GDPR準拠の個人情報保護法施行、1年間の移行期間中に十分な準備を

タイ初となる本格的な個人情報保護法（Personal Data Protection Act, PDPA）が5月24日に国王の承認を受け、27日に官報に掲載、翌28日に施行された。主要な条文は発効から1年後に適用される。

GDPR準拠だが、罰則規定などに違いも

タイではこれまで、憲法や民商法、通信ビジネス法などで個人情報保護規定を設けていたが、PDPAは包括的に個人情報の取り扱いを定めた初の法律となる。

同法は、第1章（個人情報保護委員会）、第2章（個人情報保護）、第3章（データ主体の権利）、第4章（個人情報保護機関）、第5章（異議申し立て）、第6章（民事責任）、第7章（制裁金）の計7章と、移行期間を定めた計96節で構成されている。このうち、基本原則やデータ主体、データ管理者、データ処理者などの分類を含む内容は、EU一般データ保護規則（GDPR）を参照して定められている。法令の域外適用についても同様で、例えば、ウェブサイト上にタイ語ページを設けるなど、タイ人観光客を明確に対象とした電子商取引やインバウンド誘致の場合、収集したタイ居住者の情報は、同法の規制対象となる点に留意が必要だ。

GDPRと異なる点としては、行政責任、民事責任に加え、罰則規定の中に刑事責任も含んでいることが挙げられる（第7章第1部）。具体的には、（1）特定個人に損害、中傷、侮辱、嫌悪、屈辱を与え得る情報の無許可利用・公開については、6カ月以下の懲役、50万バーツ（約170万円、1バーツ＝約3.4円）以下の罰金のいずれかまたは両方、（2）情報の無許可利用・公開により、不正な利益を得る行為については、1年以下の懲役、100万バーツ以下の罰金のいずれかまたは両方が科されることとされている。法人による法令違反については、代表者、管理職、経営に責任を持つ人物の命令もしくは行動によって引き起こされるか、責任者の怠慢により引き起こされた場合には、責任者も刑事罰の対象となる点に注意を要する。

1年間の移行期間に情報収集・必要な対応を

PDPA第2条では、5月27日の官報掲載後、第1章（個人情報保護委員会）、第4章（個人情報保護機関）、およびそれら委員会や機関の設立に関する期間を定めた幾つかの条項（91～94節）を除き、1年間の移行期間を設けることを定めている。ベーカー＆マッケンジー法律事務所のシランヤ・ルワッタナ弁護士は「官報掲載後2年以内に同法の関連法規が定められる予定だ。運用が見通せない中ではあるものの、取得している個人情報の整理や、自社でできる準備を着実に進めることが重要だ」としている。具体的には、営業や開発など、部署横断で保有する個人情報のマッピングを行い、対応方法を検討することが有効とされている。

（蒲田亮平）