皆さま、こんにちは。
東京コンサルティングファームタイ法人の植村です。
2021年5月5日の閣議決定にて、タイ国個人情報保護法(PDPA)の適用再延長が決定されました。
前回のブログでは、個人情報の取り扱いにが明記されている第2章の個人情報保護(19条~29条)の中から、特に重要な条文についてお伝えさせて頂きましたが、
今回は、第3章のデータ主体の権利(30条~42条)について説明していきたいと思います。
第3章 データ主体の権利(30条~42条)
第3章のデータ主体の権利(30条~42条)では、PDPA上では、第3章はデータ主体の権利というテーマになっています。
しかし、第3章の詳細は、データ主体の権利の他にも、データ管理者の義務、データ処理者の義務等についても明記されています。早速確認していきましょう。
◇データ主体の権利
データ主体の権利については、30~36条にて明記されています。データ主体の権利は以下の通りです。
- 個人情報へのアクセス、およびコピーを要求する権利
- データ主体の同意なしに取得された個人情報の開示を要求する権利
- データ管理者から、データ主体に関する個人情報を受け取る権利
- 個人情報の収集、使用、または開示に異議を唱える権利
- 個人情報の消去、または破棄を要求する権利
- 個人情報を識別できないよう匿名データを要求する権利
- 個人情報の使用の制限を要求する権利
- 個人情報を最新のものにするよう要求する権利
上から3番目の「データ管理者から、データ主体に関する個人情報を受け取る権利」については、単にデータ主体の個人情報を受け取るだけでなく、
データ主体が、データ主体自身の個人情報を、他のデータ管理者に送信または転送するように要求する権利も含まれています。
(31条)また、上記で挙げた当該データ主体の権利について、データ管理者は、適法根拠を理由に、データ主体の権利の要求を拒否することが可能です。
なお、拒否の適法根拠がない場合は、データ主体から要求を受けた日から30日以内に対応する必要がある点、留意が必要です。
◇データ管理者の義務(37条、39条)
データ管理者の義務を説明する前に、データ管理者の定義について改めて確認していきましょう。PDPA6条の用語定義では、
「データ管理者(Data Controller)」について、個人情報の収集、使用、開示に関して、
決定を下す権限と義務を有する、個人または法人と明記されています。
データ管理者の義務は以下の通りです。
- 適切なセキュリティ対策と効率的に見直しを行う義務
- データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務
- 個人情報を削除する義務(適法根拠がない場合)
- 個人情報の侵害を遅滞なく、通知する義務
遅滞なく個人情報の侵害と是正措置を、データ主体に通知する義務(高いリスクの場合)
- データ管理者の代理人を書面にて指定する義務
- 取扱活動の記録を作成し、保管する義務(書面または電子形式のいずれかで作成、保管する)
上記の義務のうち、5番目の「データ管理者の代理人を書面にて指定する義務」については、データ管理者が
①タイ国外にいる個人または法人であり、
②タイ国内のデータ主体から個人情報を収集、使用・開示(及び転送等)を行う場合は、代理人の指定が必要となります。
◇データ処理者の義務(40条)
データ処理者の義務を説明する前に、ここでも念のため、データ処理者の定義を確認していきたいと思います。
「データ処理者(Data Processor)」とは、データ管理者の命令に従って(またはデータ管理者の代わりに)
個人情報の収集、使用、開示に関連する活動を行う個人または法人を指します。
例えば、社会保険登録や削除登録の管理を、別の会社に依頼されている場合は、その会社はデータ処理者に該当します。
データ処理者の義務は以下の通りです。
- 個人情報の収集、使用、開示は、データ管理者の指示に従ってのみ、取扱を行う義務
- 適切なセキュリティ対策を行い、発生した個人情報の侵害をデータ管理者に報告する義務
- 個人情報の取扱活動の記録を行う義務
- データ管理者と契約の締結を行う義務
データ管理者がデータ処理者を管理する方法として、Data Processing Agreementの締結が挙げられます。
当該契約書の締結及びデータ処理者の管理によって、データ管理者は、
義務の一つである「データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務」を果たすことができます。
ここまでデータ主体の権利と、データ管理者・データ処理者の義務について説明させて頂きました。
また、前回、前々回のブログでは、PDPAの重要な条文を確認していきました。
次回のブログでは、いよいよPDPA対策について説明していきたいと思います。
以上
東京コンサルティングファーム
植村 寛子
こちらの記事に関する質問、その他お問い合わせはこちらから!
~▶YouTuberになりました!~
弊社YouTubeチャンネル『久野康成の毎日が有給休暇!!』を開設いたしました!
「久野康成の毎日が有給休暇!!」では、代表の久野が作った365の金言を
『久野語録』として日めくりカレンダーにまとめ、内容を毎日解説していきます。
チャンネル名にある通り、「毎日が有給休暇」になるような生き方のツボとコツを発信しておりますので
ぜひ一度ご覧頂ければと思います!
また、代表の久野が執筆した
『国際ビジネス・海外赴任で成功するための賢者からの三つの教え 今始まる、あなたのヒーロー』
の解説を、執筆者自らが行っている「賢者からの3つの教え」シリーズもぜひご覧ください!
東京コンサルティングファーム タイ拠点
植村 寛子
※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Ltd.)は一切の責任を負うことはありませんのでご了承ください。
