いつもお世話になっております。
Tokyo Consulting Firmの高橋です。
今回は、タイで昨年に施行されました「個人情報保護法」(PDPA)に関して記載していきたいと思います。
目次
1.個人情報保護法の施行に関して
タイの個人情報保護法に関しては、2009年に最初の草案が作成された後、修正などが行われてきましたが、昨年2019年(2019年5月28日)に正式に施行されました。
適用開始は2020年5月27日からと告知されておりますが、企業として用意すべき、同意書や内部規程などの書式や記載事項、フォーマットなどは現時点(2020年4月末時点)で開示されておらず、実務上、必要となる下位規則は未だ定められていない状況となり、実際の運営・整備に関しては不明瞭な点が多々残っている状況となります。
また、上位規程となる内容に関しては、主にEU(欧州連合)の個人情報保護規程である一般データ保護規程「GDPR」(General Data Protection Regulation)を参照し、作成されていると考えられます。
そのため、日本と比べても厳格なルールが適用されるかと想定され、今後の動向に留意が必要となります。
2.企業として整備していくべき事項
現状、下位規則は通達されていないため、実務上、厳密にはまだ内容は明確にはなっておりませんが、下記企業として準備しておくべき事項となります。
- 情報管理者(Data Controller)及び情報処理者(Data Processor)の選定
- 企業として保有している個人情報の情報整理(Data Mapping)
- 個人データ保護規程(Privacy Policy)の作成
- 同意書(Consent Letter)及び通知書(Data Processing Agreement)の作成
- IT関連のセキュリティの確認
上記内容に関して、原則整備が必要となるかと考えられます。
ただし、上述でも記載した通り、②、③、④に関してはまだ書式、記載内容、フォーマットなどの下位規程などは開示されておりません。
3.規制の内容
個人情報保護法で規制の対象となる内容に関しては、上述2で記載の情報管理者及び情報処理者が対象の主体となります。
情報管理者(Data Controller)
データ処理の適法性責任を負い、PDPA違反に対する責任を負う個人または団体を意味します。当該管理者は、使用及び開示などを決定する権限を有します。
情報処理者(Data Processor)
個人または団体が情報処理者となることができ、管理者の代理として実務的な個人データの処理を行うものとなります。
また、個人データが関連する当該個人のことをデータ主体として定義しております。
4.適用範囲
適用範囲に関しては、下記の通りに定められております。
| <適用範囲> |
| タイ国内に所在の情報管理者・情報処理者が、
個人情報の収集・使用、開示をする場合 |
| タイ国外に所在の情報管理者・情報処理者が、以下の行為をする場合
① タイ所在者にサービスや商品を提供する場合(支払の有無を問わない) ② タイ国内における行動の監視を行う場合(例:ターゲティング広告) |
| <適用例外> |
| ① 個人的利益、家族の活動のみのための個人情報の収集
②国家の安全保障の責任を担う政府機関の活動 ③公共の利益のために個人情報をマスコミ事業、芸術作品文芸作品のみに利用・開示する場合 ④議会(下院・上院)がその責任のために個人情報を収集、利用、開示する場合 ⑥ 裁判所や司法担当官による司法手続き、法の執行の場合 ⑦ 信用情報会社やその社員に対する、信用情報事業に係る法令に基づく活動 |
5.罰則規定
罰則規定に関しては、下記の通り定められております。
1.刑事罰
主にセンシティブな個人情報に関する重大な義務違反があった場合、刑罰罰として禁固も含めた厳罰に処するという内容になっております。
2.行政罰
行政罰の内容に関しては、行為類型に応じて細かく分かれておりますが、100万THB~500万THBの罰金が科せられる可能性がございます。
6.当社サービス内容
当社では、タイでのPDPAに関しての詳細内容の告知がされるのを待っておりましたが、告知が現時点でも確認が取れないため、PDPAの基となっていると想定されるGDPRをもとに個人情報保護法に関するサービス提供を開始させて頂きます。
主なサービス提供内容は下記の通りとなります。
1.Due Diligence for Personal Data Protection Act in Thailand (PDPA)
個人情報保護法に関する企業調査サポート
- 個人情報保護法の企業調査に関するヒアリングシートの作成
- 個人情報保護法ヒアリングシートに基づき、インタビューの実施
- データマッピングの作成
2.Creation Support for the Documentations Regarding the PDPA.
個人情報保護法に関する資料作成サポート
- 個人情報保護法に基づく内部規程の作成
- 個人情報保護法に基づくデータ処理契約書の作成
3.Support of Internal Audit for Personal Data Protection (Quarterly, Follow-up Support)
個人情報保護法に関する内部監査サポート(四半期ごと、アフターサービス)
- 個人情報保護法の運用マニュアルの作成
- 個人情報保護法に関する企業コンプライアンス調査
サービス提供中に法改正、また通知等が新たに行われましたら柔軟に対応できるようさせて頂きます。
スケジュール感や費用感は企業規模や、業種形態に応じて異なるため、まずはお見積りやスケジュール感を把握したい企業様等がございましたらご連絡頂ければ幸いに存じます。
現在顧問として携わらせて頂いている企業様に関しては、また個別でもご連絡させていただきます。
以上、何卒よろしくお願い申し上げます。
【 Wiki-Investment 】
~ 『海外投資の赤本シリーズ』、待望のデータベース化! ~
海外進出の対応国数30か国! ビジネスサポート企業数550社以上!!
新興国を中心に海外ビジネス情報(会計、税務、労務、基礎知識、設立、M&Aなど)をまとめたデータベース!
各国のビジネス基礎情報に加え、最新の法改正やアップデートについて、逐一更新しております!
以下、URLより無料会員登録(24時間お試し)も可能ですので、ぜひご覧ください!
URL:https://www.wiki-investment.jp
株式会社東京コンサルティングファーム タイ拠点
髙橋周平
※)記載しました内容は、作成時点で得られる情報をもとに、最新の注意を払って作成しておりますが、その内容の正確性及び安全性を保障するものではありません。該当情報に基づいて被ったいかなる損害についても情報提供者及び当社(株式会社東京コンサルティングファーム並びにTokyo Consulting Firm Co., Ltd.)は一切の責任を負うことはありませんのでご了承ください。
