2019年2月28日に開かれた国民立法議会において個人情報保護法が承認され、2019年5月27日に官報において公示されました。
同法は2020年5月27日から施行されます。
個人情報保護法は、個人情報の収集・利用・開示・海外転送等を包括的に管理する法律であり、同法により、個人データの収集・利用・開示には、原則個人情報所有者の同意が必要となります。
要旨は以下のとおりです。
1.用語の定義
個人情報・・・「個人に関する情報で、直接的・間接的か問わず当該個人を特定できるもの」
例:氏名、個人の電話番号、住所、IDカード番号、eメールアドレス、写真など。
センシティブ個人情報・・・民族、種族、政治的見解、宗教上の進行、性的行状、犯罪歴、健康情報、身体障害、労働組合情報、遺伝子情報、政治的見解など。
※センシティブ個人情報を収集・利用・開示する場合は、より厳格な義務が求められます。
個人情報管理者・・・個人情報を収集、利用、又は開示する権限を有する自然人又は法人。
個人情報取扱者・・・個人情報管理者の指示の下、又は個人情報管理者の名義で、個人データの収集、利用、又は開示の実施を担う自然人又は法人。
2.個人情報所有者への通知および事前同意
個人情報管理者は、原則として個人情報収集前に、個人情報所有者に個人情報の収集の目的、保存期間、個人情報開示先の種類、法律や契約等に従い個人情報を提供なければならないケース及び個人情報を提供しない場合の影響、個人情報管理者の情報や連絡先、及び個人情報所有者の権利などを通知しなければなりません。その上で、個人情報所有者から以下の条件を満たす適切な同意を得ることが義務付けられます。
・個人情報が収集、使用、開示される前またはその時に、書面または電子システムで、個人情報所有者より明確に同意の旨が提示されること。
・同意が示された文書に対して、容易にアクセスが可能で、その書式や内容は理解しやすいものであること。
・個人情報は、個人情報所有者の自由意思により提供されること。
・
3.個人情報保護法の適用範囲
タイ国内に所在する個人情報管理者および個人情報取扱者が行う個人情報の収集、使用または開示に対して適用されますが、
個人情報管理者または個人情報取扱者がタイ国外に居住する場合においても、以下に該当するときには、個人情報保護法が適用されます。
・タイに所在する個人情報所有者に対して、製品やサービスの提供を行うために個人情報の収集、使用、開示が行われる場合(対価の支払いの有無は問わず)
・タイに所在する個人情報所有者の行動のモニタリング目的での個人情報の収集、使用、開示が行われる場合
4.同意の免除事由
同法においては、個人情報の同意免除事由も定められております。
個人情報とセンシティブ個人情報とで事由が異なります。
個人情報の同意免除事由
・人の生命、身体又は健康への危険防止
・個人情報所有者が当事者である契約の履行のため
・個人情報管理者の公益のための活動における義務の実行、又は個人情報管理者に委任された国の権限行使における義務遂行のため
・個人情報管理者の合法な利益のため(ただし当該利益は個人情報所有者の個人情報における基本的な権利よりも重要性は劣る)
・個人情報管理者の法律に基づく行動のため、など。
なお、センシティブ個人情報の同意免除事由は以下のとおり限定されており、上記のように個人情報管理者の合法な利益のためなどとの主張は認められません。
・法律に基づく請求権の行使、または法律に基づく請求権への対抗のため
・公衆衛生面での公共の利益のため
・社会福祉制度及びサービス提供のため、など
5.個人情報の国外への転送
従業員の個人情報を、日本の親会社に報告したり、会社のサーバーやクラウドサーバーがタイ国外にある場合は、以下の国外転送要件を満たす必要があります。
・転送先の国に十分な個人情報保護基準が存在すること、かつ
・国外転送にあたり、個人情報保護委員会が定める個人情報保護原則を遵守すること
国外のグループ企業へ転送する場合、個人情報保護方針を作成し、個人情報保護員会の認証を受けることで上記の要件は免除されますが、
本稿執筆時点でその認証を受けるための手続きなどは定められておりません。
従って、現時点で現実的には、個人情報所有者に対し、転送先に適切な個人情報保護基準がないことを通知した上で、所有者本人から同意を得れば、タイ国外に個人データを転送することが可能です。
6.個人情報所有者の権利
同法で認められている個人情報所有者の主な権利は以下のとおりです。
・個人情報に関する同意を撤回すること。しかし、既に、同意に基づいて行われた個人情報の収集、使用または開示を取り消すことはできません。
・個人情報管理者が管理する個人情報へのアクセスまたはコピーを請求すること
・個人情報の収集、利用、開示の当初の目的が果たされ、保存する必要のなくなった個人情報について、個人情報の抹消、匿名を請求すること
・個人情報管理者に対して、個人情報の使用を停止すること
・個人情報管理者に対して、個人情報を正確かつ完全で、最新に保つようにすることを請求すること
・個人情報管理者、個人情報取扱者、または、これらの者の従業員や請負人が個人情報保護法に違反し、その内容を遵守しない場合には、苦情を申し立てること
7.個人情報管理者および情報取扱者の義務
同法で定められている個人情報管理者および個人情報取扱者の主な義務は以下のとおりです。
・個人情報所有者への通知義務(前述)
・個人情報が許可なく、または不法な方法で紛失、アクセス、使用、変更、改変または開示されることを防止するため、適切な対策を講じること
・個人情報保護法で定められている期間以上にわたり保管されている情報や、目的外の用途で保管されている個人情報を検知・管理するシステムの導入
・個人情報への不正アクセスなどの侵害が発覚した場合、または、その事を警告された場合には、72時間以内に個人情報保護委員会に通知すること
・個人の権利や自由に影響を与える可能性の高い侵害については、個人情報所有者に侵害の事実及び救済指針を遅滞なく通知すること
・個人情報保護法に定める一定の事由に該当する場合には、個人情報保護担当者を任命すること
※センシティブデータの収集、利用、開示を主たる事業とする企業や、大量の個人情報の定期的かつシステマチックなモニタリング必要な場合など
8.罰則
・刑事責任
個人情報管理者が個人情報所有者の同意なく個人情報をを利用又は開示した場合や、センシティブ個人情報を十分な個人情報保護基準ない国を転送した場合、それが損害や名誉毀損をもたらしうるのであれば、
6 ヶ月以下の懲役、500,000バーツ以下の罰金、又は併科。なお、これらの行為を自己又は他人の利益のために行った場合は、1 年以下の懲役、100 万バーツ以下の罰金、又は併科。
・行政責任
セキュリティ対策なくセンシティブ個人情報を保管した場合や、個人データ収集前の通知を怠った場合、個人情報管理者が記録義務に違反した場合などは、違反の内容により、500,000~5,000,000バーツの罰金
・民事責任
個人情報管理者又は取扱者が、故意又は過失問わず、個人情報保護法に違反し個人情報所有者に損害を与えた場合は、損害が不可抗力やデータ主体自身の行為により生じたものである、または法律に基づく係官の命令に従い生じたことを証明できない限り、損害賠償請求の対象となります。損害賠償額には、個人情報所有者が損害を防ぐために生じた費用も含まれます。
なおこの民事罰には、実際に生じた損害賠償金の2倍を上限とする懲罰的損害賠償金も定められており、裁判所は、個人情報管理者及び取扱者がとった損害軽減措置や、個人情報所有者に生じた損害の深刻さなどの事情を勘案した上で、金額を裁定するとされています。
官報ホームページに公開された個人情報保護法より
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF