タイ個人情報保護委員会、個人情報の国外移転にかかる2つの通達を発表

タイ個人情報保護委員会（PDPC）は2023年12月12日、2019年個人情報保護法（PDPA）第28条に基づき外国に送信または移転される個人情報保護基準に関するPDPC通達（第28条通達）と2019年個人情報保護法（PDPA）第29条に従って外国に送信または移転される個人情報保護の基準にかかるPDPC通達（第29条通達）を発出した。両通達は、2023年12月25日に官報に掲載された後、90日後（2024年3月24日）に発効する。

第28条通達は、個人情報の移転先の国や国際機関が、十分な個人情報保護基準を有しているかを規定した通達となっている。ただし、同通達に具体的な国や国際機関が記されているわけではなく、PDPCは今後、十分な個人情報保護基準を有した国や国際機関のリストを発行したり、ケースバイケースで判断したりする、としている。

第29条通達では、上記第28条通達で規定した例外（十分な保護基準を満たしている国や国際機関への移転）に加え、（1）拘束的企業準則（Binding Corporate Rules：BCR）、（2）適切な保護措置（Appropriate Safeguard）のいずれかに基づき、外国へ個人情報を送信・移転する場合の個人情報保護の基準を規定している。

詳細は添付資料を参照。

（北見創、シリンポーン・パックピンペット）