個人情報保護法とは?
最近メディアで目にする機会が増えた言葉の一つに個人情報保護法という言葉があります。これは簡単に言ってしまえば、名称通り個人情報保護の観点から個人情報の取り扱いを規制する法律です。普段自分には法律は縁遠いと思われている方も多いと思いますが、多くの企業では個人情報を取り扱ってビジネスをしており、また社員も含めて誰しも個人情報の情報源でもありますので、実は身近なテーマと言えるかもしれません。
奇しくも本年4月には日本では改正個人情報保護法が施行され、本年6月にはタイでもPersonal Data Protection Act(日本語訳だとやはり個人情報保護法)が施行されました。実際の適用、運用はこれからの推移をみていく必要があるものの、今、多くのビジネスマンにとっては注意を払わなければいけない法律と言えます。
タイと日本の違いの例
詳細は字数の制約もあるので割愛しますが、例えば日本法では個人を特定する個人情報(氏名、生年月日、住所、指紋等)と個人関連情報(購買履歴等、それ単体では個人を特定できない情報)が区別され、個人情報の取得自体に本人の同意が原則として必要とされないなど、個人情報の取り扱いは原則として認められるもの、その利用には規制をかけるという建付けになっています。
一方タイ法では、日本法のような個人情報と個人関連情報との区別はなく、個人に関する情報は巾広に個人情報とみなされ、個人情報の取得自体も本人の同意を原則として必要としているなど、全般的に日本法より個人情報の取得と取り扱いに厳格さを求められる内容になっていると言えます。
国外移転規制
また、タイ法はEUのGDPR(一般データ保護規制)をベースとしており、個人情報の取り扱いを厳格に規制することで知られています。GDPRが2018年に施行されて際、適用対象がEU域内に拠点を有する企業のみではなく、EU域内に拠点がなくてもEU加盟国国民の個人情報を取り扱い企業にも適用範囲が及ぶことが大きな波紋を呼びました。
同様にタイの個人情報保護法もGDPRの骨子が色濃く反映され、例えばタイ国内に拠点がある企業のみが対象となるのではなく、タイ国民の個人情報を取り扱う外国企業も同法の適用対象になることに注意が必要となります。例えば日本の本社内のサーバーでタイ現地法人が取得したタイ国民の個人情報を一元管理しているようなケースは同法の適用対象になります。
企業の取るべき対応
タイでは、個人情報保護法の下位法や施行規則が現在も整備進行中のため、まずは同法に関する情報の収集と整理を法務部門が中心となって行う必要があります。同時に、社内のどの部門でどのような個人情報を取得、保持し、どのように取り扱っているのか現状の確認を進めておく必要があります。
その上で自社で必要とされる現実的な対応、具体的には個人情報の取り扱いに関する業務プロセスの見直し、規定の整備、セキュリティーレベルを含めたシステムの見直し、取引先との契約内容の見直し等を検討、計画することが求められます。企業は社員も含めて様々な個人情報を取り扱って事業を行っている存在と言え、個人情報保護法への対応は各社各様に異なるため、社内リソースだけでは対応が難しい場合には弁護士事務所等の外部専門家の活用を視野に入れたほうがいいかもしれません。
いずれにせよ個人情報保護法はまだ判例等も少ない新しい法律であり、コストと便益のバランスをとりながら実務的な対応をとっていく必要があります。個人情報含むデータはヒトモノカネに続く第四の経営資源とも言われており、個人情報の保護と積極的な活用の両立が企業には求められます。今後も同法関連の情報には常にアンテナをはっておくことをお勧めしたいと考えております。
【免責事項】
本稿は、一般的な事項についての情報提供を目的として作成されたものであり、実際の遂行にあたっては、多くの場合関連法規の検討、並びに専門家との協同が必要になります。このため、執筆者並びにその所属先は、本稿の利用に起因する如何なる直接的・間接的な損害に対しても一切の責任を負いかねます。また、本稿記載の情報は作成時点における調査に基づいたものであり、随時更新される可能性がありますことをご了承ください。
「タイはなんでこんなに月次の決算が遅いんだ!」
「タイはなんでこんなに経理スタッフが多いんだ!」
タイで働き始めた日本人の方とお話させて頂くと、このような課題を挙げられる方が多くいらっしゃいます。
タイで決算が遅くなる原因は何か?
社内業務の効率化に向けた予備知識として、知っておきたいタイの会計・税務を動画にしました。お時間のよろしいときにこちらもご視聴頂けましたら幸いです。