いよいよタイでもPDPA（個人情報保護法）が施行

なかなか見えてこないタイのPDPA

日本では個人情報保護法は2005年より施行されており、EUでも2018年よりGDPRが施行され、企業が個人情報を取り扱うにあたって、取り組まなければならない条件が世界中で厳しくなってきています。この流れはASEANでも例外でなく、タイにおいても昨年（2019年）の5月末にPDPA（個人情報保護法）が公布され、2020年5月27日までにタイのデジタル経済省が70本以上もの布告を策定し公表する予定になっているそうです。（※注１を参照）

B2Bマーケティングサービスを提供している弊社にとっても、今後、ビジネスを進めていく上で大きな関心事項でもあるものの、その全貌はなかなか見えてこないのも実状です。例えば、「タイ個人情報保護委員会事務局」は未だ発足をしていないようで、布告の公表も予定より遅れる可能性もあるとのこと。当然、2020年5月27日からすぐに活発な執行が行われるかも不明で、具体的な罰則規定も想定されていないようです。しかしながら、委員会があるか無いかに関わらず、「自分の個人情報が漏洩された」と、文句を言う人が出たら、タイの行政も対応せざるを得ないだろうとのことでもあります。このあたりは、いかにもタイらしいお国柄が出ているような気もしますね。

とはいえ、「分からない、分からない」では何の対策も考えられませんので、私たちがバンコクで見たり、聞いたりした、知る限りの情報を少しにまとめてみたいと思います。必ずしも正しい情報でないこともありますので、あらかじめご了承ください。

まず、タイのPDPAの8割は、EUのGDPRと同じ内容となる見込みなんだそうです。もし皆さんの会社がGDPRに準拠しているのであれば、まずはその専門の方にご相談をするのが良いかもしれません。

タイPDPAの主な内容（想定）

１、「個人情報」とは、個人について、直接もしくは間接的に識別できる情報（故人は対象外）を指します。具体的には、氏名、電話番号、住所、メールアドレス、IDカード情報、写真、従業員記録がそれにあたるようです。

２、誰が責任を持つのかを明確にする（データ管理者、DPOデータ保護オフィサー）

３、センシティブ個人データの取得については、「同意」の取得義務が発生。例えば、人種・民族、政治的思想、信仰、医療データ、遺伝子データ、障害の有無、前科、生体データ（指紋など）

４、域外適用と国外転送については、本人への通知義務の発生と、転送先の国がタイと同等の個人情報保護法を有しているかどうかがポイント

５、プライバシー通知については、①個人情報の収集の目的、②法的義務遵守の明示、また個人情報の提供を断ったらどうなるのかも明示、③保存期間、④データの開示先となる法人や機関の明示、⑤データ管理者、データ保護オフィサー（DPO）の情報、連絡先、等々のような情報明示が必要となるようです。

６、個人情報を取得する際の同意書は「パッと見て、解りやすく、自由意志、条件はつけない、事前通知」が基本ポイントのようです。

７、同意書が不要な例外事項としは、①生命維持のため、②法的義務がある、③契約で必要、④公益のため、⑤正当な利益、などがそれに相当するようです。

８、罰則については、明らかになっておりませんが、「民事責任」「刑事責任」「行政責任」の視点でそれぞれが規定されてくると思われます。

９、データ漏洩時の対応についても、詳細は明らかになっておりませんが、「個人情報保護委員会事務局への通知」と「データ主体（本人）への漏洩の事実と救済措置の通知」が想定されます。詳細については、タイ個人情報保護委員会事務局が策定することになっています。

企業の対応

以上を踏まえると、最初から100%対応するより、むしろ今は、必要な書類やひな形（個人情報取得に関する同意書、通知書）の準備を優先して、布告の公表、実務の動向を注視しながら、まずは社内スタッフのトレーニングなどを実施していくという考え方もありますね。

自社の個人情報保護がどちらのパターンなのかを見極めておくことも大事です。例えば、セミナー開催や消費財販売など対外顧客のデータを扱うような「対外対応型」なのか？1000人以上の従業員の個人情報の保護を優先する「対内対応型」なのか？

また今のタイミングで、自社にどのような個人情報があるのかといった「データマッピング」をしておくと良いそうです。個人情報の把握と分類をしておくと、個人情報の量と流れが分かり、今後、どのような資料を用意すべきかが見えてくるそうです。

今、やっておいた方が良いと思われることをまとめると。

①データマッピング（個人情報の棚卸）

②個人情報取得に関する同意書、通知書といったドキュメンテーション

③社内向けトレーニング（セミナー・勉強会）※実は、最も重要なポイントだそうです。

いかがでしょうか？

これまでタイでは個人情報保護については、多少、無頓着な面もありましたが、「タイ4.0」を推し進める上でも、避けて通れないものとなってきました。企業のあらゆる活動で個人情報の取り扱いに神経を使わなければならなくなります。

布告の公表まであと3ヶ月、今後も新しい情報が分かりましたら、皆さんとも共有をさせて頂きます。

（※注１）タイ政府は、2020年5月27日に個人情報保護法（PDPA）の完全施行を予定していましたが、新型コロナウイルスへの対応が企業にとって大きな負担となり、個人情報保護法（PDPA）完全施行への準備が間に合わない現状から、2020年5月19日付のタイ政府の閣議で、個人情報保護法（PDPA）の完全施行を1年間（2020年5月27日～2021年5月31日）延長する法案を承認しました。

これにより、個人情報の管理や処理を行う企業は、2021年5月31日までに、社内の個人情報のマッピング、プライバシーポリシー/ノーティスの見直し、同意フォームの策定、個人情報の取り扱いに関する社員の意識を高めるためのトレーニングなど、新制度下のルールを順守できるよう、準備を整えていくことになります。