました。次回のブログでは、個人情報の取り扱いにが明記されている第2章の個人情報保護(19条~29条)について説明していきたいと思います。
PDPAの内容に関して、ご不明な点等ございましたら、お気軽にお問い合わせくださいませ。
以上
東京コンサルティングファーム
植村 寛子
こちらの記事に関する質問、その他お問い合わせはこちらから!
~▶YouTuberになりました!~
弊社YouTubeチャンネル『久野康成の毎日が有給休暇!!』を開設いたしました!
「久野康成の毎日が有給休暇!!」では、代表の久野が作った365の金言を
『久野語録』として日めくりカレンダーにまとめ、内容を毎日解説していきます。
チャンネル名にある通り、「毎日が有給休暇」になるような生き方のツボとコツを発信しておりますので
ぜひ一度ご覧頂ければと思います!
また、代表の久野が執筆した
『国際ビジネス・海外赴任で成功するための賢者からの三つの教え 今始まる、あなたのヒーロー』
の解説を、執筆者自らが行っている「賢者からの3つの教え」シリーズもぜひご覧ください!
東京コンサルティングファーム タイ拠点
植村 寛子
※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Ltd.)は一切の責任を負うことはありませんのでご了承ください。
