タイ個人情報保護法、完全施行を1年延期へ

タイ政府は5月19日の閣議で、個人情報保護法（PDPA）の完全施行を1年間（2020年5月27日～2021年5月31日）延長する法案を承認した。

PDPAは、タイで初めて個人情報の取り扱いを包括的に定めた法律で、2019年5月28日から、機構設立など一部の条文が施行されていた。他方、個人情報の収集・利用・開示や、違反時の罰則など、企業対応を要する主要な章は1年間の移行期間が置かれ、それらを含む法律全体の完全施行は2020年5月27日からとされていた（2019年5月30日記事参照）。

しかし、新型コロナウイルスへの対応が企業にとって大きな負担となり、PDPA完全施行への準備が間に合わないという声が、昨今企業から寄せられていた。タイ政府は、今回の施行延期により、企業などへの負担を軽減する方針だ。

今回、5月19日付の閣議で、施行が延期された条文は、第2章（個人情報保護）、第3章（データ主体の権利）、第5章（苦情申し立て）、第6章（民事責任）、第7章（罰則）、および第95条（既得権条項または暫定措置）だ。これらの条文の施行延期により、個人情報の管理や処理を行う企業は、2021年5月31日までに、新制度下のルールを順守できるよう、準備を行うことになる。具体的には、社内の個人情報のマッピング（注）、プライバシー通知などの書類作成、個人情報の取り扱いに関する社員の意識を高めるためのトレーニングなどだ。

施行延期に係る同法案は、今後、国王裁可を得た後、官報で交付される予定だ。また、並行して、PDPAを管轄するデジタル経済社会省も関連する細則の準備を進めている。

（注）マッピングとは、社内での部署横断的に、個人情報の定義について共有し、各部署保有する個人情報を把握する作業。

（田口裕介、今泉美里）