タイ個人情報保護法（PDPA）の対応のポイントを解説

タイ個人情報保護法（PDPA）の対応はお済みですか？

　タイ個人情報保護法（PDPA）とは、タイでは初めてとなる個人情報の取り扱いについて定めた法律です。2019年に一部の条文が施行されましたが、COVID-19の影響等から完全施行は延期され、違反時の罰則規定を含む法律の完全施行は2022年6月1日からです。

　在タイ日系企業においても、規定に沿った会社としての法対応だけではなく、タイではこれまで個人情報の取扱いに関するリテラシーが高くなかったため、従業員への情報リテラシーを育てる教育まで含めて対応が必要となっています。

　そこで、タイ個人情報保護法（PDPA）対応のポイントについて、ラムチップパートナーズ　タイ法人責任者深澤チトラートンさん（以下チトさん）に当サイトの管理人・ACTY SYSTEM 塚本（以下、管理人）が聞きました。会話形式で整理します。

管理人：　最近、タイで仕事をしている中で、取引先様との間で、「PDPA」という単語を耳にする機会が増えてきました。何やら対応していかないとマズいんだ、ということのようなのですが、チトさんご存知ですか？

チトさん：　はい、PDPAとは、タイでは初めてとなる個人情報の取り扱いについて定めた個人情報保護法のことです。2019年の5月には、すでに一部の条文が施行されましたが、違反時の罰則規定を含めた完全施行は、2022年6月1日からです。

管理人：　違反したときの罰則まで定められているとなると、タイで働く方は、知らなかったでは済まされないわけですね。

チトさん：　そうですね、これまでタイでは個人情報の取り扱いは、比較的、皆さんの意識が緩やかですよね。ですから今回、そうしたリテラシー教育も含めて対応が必要となっています。

ポイント１：　個人情報とは？

管理人：　個人情報とは具体的には何を指すのでしょうか？

チトさん：　個人情報とは、直接・間接を問わず、識別可能な自然人に関する情報をいいます。但し、故人の情報は除きます。識別可能な自然人とは、具体的には、「氏名」「位置情報」「個人識別番号」「オンライン識別子（IPアドレスなど）」、また身体的・社会的・文化的、もしくは経済的アイデンティティに特有な要素により識別されるものと定義されます。さらに、センシティブデータといって、人種、宗教、政治的思考、犯罪歴、遺伝情報、健康情報、労働組合への加入状況、こうした情報も個人情報となり、今回の法律の対象となります。

管理人：　個人に関するだいぶ広い範囲の情報が個人情報保護の対象となるわけですね。会社の中では、給料とか家族構成とか、人事関連の情報は、すぐに個人情報だとピンとくるのですが、ここまで広い定義となると、たとえば、会社の中で業務上、使用しているエクセルや業務管理システムの中には、この定義に含まれる情報はたくさんありますよね。従業員の名前、メールアドレス、携帯番号、LINE IDなど。社員だけでなく、取引先の担当者の情報まで、挙げるとキリがなさそうです。

チトさん：　そうですね、ですから今回の法律が施行されるにあたり、日系企業様の間でも、どこまでをどのように対応したらよいのか、判断に迷われているようです。

ポイント２：　個人情報を扱う上で考慮すべきこと

管理人：　それでは、今後、そうした個人情報を扱う場合、具体的にはどのようなことを考慮しなければいけないのでしょうか？

チトさん：　会社の個人情報の管理は、今後、次のことが求められます。

一つ目は、個人情報を取得する際における対応です。個人データの主体（本人）に対して、そのデータを収集する、使用する等の目的を、書面で通知した上で、同意を取得する必要があります。同意なく情報を収集できる例外も定められていますが、原則、今後は同意書が求められます。

二つ目は、個人情報の保管における対応です。取得した個人情報を会社が保管する際には、次の4つの対応が必要です。

１）収集したデータを書面、または電子的な方法で記録保持する義務

２）（不正アクセスなどによる流出等が無いよう）適切なセキュリティ対策の義務

３）データ保護責任者の任命義務（但し、大量の個人データの取扱いが発生する業務をする団体や、センシティブデータの取扱いが見込まれる団体の場合にのみ義務付けられます。）

４）個人データの漏洩の場合の措置（個人データの主体への漏洩したことの通知等）

三つ目は、第三国へのデータ移転（国外移転）における対応です。タイ以外の国へのデータ移転する旨の個人データの主体（本人）の同意を得る必要があります。

管理人：　そうすると、現在、在籍している社員からの同意はもちろんですが、今後新たに採用した社員やタイに新たに赴任した駐在員からもその都度、同意書を準備していく必要があるわけですね。最近は、クラウドの業務管理システムなども一般的となり、データを格納するサーバーは、タイ以外の国、たとえばシンガポールに置かれているということもあるわけですが、こうしたことが、「第三国へのデータ移転（国外移転）」にあたるわけですね。

チトさん：　そうですね、ですから今後は、個人データの主体（本人）に、どういう目的でデータを収集し、それがどこの国で管理しているかまで説明して同意を得る必要があります。

管理人：　日本でも最近、有名なソーシャルメディアの個人情報が中国の委託先業者で閲覧できる状態になっていたことが社会問題となりました。タイでもこうしたことが今後、問題視されてくるわけですね。

ポイント３：　法律を守る上で求められる対応

管理人：　タイで初めてのことですから、そもそも悪いことだとは思っていないで、法律に違反していた、なんてことが起こりそうですね。

チトさん：　はい、タイでは情報リテラシーがまだ高くないので、社員教育に取り組み、意識を変えていくことから求められます。具体的には次のような取り組みが必要でしょう。

１）PDPA対外向け対応：会社が取扱う個人情報のうち、取引先担当者向けに提示する通知文言の作成

２）PDPA対内向け体制構築：従業員向け同意書の作成と、個人情報取扱い規程の策定（社内ルールの整備）

３）従業員PDPA教育：従業員向けPDPA教育、リテラシーの向上

４）PDPA下位規則への対応：個人情報の国外移転の同意書策定、安全管理措置

管理人：　とても自社だけで対応できそうにないのですが。チトさんのところでは、こうした対応をサポートしてくれたりするのでしょうか？

チトさん：　はい、現在、タイの法律事務所を中心にこうした対応サポートが実施されています。もちろんラムチップパートナーズでも対応しておりますので、ご相談ください。

管理人：　大変よくわかりました。今日はありがとうございました。

【免責事項】

本稿は、一般的な事項についての情報提供を目的として作成されたものであり、実際の遂行にあたっては、多くの場合関連法規の検討、並びに専門家との協同が必要になります。このため、執筆者並びにその所属先は、本稿の利用に起因する如何なる直接的・間接的な損害に対しても一切の責任を負いかねます。また、本稿記載の情報は作成時点における調査に基づいたものであり、随時更新される可能性がありますことをご了承ください。