タイ個人情報保護法の執行を一年延期

タイ個人情報保護法の適用を事実上一年間延期する法律が、5月20日に官報に掲載された。官報に掲載された4ページの法律および付属資料は、2019年に成立したタイ個人情報保護法の第二章（個人情報保護）、第三章（データ主体の権利）、第五章（異議申し立て）、第六章（民事責任）、第七章（制裁金）、そして、95節（法律執行前に収集した個人情報に関する取扱い）に関する適用を免除する内容を記述し、個人情報保護法適用の最初の日である2020年5月27日から2021年5月31日までを免除期間とした。罰則規定の適用が一年延期となり、事実上の免除となりつつも、個人情報管理者が、デジタル経済社会省（DE省）の基準に従い、個人情報保護に関する対策を設けるべきとも述べ、来年の執行に向けた準備をするよう促している。

それに先立って、タイ政府は、5月12日に適用の延期に関する発表をし、その理由として、コロナ流行による経済の打撃で、企業のキャッシュフローが不足し、情報システムへの投資や専門家の雇用などが厳しくなることが挙げられた。その準備不足により、意図しない違反が多く発生すると予想し、それによる不正へつながることを懸念した。

しかし、行政側の業務である個人情報保護委員長および委員の選定については引き続き継続し、内閣に提出する予定。６つの関連法規、１）個人情報保護委員会の事務局運営、２）個人情報の収集・利用・開示、３）個人情報の海外への移転、４）個人情報所有者の権利、５）個人情報管理者と個人情報取扱者の責任、そして、６）苦情申し立てと行政処罰については、引き続き作成中である。

適用の免除対象となる22組織・事業と発表しつつも、ほぼ全業種が対象

法律の付属資料の中に、免除の適用対象となる22組織・事業が発表された。その22分野とは、1）政府組織、2）海外の政府組織と国際機関、3）財団・協会・宗教組織・非営利団体、4）農業、5）工業、6）商業、7）医療や厚生事業、8）エネルギー、蒸気、水、廃棄物処理、そして関連事業、9）建設業、10）修理保全事業、11）交通・運輸・倉庫、12）観光業、13）通信・コンピューター・デジタル事業、14）金融・銀行・保険、15）不動産業、16）専門職、17）経営やサポート、18）科学技術・アカデミック・慈善事業・美術、19）教育、20）娯楽、21）警備、22）はっきりした分類が不可能な家庭事業や地元事業である。しかし、これらの分野はほとんど全業種を含めていて、法律の適用除外はあくまでも特定分野だという姿勢を見せつつも、事実上、全ての業種を対象にしている。

GDPRに準拠する内容

個人情報を地域外へ移転させるに当たって、同等のレベルの法律が存在することを条件とするGDRPに対応するため、GDPRに準拠できる形にタイの個人情報保護法が作られた。その背景に、EUにいる顧客の個人情報を所有するタイ企業が、より円滑に顧客情報を取り扱え、航空会社などがその例である。

タイ個人情報保護法に関する、重要な内容と企業への影響を、次のようにまとめることができる。

・個人情報の定義が広く、故人を除く、個人特定につながる直接的および間接的な情報。厳密に解釈すれば、顧客情報はもちろん、従業員に関する情報、サプライヤーやビジネスパートナーに関する情報も含まれ、企業にとって、データベース化などのような対処が求められ、管理コストの上昇につながると考えられる。
・個人情報の収集・利用・開示に決定権を持つ個人や法人を、個人情報管理者として、管理者の指示に従って収集・利用・開示をする個人や法人を、個人情報取扱者とする。それぞれの厳密な責任事項が定められ、個人情報保護担当者（DPO）が監督の責任を持つ。特に、個人情報保護担当者は、政府の個人情報保護委員会との連絡係も担当しており、政府に対する報告義務を持つことや、会社が首にできないなど、法的な保護を一定受けている。将来の関連法規で、保有する個人情報の量に応じて雇用しないといけない人数に関する規定も策定される予定であり、企業の人件費増加につながる。
・個人情報所有者の権利として、GDPRに類似する部分が多く、①情報権、②アクセス権、③訂正の権利、④削除権、⑤制限権、⑥データポータビリティの権利、⑦異議権、⑧同意の取り消し権利があり、個人情報の収集・利用・開示に関する活動全般にかかわっている。同意を得ることはもちろん、同意で得た目的以外に利用されることが禁じられる。また、ここにある8つの権利を守るため、同意の取り消しや同意の修正、情報へのアクセスや情報移転などに必要なワークフローおよびツールを用意し、同意得る時と同じレベルで簡易にする必要があり、顧客から何か個人情報に関する依頼、例えば、営業のメールや電話を受けたくないなどの要望があれば、速やかに現場の実行へ反映しないといけない。結局、人員やITシステムの投資、確認作業増大などに繋がり、コストになる。
・個人情報の漏洩が発生する際は、72時間以内に個人情報保護委員会へ通知しないといけない。

国境をまたいだ活動でも適用

国境を超えた活動でも個人情報保護法に配慮する必要がある。例えば、

・タイの個人情報保護法は、国内にいる人物に関する個人情報の収集・利用・開示を規制し、その収集・利用・開示が国外で行われている場合も適用される。また、個人情報管理者、あるいは、個人情報取扱者が国外にいる場合は、①商品やサービスを国内にいる人物へ紹介する、②国内にいる人物の行動を追跡する、という二つの目的において個人情報保護法が適用される。
・個人情報を海外へ移転させる時、移転先の国においては、同等のレベルの個人情報保護対策が行われる必要がある。ただし、国内にある企業が海外への情報移転ポリシーを策定し、かつ、移転先が海外のグループ企業の場合、事前に個人情報保護事務局から承認を得ていれば、必ずしも移転先の国で同レベルの規制があることを必要としない。

刑事罰を含めた罰則規定

タイの個人情報保護法違反に関しては、3種類の処罰がある。

・民事責任：実際の損害の2倍まで損害賠償を請求できる。
・刑事責任：個人情報管理責任者に対して最高刑が禁固一年、罰金100万バーツ。個人情報管理責任者が法人の場合、代表取締役が責任を問われる可能性がある。また、情報漏洩者に関して、最高刑が禁固6ヶ月、罰金50万バーツ。
・行政処罰：最高500万バーツの処罰が課せられる。

民事責任や行政処罰を中心とする罰則が世界的に主流である中、禁固刑を含めた刑事責任が含まれることは、タイの個人情報保護法において、最も注意しないといけない点の一つである。

法律の執行が免除されている例外

個人情報保護法の適用例外として、家庭内における個人情報収集、公安・経済の安定・マネーロンダリング・科学捜査・サイバーセキュリティ関連の政府組織、倫理規範に沿った・公益につながる報道・美術・文学作品、国会関連、裁判や司法関連、金融の信用調査があげられる。

タイ個人情報保護法の執行を一年延期

目次