タイ政府は、2020年5月27日に個人情報保護法(PDPA)の完全施行を予定していましたが、コロナウィルス感染症への対応が企業にとって大きな負担となり、個人情報保護法(PDPA)完全施行への準備が間に合わない現状から、2020年5月19日付のタイ政府の閣議で、個人情報保護法(PDPA)の完全施行を1年間(2020年5月27日~2021年5月31日)延長する法案を承認しました。
The Standard社によるプッドポン ノードタイソン デジタル経済社会省副長官とのインタビューは、2020年5月11日にリリースされたものですが、タイPDPAを理解するのに分かりやすい内容ですので、インタビュー映像を日本語翻訳した形でご紹介をさせて頂きます。
※インタビュー映像(タイ語)はトップの画像をクリック頂きますとご覧いただけます。
プッドポン ノードタイソン デジタル経済社会省副長官
オンラインによるデジタル化が進んだ今の社会はプライバシー侵害に関する問題が起こりやすくなっています。PDPAはこのプライバシー保護に向けて一般市民・企業・政府の3つを対象に施行されます。それには個人情報の収集、使用、保管という3つの過程が必要となります。
PDPAとは何でしょう? 企業と一般市民が知るべきことは?
ノードタイソン副長官:
現在、コロナウィルス感染症拡大が人々を不安に陥れ、経済の低迷をもたらしていますが、それに加えて、PDPA(個人情報保護法)の施行にも注目が集まっています。本法律は2020年5月27日に施行されることになっていますので、企業がマーケティングのために顧客の個人情報を収集するためには、早急な対応が迫られています。特に個人情報を収集するためには、その都度、書面による同意を取得することが義務付けられているのです。
PDPAは何のためにあるのでしょう?
ノードタイソン副長官 :
オンライン化が進んだ現在、プライバシーに対する侵害が起こりやすくなっています。PDPAは、個人情報保護とグローバル市場への対応のために施行されると言えるでしょう。そして、タイが個人情報保護にしっかりと取り組むことで、グローバル市場にも認められ、タイ経済の発展に繋がっていくでしょう。
既にご承知の通り、PDPAについてはデジタル経済社会省がタイのデジタル開発計画に合わせて、2019年5月28日に官報において告示され、2020年5月27日に完全施行を目指してきています。
本法律における「個人情報」の定義とは何でしょう?
ノードタイソン副長官:
個人情報とは、簡単に言うと、直接的または間接的に個人を特定できるものすべてを指します。LINEのID、電話番号、住所などは言うまでもなく、特定の個人を連想できるもの、特定の個人に結びつくようなものはすべて「個人情報」になります。そのため、個人情報の収集、保管には、然るべき手続きを取らなければならないのです。
本法律の目的のひとつ目は、グローバル市場において、タイの経済が認められるようになることです。
ふたつ目は、個人情報保護のためです。既に我々は、タイ政府が開示する公的情報法において、基本的な個人情報の保護を行っています。しかしそれは、政府の公的情報に関してのみ適用されるものです。それに対して本法律は、一般市民、企業、政府部門に適用されます。
個人情報の収集、使用、保管の3つの過程が必要となります。
個人情報は、従業員・公務員の情報と、顧客情報の2種類に分けられます。従業員の情報は、雇用契約に基づくものです。公職に就く人や民間企業に就職する人は雇用契約を結ぶことになるので、このような情報に関する取り扱いについては、雇用契約を結んだ時点で承諾したものとみなされます。病歴や個人の来歴といった、企業や団体にとって使う用途がないものについては、プライバシーの侵害に該当しうる個人情報の収集は行わず、必要な情報に関してのみ収集を行わせるのが、「収集」という過程です。それに対して「使用」というのは、ビジネス面で使用することを意味します。ただ条件と目的が定められているだけでなく、顧客本人からの「許諾」がないと使用できません。最後の「保管」は顧客のプライバシーに害を及ばさないようそれらの情報を整理整頓し管理することです。これが本法律の大きな目的となります。
民間企業に対してどの程度影響を与えますか?
ノードタイソン副長官:
デジタル化により、プライバシー侵害に関する問題が起こりやすくなる危険があります。現在、民間のビジネスの中には、個人情報の不適切な使用を行っているところ、または悪用しているところもあると思われます。したがって本法律は一般市民、民間企業、政府部門までの個人情報保護を行います。適切な保管・アクセス・セキュリティシステムが必要とされ、かつ個人情報へのアクセスや利用が可能な数人の管理者のみが必要です。一般市民と事業者双方の権利を保護しつつ個人情報も利用する、これが本法律の中核となります。
タイでPDPAが実際に施行された時、企業は何をしなければならないでしょうか?
ノードタイソン副長官:
一般市民、企業、政府を含むすべての部門において、個人情報保護をしなければなりません。以前はWebサイト上で規約を読まずに「同意」を簡単にクリックできました。しかし本法律が施行されると、それは民事、刑事、行政上の罰則対象となります。そのため、情報の提供に同意する際、内容を詳しく読まなければなりません。同意した場合、情報の管理者または収集した者は同意した内容において個人情報が利用されているかどうかの確認が必要です。したがって、規約を読まずに同意してしまうと、個人情報を収集する側にプライバシー侵害が起きてしまう危険があります。繰り返しになりますが、同意する前に、同意の目的や規則をよく読み、しっかりと検討してもらう必要があります。そのため、顧客の個人情報を収集する場合、それぞれの目的の同意を取得する必要があるのです。
オンラインで情報収集する際には、情報提供者の情報開示を許可する選択ボックスが必要ですね?
ノードタイソン副長官:
はい、今後は、これらの情報が開示されているか、機密保持がなされているか、複数のセクターによって調査が行われることもあります。
情報収集における同意も必要ですか?
ノードタイソン副長官:
その場合、調査分析や研究のために情報収集を行うことについては同意しますが、個人情報の開示はされないということが示されていなければなりません。
本法律は2020年5月27日に施行されますか?
ノードタイソン副長官:
原則として本法律は2020年5月27日から施行されます。しかし、基本法というものの存在を忘れてはいけません。個人情報保護に対しての苦情処理が行われておらず、施行プロセス、国際間の取り決めもまだありません。本来は情報保護担当官(DPO)が細則を設定するので、基本法の完成を待つべきです。ただ、2020年5月27日時点で基本法がまだ完成されていなくても、法律の主な内容は施行されていく見込みです。
現在、コロナウィルス感染症の拡大に伴い、本法律の施行は、中小企業のような準備が進んでいない企業にとって負担となる可能性があります。そのため、法律の施行開始延長に関する請願書が届いています。本省では現在、本法律施行の開始延長についての意見やその影響について議論を重ねています。もし予定通り進むのであれば、内部で議論をした上で今年5月27日までに決定するはずです。延長する場合には、1年以内の延長となる見通しです。現在、監査委員会や有識者委員会を始めとした様々な委員会を設置し、今後これらの委員会が基本法を策定していきます。法律施行開始が延長されれば、基本法を期限内に完成させることも可能でしょう。そうなればコロナウィルス感染症拡大の影響を受けている一般市民や企業部門は、本法律への充分な準備が可能となるでしょう。
いずれにしてもPDPAが施行されることで、一般市民が個人情報を重要視するようになれば、企業やマーケターは顧客の個人情報の保護へ注意を払うようになるでしょう。
※タイPDPAの関連ブログ:「いよいよタイでもPDPA(個人情報保護法)が施行」