政府が個人情報保護法に関連する4つの下位規則を発表

6月から完全施行となったタイの2019年個人情報保護法（PDPA）に関連し、政府は4つの下位規則を承認し、6月20日に官報に掲載した。PDPAにかかる通達や下位規則の発出は個人情報保護委員会（PDPC）が管轄している。今回掲載された4つの規則は以下のとおり。

（1）2022年6月10日付PDPC通達「Re：個人情報処理者の活動記録の作成と維持に関する規則、方法」：個人情報の処理者は、PDPCが定める規則・手続きに従って個人情報を扱う活動を記録・整理・保管する義務を負う。また、個人情報の処理者が最低限記録すべき情報として、個人情報処理者・管理者の氏名や、個人データの収集・利用・開示の目的、セキュリティー対策などが規定されている。公布日から180日後に発効。

（2）2022年6月10日付PDPC通達「個人情報管理者のセキュリティー対策について」：個人情報管理者が個人情報に関してどのようにセキュリティー対策を行わなければならないか、条件が規定されている。2022年6月21日に発効。

（3）2022年6月10日付PDPC通達「Re：小規模組織に対する個人情報管理者の記録の免除」：小規模組織は個人情報に関する記録の保管が免除される。中小企業振興法に基づく中小企業や非営利団体、協同組合・農業組合、自営業など、免除対象となる「小規模組織」の定義が示されている。2022年6月21日に発効。

（4）2022年6月14日付PDPC通達「Re：専門委員による行政罰を科する検討基準」：PDPCが違反行為を認定する際の要素が定められている。違反行為の内容や重大性、個人情報管理者・処理者の事業規模、過去の違反行為の有無、セキュリティー対策の水準などが行政罰を科する際の検討要素となる。2022年6月21日に発効。

現地報道によると、PDPCのティエンチャイ・ナ・ナコーン委員長は、同委員会がPDPAの施行を補完するとして、2022年末までに30程度のPDPAの下位規則を発表する予定だと述べている。

PDPCの所掌や権限は以下のとおり。

• 個人情報の活用促進と保護に関するマスタープランの作成
• 個人情報保護に関する措置またはガイドラインの策定
• 下位通達や規則の発出
• タイ国外に送信または移転される個人情報の保護に関する規制の制定
• その他、個人情報保護に関する技術開発の研究、国民に対する個人情報保護に関する技能や意識の向上などの推進・支援。

（北見創、シリンポーン・パックピンペット）