個人情報保護法が6月から完全施行

タイで6月1日から2019年個人情報保護法（PDPA）が完全施行された。PDPAは7章96条から成る法律で、2019年5月27日に官報に掲載された（2019年5月31日記事参照）。当初は1年間の猶予期間の後、2020年5月27日から施行される予定だった。しかし、新型コロナウイルスへの対応が企業の負担となっていることを理由に、一部の内容のみ先行的に施行され、完全施行は2度延期されていた。今般、ようやく全ての条文について施行された。

同法では、従業員、サプライヤー、ベンダー、卸売業者、顧客を含むデータ主体の個人情報を収集、使用、開示するタイ国内の事業者は、個人情報の処理がタイ国内／国外で行われるかどうかにかかわらず、PDPAを順守する必要がある。同法の要件に違反した場合、事業者は民事、刑事、行政上の罰則が科される。有限会社の取締役、その他の責任ある立場にある者は、有罪となった場合は刑事罰の対象になる可能性がある。

PDPAにおける定義は以下とおり。

• 「個人情報」：自然人に関する情報で、当該個人を直接／間接的に識別できるもの（故人に関する情報を除く）
• 「データ主体」：個人情報によって直接／間接的に識別される個人（故人・法人を除く）
• 「個人情報管理者」：個人情報の収集、利用、開示について決定する権限を有する自然人または法人。
• 「個人情報処理者」：個人情報管理者の指示に従い、または個人情報管理者に代わって個人情報の収集、利用、提供を行う自然人または法人。個人情報管理者と個人情報処理者は別の者でなければならない。

個人情報を収集、使用、開示するためには、個人情報管理者は同意、契約、正当な利益、または法的義務となる法的根拠に依拠する。個人情報管理者は、対象者の個人情報が収集される前、または収集時に、データ主体に通知を行う義務を負う。個人情報の収集、使用および開示の目的を、情報保有者に提供しなければならず、個人情報の使用に責任を負う個人情報管理者は、情報が安全で、違法な変更またはアクセスから保護されていることを確認しなければならない。

データ主体の権利としては、（1）情報にアクセスし、コピーを入手する権利、（2）データポータビリティーの権利、（3）処理に反対する権利、（4）データを消去する権利、（5）処理を制限する権利、（6）修正する権利、（7）申し立てを行う権利、（8）同意を撤回する権利などが含まれる。

個人情報の海外移転については、個人情報保護委員会（PDPC）が今後規定するPDPAに基づく規則を順守する必要がある。PDPCは2022年1月18日に設立されている。

（北見創、シリンポーン・パックピンペット）