第5回：ついに成立！タイの個人情報保護法

「個人情報」の定義

規制の対象となる「個人情報」とは、「個人に関する情報で、直接または間接を問わず、当該個人を特定することのできる情報をいい、死者の情報は含まない」と定義されています。そして、個人情報を取り扱う事業者は、個人情報の収集、利用、または開示の決定権限を有する「管理者」と、管理者から委託を受けて個人情報の収集等を行う「処理者」に分類され、それぞれ異なる規制が課せられることとされています。この点は、2018年5月に発効したEU一般データ保護規則（EU General Data Protection Regulation: GDPR）と同様の定めとなっており、タイ個人情報保護法においては、このようにGDPRの規定を意識した定めが随所に見られます。
また、いわゆる「センシティヴ情報」の定めがあり、「人種、民族、犯罪履歴、健康、組合加入、遺伝情報、生体情報等」を取り扱う場合には、情報主体から明示的な同意を得る必要があるものとされています。
個人情報の定義については、現時点では抽象的な規定に留まっており、具体的にどのような情報が個人情報に該当するのかについては、不明確な部分が大きいといえます。この点については、発効後順次個人情報保護委員会より示されるとみられているガイドライン等によって、今後より具体的になっていく見込みです。

適用対象

（1）原則

タイ個人情報保護法は、原則としてタイ国内に所在する「管理者」または「処理者」の個人情報の取扱いにおいて適用されます。「管理者」または「処理者」がタイ国内に所在する限り、個人情報の取扱いが国内でなされたか、国外でなされたかを問いません。

（2）域外適用

「管理者」または「処理者」がタイ国内に所在しない場合であっても、例外的にタイ個人情報保護法が適用される場合があります。それは、①タイ国内に所在する者に対して、商品・役務の提供（有償または無償を問わず）を行う場合や、②タイ国内に所在する者の行動を監視する場合です。①は、国外企業が、インターネットを通じてタイ国内市場に商品を販売する場合、②は、インターネットのサイトを訪問したタイ国民のクッキー情報等を用いて、サイト閲覧履歴を取得し、ターゲティング広告を表示する場合などが該当すると考えられます。これらの場合は、タイ国内に拠点を有していない海外企業でも、同法の適用を受けることになりますので、留意が必要です。

事業者の義務

（1）情報提供および同意取得

個人情報の「管理者」は、個人情報を収集、利用、開示する場合、利用目的等の情報を通知したうえで、情報主体の同意を取得しなければなりません。また、一度同意した場合であっても、情報主体は原則として、いつでも同意を撤回可能とされています。同意の形式については、文言とフォーマットの指定が、発効後順次個人情報保護委員会により公表される予定です。

（2）安全管理措置

個人情報の「管理者」は、保有する個人情報を保護するための適切なセキュリティー対策をとらなければならないものとされています。具体的な要求水準等は、今後のガイドライン等によって定められる予定です。

（3）情報保護責任者（DPO）

①情報主体の定期的かつ系統的な監視を大規模に実施する場合、または②大量のセンシティヴ情報を処理する場合、「管理者」または「処理者」は、情報保護責任者（Data Protection Officer: DPO）を選任しなければなりません。これらの「大規模」「大量」等の具体的な基準についても、今後のガイドライン等によって定められる予定です。
DPOは、「管理者」または「処理者」の情報の取扱いを監督し、個人情報保護委員会と連絡します。また、DPOは、情報主体からの権利行使や問い合わせの窓口となります。タイのDPOは、「管理者」または「処理者」の従業員である必要はなく、外部の専門家等に委託することができます。

国外移転規制

個人情報をタイ国外に移転するには、移転先の国または地域における個人情報保護が十分な水準であることを確保しなければなりません。「十分な水準」についても、委員会のガイドラインによって具体的に規定されます。ただし、情報主体の同意を取得している場合は、上記の例外とされ、国外移転が可能とされています。
2019年1月23日、日本とEUとの間で、相互に個人情報の保護に関して十分な水準を有していることの認定（「十分性認定」）が行われ、GDPRおよび日本個人情報保護法に基づく国外移転規制の適用が緩和されました。タイの個人情報保護法においても、今後同様の認定制度が設けられ、認定を受けた国／地域であれば、法の定める保護措置や情報主体の同意を得ることなく個人情報の移転を行うことができるようになるものとみられますが、現時点でどのような国／地域が対象となるのかは明らかでありません。

漏洩時等対応

漏洩等、個人情報に対する侵害が発生した場合、「管理者」は、遅滞なく情報主体に通知する義務を負います。また、委員会が定める一定規模以上の侵害の場合は、個人情報保護委員会に通知する必要があります。

罰則

情報主体の同意を得ずに個人情報を第三者に開示した場合や、法の要件を満たさずに個人情報を国外に移転した場合等、本法に定める規制に違反した場合、最大で1年以下の禁固もしくは100万バーツ以下の罰金またはその両方が課せられます。この刑事罰は、企業の違反の場合は、企業そのものに課されるだけでなく、取締役も処罰の対象となるものとされており、注意が必要です。
また、刑事罰以外にも、漏洩等に際して情報主体に対する通知を怠った場合等には、最大で500万バーツ以下の課徴金という行政罰が課されるほか、故意または過失によって情報主体に損害を与えた場合には、実損害に加えて損害額の2倍以内の懲罰的民事損害賠償の義務を負うなど、タイの他の規制法と比較しても厳しい罰則が定められています。
そのほか、発効後は、個人情報保護委員会によって違反企業の名称が公表されることが予想され、そのような場合の企業の信用低下（レピュテーション・リスク）にも十分に留意する必要があるでしょう。

おわりに

タイは日本企業の進出が多いことで知られる国の一つですが、ながらく個人情報保護に関する規制がなかったことから、既に進出している企業でも、十分な保護体制を構築できている企業は多くないものと思われます。顧客の個人情報を取り扱わない業種であっても、タイ拠点の従業員の個人情報を日本の本社で管理する場合には国外移転の問題が生じるなど、影響を受ける企業の範囲は広いものと思われます。対象企業は、今後公表される告示・ガイドライン等関連法規の内容にも目を配りつつ、猶予期間が満了するまでに法令に準拠した体制を構築できるよう、計画的に準備を進めることが重要です。