個人情報保護責任者（DPO）の選任にかかる通達が2023年12月から実施

タイの個人データ保護委員会（PDPC）は8月31日、通達「2019年個人情報保護法（PDPA）第41条（2）における個人情報保護責任者（DPO）の選任について（2023年）」を発出し、データ管理者またはデータ処理者がDPOを選任するための基準を規定した。同通達は9月14日に官報に掲載され、同日から90日後の12月13日に発効する。

今回の通達により、データ管理者／処理者の「中核的な活動（管理者または処理者の目標を達成するために必要である重要な作業）」が個人データの収集、使用、開示に関わり、PDPCが定める大規模な個人データを有し、個人データやシステムの定期的なモニタリングが必要となる場合、DPOを選任する必要がある。

「個人データやシステムの定期的なモニタリングが要求される」とは、データ管理者／処理者の中核的な活動が、個人の行動、振る舞いやプロフィールのトラッキングやモニタリング、分析、予測などで構成され、定期的／システム的に個人データを処理している場合だ。また、次のケースも同様だ。

• 会員カード、公共交通機関カード、電子カードなどのデータ処理
• リスク評価（信用スコアリング、詐欺防止など）のための顧客／サービス利用者のデータ処理
• 行動ターゲティング広告を目的としたデータ処理
• コンピュータ・ネットワーク・システム・サービスプロバイダーまたは電気通信事業者による顧客／サービス利用者のデータ処理
• 監視・セキュリティー目的のデータ処理
• その他PDPCが定める活動

さらに、データ管理者／処理者の中核的活動が大規模かどうかは、（1）データ主体の数、（2）データ量、（3）処理期間、（4）処理活動の地理的範囲／地域により決定される。具体的には、次の場合に大規模処理とみなされるほか、業務基準、実務ガイドライン、データ主体に影響を及ぼす関連リスクも考慮される。

• 10万人以上のデータ主体を対象とする中核的活動の一環としてのデータ処理
• 広く使用されている検索エンジンまたはオンライン・ソーシャル・メディアを通じた行動ターゲティング広告のためのデータ処理
• 生命保険会社、損害保険会社、金融機関（信用情報業務関連法に基づく信用調査会社およびその加盟会員を除く）が、それぞれの関連法に基づいて行う顧客／サービス利用者のデータ処理
• 電気通信事業法に基づく第3種免許を有する事業者による顧客／サービス利用者のデータ処理
• その他PDPCがさらに定める場合。

DPOは、その任務または業務がPDPAに基づく法的義務と抵触しない場合に限り、その他の任務または業務を遂行することができる。

（北見創、シリンポーン・パックピンペット）