はじめに
タイには多くの日本企業が進出をしており、在留邦人数は米国、中国、オーストラリアに次ぐ82,574人注1であり、企業数も5,856社注2と、中国、米国に次ぐ世界で3位の地位を占めています。従前より製造業を中心に日本企業の拠点が多くなり、近年ではサービス業の進出も多くなっています。
タイでは新型コロナウイルスの感染の拡大の前までは堅調な成長を続けており、多くの日本企業がタイに進出し、ビジネスを展開していました。そのようなタイ国外からの投資の受入れ国として成長するに伴い、タイは先進国入りを目指しており、それにあわせてデジタル産業の進展を後押しする新たな法律も導入するようになりましたが、その一つがタイ個人情報保護法(Personal Data Protection Act of Thailand)注3(以下、「PDPA」といいます)です。
PDPAは2019年に成立し、その一部が2019年5月に施行されました(PDPAを管轄するタイ個人情報保護法委員会(Personal Data Protection Committee(以下、「PDPC」といいます)の設立等に関する条項)。当初より、適用対象となる法人が果たさなければならない義務に関する
・ 第2章(個人情報保護)
・ 第3章(データ主体の権利)
・ 第5章(苦情申し立て)
・ 第6章(民事責任)
・ 第7章(罰則)
・ 第95条(既得権条項または暫定措置)
については施行後1年を経過した2020年5月から施行される予定でしたが、2020年上半期に生じた新型コロナウイルスの感染拡大により、適用対象となる法人側のPDPAに対する準備が整っておらず、また、同法に基づいて設立される予定であったPDPCも設立されておらず、PDPCで定められることになっている下部規則も公表されないままであったことから、2020年5月に施行が予定されていた部分につき1年間の延期が決定されました。しかしながら、引き続き新型コロナウイルスの感染拡大が収まらず、2021年5月になってもPDPCは設立されず、PDPCが下部規則も定められなかったことから、再度の1年間の延期が決定され、2022年6月1日からの施行が予定されていました。
新型コロナウイルスの感染拡大が必ずしも収まっていない中、2022年1月に漸くPDPCが設立され、2022年6月1日からPDPAは施行されましたので、本稿ではPDPAの内容を踏まえつつ、データ越境移転規制に焦点を当て、その現在地と今後の展望について解説します。
PDPAの適用範囲
原則
PDPAは、タイ国内にいる個人情報管理者または個人情報取扱者による個人情報の収集、利用、開示に対して適用されることが原則です(ただし、当該収集、利用、開示がタイ国内で行われるか否かは問いません)(5条1項)。
ここでいう各用語の定義は、以下のとおりと定められています。
・ 「個人情報」とは、直接的、間接的に個人を特定することを可能とする個人に係る情報をいう(ただし、死者の情報は含まない)。なお、日本の個人情報保護法上の要配慮個人情報に該当する「機微情報」の概念も定められており、人種、種族、政治的見解、宗教上の信仰、哲学的信念、性的志向、犯罪歴、健康情報、身体障がい、労働組合情報、遺伝子情報、生物学的情報、またはPDPCが規定するデータ主体に上記情報と同様の影響を及ぼすその他の情報に係る個人情報とされている。
・ 「個人情報管理者」とは、個人情報の収集、利用または開示に関する意思決定を行う権限および義務を有する自然人または法人をいう。
・ 「個人情報取扱者」とは、個人情報管理者でない者であって、個人情報管理者の命令に従い、または個人情報管理者に代わって個人情報の収集、利用または開示に関して業務を行う自然人または法人をいう。
域外適用
個人情報管理者または個人情報取扱者がタイ国外にいる場合であっても、個人情報管理者または個人情報取扱者の活動が以下のものを対象としている場合には、PDPAは適用されます(5条2項)。
① タイ国内にいるデータ主体に対して物やサービスが提供される場合(支払がデータ主体によりなされるか否かは問わない)
② データ主体の行為がタイ国内で行われる場合に、当該データ主体の行動分析を行っている場合
したがって、たとえば、タイに拠点がある日本の会社において、タイ拠点を通じてタイのユーザーや消費者に対してサービスや製品を提供している場合であっても、最終的に日本本社においてその必要な個人情報の収集、利用または開示を決定する権限や義務を有しているような場合にはPDPA上の「個人情報管理者」とみなされる可能性があります。他方で、タイに拠点(子会社、支店、駐在員事務所)を有していたとしても、上記のような個人情報の収集、利用または開示を決定する権限や義務を有していないのであれば、日本本社に対してPDPAの適用があるものではありません(この場合には、タイに所在する拠点や取引先からタイに所在する個人の個人情報の提供を受け取る場合であっても、PDPA上従わなければならない義務はなく、PDPA上の対応をする必要はありません)。
まずはタイに関連する事業において収集している情報に個人情報が含まれるか否か、その管理を日本の法人にて監督する権限があるかどうかを判断する必要があるでしょう。
PDPA上の越境移転の要件
個人情報をタイから受け取る日本法人が個人情報管理者や個人情報取扱者に該当せず、PDPAが適用されないとしても、個人情報管理者に該当するタイに所在する会社がタイ国外の会社に個人情報保護法上の個人情報を提供する際には、以下の越境移転に関する規制が及びます。
原則
タイの個人情報管理者が個人情報をタイ国外に送信または移転する場合、原則として、法定されている一定の例外的場合を除き、当該個人情報を受け取る相手国または国際機関が十分な個人情報に関する保護措置を有していなければならず(28条)、かつ、PDPCが定める下部規則に従って行われなくてはなりませんが、本稿執筆時点(2022年6月27日)ではその下部規則は草案も開示されておらず、施行されていません(送信先となる国や国際機関が十分な保護措置を有していない場合には、PDPCに報告する義務があり、PDPCがそれに対する判断を行います)。
なお、28条で定められている越境移転の下部規則に従わなくとも個人情報の越境移転ができる例外的な場合は、以下の場合です。
① 法律に基づく送信である場合
② 個人情報の送信先となる国または国際機関の個人情報の保護措置が十分でないことを伝えたうえで、データ主体から同意を得ている場合
③ データ主体が契約当事者である契約の履行のため、またはその契約締結前にデータ主体の要求に基づいて手続を行うために必要である場合
④ データ主体の利益のために、個人情報管理者と他の個人または法人との契約に従った行為である場合
⑤ データ主体が同意を不要することができない場合で、データ主体または他人の生命、身体または健康への危害を防止または抑止するために必要な場合
⑥ 重要な公共の利益のために必要である場合
送信元のタイの個人情報管理者が28条に基づく義務に違反した場合には、300万バーツ以下の罰金の対象となり(83条)、当該義務の対象となる個人情報が機微情報に該当する場合には、500万バーツ以下の罰金の対象となります(84条)。
さらに、
❶ 第三者に対して損害を与えるような方法等によって、当該義務に違反した場合:6か月以下の懲役または50万バーツ以下の罰金のいずれかまたはその両方
❷ 自らまたは第三者が不当に利する方法で、当該義務に違反した場合:1年以下の懲役または100万バーツ以下の罰金のいずれかまたはその両方
が科されます(79条)。
グループ間移転の例外
1.で述べたPDPA 28条の原則にかかわらず、タイに所在する個人情報管理者または個人情報取扱者が、タイ国外に所在する他の個人情報管理者または個人情報取扱者に対し、事業またはグループを共同で運営するために個人情報を送信または移転することに関する個人情報保護に関するポリシーを共に定めている場合であって、当該個人情報保護に関するポリシーがPDPCにより審査かつ認定されている場合には、当該個人情報をタイ国外に送信または移転することができます(29条)。なお、越境移転に関するポリシーの内容はPDPCにより定められることになっていますが、本稿執筆時点では施行されておらず、草案も公表されていません。
なお、タイから個人情報を受け取る主体が個人情報管理者または個人情報取扱者に該当することが前提となりますので、Ⅱ2.で述べた5条2項の要件に該当する場合には、当該タイ国外に所在する主体がPDPAの要件を満たさなければならないため、実際の負担が大きく軽減されるものではないかもしれません。
PDPCの判断や下部規則が存在しない場合の例外
PDPA 28条に基づくPDPCの判断がなされていない場合、またはPDPCの越境移転に関する下部規則が施行されていない場合であっても、個人情報管理者もしくは個人情報処理者がデータ主体の権利の行使を可能とする相当の個人情報の保護措置(PDPCが規定したルールと方法に基づく効率的な法律上の救済策を含みますが、同ルールは開示されていません)を提供する場合には、同条に従わずにタイ国外に個人情報を送信または移転することができるとされています(29条3項)。
罰則
提供元のタイの会社がPDPA 29条に基づく義務に違反した場合には、300万バーツ以下の罰金の対象となり(83条)、当該義務の対象となる個人情報が機微情報に該当する場合には、500万バーツ以下の罰金の対象となります(84条)。
PDPAが日本企業やそのタイ拠点に適用された場合
日本企業やそのタイ拠点がPDPA上の個人情報管理者または個人情報取扱者に該当する場合(PDPAが域外適用された場合も含みます)には、PDPAに基づく義務を遵守する必要がありますが、その代表的なものは以下のとおりです。
個人情報の収集、利用および開示に関する同意の取得(19条)
個人情報管理者が個人情報を収集、利用または開示をする場合には、原則として、データ主体から事前の同意を得なければならず、PDPCが作成したひな型および記載事項にしたがって同意を取得することが要求されていますが(19条3項)、その点に関する下部規則は施行されていません。
上記のとおり、同意のひな型は決まっていないものの、書面または電子的手段により、他の事項とは明確に区別され、容易にアクセス可能でわかりやすい形式および記載内容で、明確かつ平易な言語を使用し、データ主体を欺いたり誤解させたりしない形式で行わなければなりません。
上記同意を取得しなかった場合には、100万バーツ以下の課徴金の対象となります(82条)。
個人情報の収集時の通知事項(23条)
個人情報管理者が個人情報を収集する場合、データ主体が既に認識している場合を除き、個人情報の収集前または収集時に、PDPA 23条で定められている主に以下の事由をデータ主体に通知することが義務づけられています。
① 個人情報の取得目的
② 取得される個人情報およびその保存期間
③ 個人情報の開示先の類型
④ 個人情報コントローラーに関する情報およびその連絡先
⑤ タイ個人情報に定められたデータ主体の権利
上記同意を取得しなかった場合には、100万バーツ以下の課徴金の対象となります(82条)。
個人情報の正確性の確保(35条)
個人情報管理者が収集した個人情報は、正確、最新、完全かつ誤解を招かないような状態で保持しなければいけません。
適切なセキュリティ対策(37条1項1号)
個人情報管理者は、個人情報の不正もしくは違法な損失、アクセス、使用、変更、修正または開示を防止するために、PDPCが定める要件に従った適切なセキュリティ対策を講じる必要があり、必要な場合や技術の変化があった場合には、適切な安全およびセキュリティを維持するために当該対策を見直す必要があります。
当該義務に違反した場合には、300万バーツ以下の課徴金の対象となります(83条)。
この点、37条1項1号で定められることになっているPDPCが定めるセキュリティに関する要件を定める下部規則(PDPC Notice on Security Measures of Data Controllers B.E. 2565)注4については、2022年6月20日に施行されました。同規則では、以下のような内容が定められており、個人情報管理者が遵守しなければならないとされていますが、依然として一般的な内容が定められています。
個人情報管理者は、個人情報の損失および不正または違法なアクセス、使用、修正および開示を防ぐためにセキュリティ対策を講じる必要がありますが、同規則によれば、当該セキュリティ対策は少なくとも以下の条件を満たさなければなりません。
① 対象となる個人情報が文書形式か電子形式か、またはその他の形式であるかを問わず、セキュリティ対策は個人情報の収集、使用および開示を対象とするものでなければならない。
② セキュリティ対策は、個人情報の収集、利用および開示の性質および目的に応じたリスクの程度ならびに個人情報の侵害の可能性および影響を考慮して、適切な組織的措置および技術的措置(必要な物理的措置を含みます)からなるものでなければならない。
③ セキュリティ対策は、リスクの特定、当該リスクおよび個人情報の侵害の監視ならびに個人情報の侵害により生じた損害の処理および救済を考慮しなければならない。
④ セキュリティ対策は、リスクの程度に応じて、個人情報の機密性、完全性およびその可用性を維持できることを考慮しなければならない。
⑤ 電子形式による個人情報の収集、利用および開示については、サーバー、ソフトウェおよびアプリケーション等の関連するITシステムを対象としたセキュリティ対策が講じられていなければならない。
⑥ 個人情報へのアクセス、利用、変更、修正、削除または開示に関しては、以下のような措置で構成されている必要がある。
❶ 身分証明および認証を伴うアクセスコントロール。最小特権の原則に従ったneed to knowをもとにしたアクセス権および利用権の認可
❷ ユーザーの登録、登録解除、管理、レビュー、削除またはアクセス権の調整を含む、適切なユーザーアクセス管理
❸ 不正にまたは許可なく個人情報にアクセス、使用、変更、修正、削除または開示することを防止するためのユーザーの責任の指定
❹ 個人情報へのアクセス、変更、修正、削除または開示を確認し、追跡する方法
⑦ 個人情報保護方針、ガイドライン、個人情報保護対策等を通知する等、個人情報管理者の職員、従業員、利用者のプライバシーおよびセキュリティに関する意識を高めるための措置を講じている必要がある。
⑧ セキュリティ対策は、適切なセキュリティ対策を効率的に維持するために、必要な場合または技術の変化があった場合に見直さなければならない。個人情報の漏洩があった場合には、本人の権利および自由に影響を及ぼすおそれがない場合を除き、セキュリティ対策の見直しの必要性があるものとみなす。
⑨ 個人情報管理者と個人情報取扱者の間の契約を作成する場合、個人情報管理者は、この通知に従って、個人情報の損失および不正または違法なアクセス、使用、修正および開示を防止するための適切なセキュリティ対策を個人情報取扱者に求めることを検討しなければならない。
⑩ 個人情報管理者が他の法令に基づき個人情報のセキュリティ対策を講じる義務を負う場合、個人情報管理者は当該他の法令を遵守するものとするが、当該セキュリティ対策は、本通知の最低要件を満たすものでなければならない。
個人情報の不法または不正な使用および開示の防止(37条1項2号)
個人情報が個人情報管理者以外の第三者に提供される場合、個人情報管理者は、個人情報の受領者が個人情報を不法にまたは許可なく使用または開示することを防止する措置を講じなければなりません。
当該義務に違反した場合には、300万バーツ以下の課徴金の対象となります(83条)。
個人情報の消去または破壊のための精査体制(37条1項3号)
個人情報管理者は、
・ 個人情報の保存期間が終了した場合
・ 個人情報が無関係になった場合
・ 収集目的を超えた場合
・ データ主体が要求した場合
・ データ主体が同意を撤回した場合
に備えて、個人情報の消去または破壊のための精査体制を整える必要があります。
当該義務に違反した場合には、300万バーツ以下の罰金の対象となります(83条)。
個人情報漏洩の通知(37条1項4号)
個人情報管理者は、個人情報の漏洩がデータ主体の権利等に対するリスクにつながる可能性が低い場合を除き、個人情報の漏洩を認知してから72時間以内に、可能であれば遅滞なくPDPCに通知することが要求されます。また、個人情報の侵害がデータ主体の権利等に対する高いリスクにつながる可能性がある場合、個人情報管理者は、遅滞なく、その改善措置等をデータ主体に通知しなければなりません。
データ主体に対する通知および当該通知の免除については、PDPCが定める下部規則および手続に従って行わなければなりませんが、本稿執筆時点では施行されていません。
当該義務に違反した場合には、300万バーツ以下の課徴金の対象となります(83条)。
タイにおける代表者の選任(37条1項5号)
個人情報管理者がタイ国外に所在する場合には、原則として、タイに居住し、個人情報管理者の目的に従って個人情報の収集、利用、開示に関して制限なく行動する権限を有する個人情報管理者の代表者を書面を通じて選任する義務を負います。
ただし、個人情報管理者が機微情報ではない個人情報を収集、利用、開示する業務を行っている場合で、PDPCに定めた数の個人情報を扱っていない場合には、上記代表者を選任する義務は適用されません。しかしながら、この例外に関する下部規則は施行されていません。
当該義務に違反した場合には、300万バーツ以下の課徴金の対象となります(83条)。
個人情報記録(39条)
個人情報管理者は、データ主体およびPDPCが確認できるように、法定された事項(個人情報の内容や収集目的、個人情報管理者の詳細等)について書面または電子的方法により記録しなければなりません。
当該義務に違反した場合には、100万バーツ以下の課徴金の対象となります(82条)。
データ処理契約(40条3項)
個人情報取扱者が個人情報管理者から委託を受けて個人情報の収集、利用、開示に関する活動を行う場合、個人情報管理者は、個人情報取扱者がPDPAに基づく個人情報取扱者の義務に従った活動を行うよう管理する契約を個人情報取扱者と締結しなければなりません。
個人情報保護担当者の選任および支援(41条1項、42条2項)
①個人情報管理者の個人情報の収集、利用、開示の活動が、PDPCが規定・公表する数の個人情報を有することを理由に、個人情報またはシステムを定期的に監視する必要がある場合、または②個人情報管理者の活動の中心が機微情報の収集、利用、開示である場合、個人情報管理者は個人情報保護担当者(Personal Data Protection Officer)を任命しなければなりません。
当該義務に違反した場合には、100万バーツ以下の課徴金の対象となります(82条)。
PDPA施行前に収集された個人情報の同意撤回方法の公開(95条)
PDPAの施行日(2022年6月1日)以前に個人情報管理者が収集した個人情報については、個人情報管理者は当初の目的のために当該個人情報の収集および利用を継続する権利を有するものとされています。ただし、個人情報管理者が自らの個人情報の収集・利用することの継続をデータ主体が望まない場合、データ主体が容易に同意の撤回を届け出ることができるよう、同意の撤回方法を作成し、公表することが求められています。
まとめ
以上のとおり、越境移転に関する規制に関連して、PDPAに従って課される義務について説明しました。PDPAはようやく全面的に施行されましたが、まだ下部規則が開示されていないということもあり(特に越境移転に関するガイドラインは草案も開示されていません)、具体的にどのように法律の要件を満たすことができるのかという点について不明確な点も多く残されています。
そこで、越境移転に関する対策をどのように講じるべきかという点が問題となりますが、実務的な対応としては、日本や他の国に所在する拠点で利用している越境移転に関するルールをベースに規定を用意し、下部規則が施行された段階で適宜アップデートの対応をしていくことになるでしょう。
この点、PDPAが施行される直前の2022年5月23日に政府主導で開催されたセミナーにおけるMDESのMr. Chaiwut Thanakamanusornによれば、「違反行為の摘発や罰則の執行についてはPDPAの施行から1年間猶予する」との発言がありました。この点に関する公式な通達は発行されていませんし、PDPCに確認したところでもその有無は明らかではありませんが、運用として事実上1年間の猶予が認められる可能性はあるようです。したがって、引き続き他社の動向やPDPCの運用の状況につき注視しながら、可能な限りすみやかにPDPAの対応を行う必要があります。
→この連載を「まとめて読む」
- 外務省公表の令和3年10月1日現在の海外在留邦人数調査統計に基づく。[↩]
- 外務省公表の令和2年10月1日現在の海外進出日系企業拠点数調査に基づく。[↩]
- MDES公表の「Personal Data Protection Act, B.E. 2562 (2019)」に基づく。[↩]
- 官報公表の「PDPC Notice on Security Measures of Data Controllers B.E. 2565」に基づく。[↩]
安西 明毅
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士
2003年早稲田大学法学部卒業。2004年弁護士登録、友常木村法律事務所(現アンダーソン・毛利・友常法律事務所外国法共同事業)に入所。2010年米国ペンシルバニア大学ロースクール卒業(LL.M.)、2010~2012年マレーシア・クアラルーンプール、2012~2013年タイ・バンコクに駐在、2016年に同事務所バンコクオフィスの代表となり現在に至る。東南アジア全域における日本企業の進出・M&A案件、および進出後の労務・紛争案件ならびに国際金融、証券取引などの金融案件を扱う。