2022.07.22

タイ【タイ】森・濱田松本法律事務所 アジアニュース／第81回「個人情報保護法（PDPA）の全面施行及び下位規則の状況について」

【タイ】森・濱田松本法律事務所 アジアニュース／第81回「個人情報保護法（PDPA）の全面施行及び下位規則の状況について」

このたび、森・濱田松本法律事務所アジアプラクティスグループでは、東南・南アジア各国のリーガルニュースを集めたニュースレター、MHM Asian Legal Insights第140号（2022年7月号）を作成いたしました。今後の皆様の東南・南アジアにおける業務展開の一助となれば幸いに存じます。
 
◇タイ：個人情報保護法(PDPA)の全面施行及び下位規則の状況について
 
2019年に制定されつつ、これまで事業者に適用される義務規定について効力発生が猶予されたまま全面施行の延期が続いていた個人情報保護法（Personal Data Protection Act：「PDPA」）について、遂に2022年6月1日付けで本格的な効力発生（全面施行）がなされました。これを受けて、今後はPDPA上の主要規定の具体的な基準・手続等を定める下位規則が段階的に制定されていく予定であり、今後はその動向が重要となってくるところ、早速、2022年6月20日付けの官報に、PDPAの下位規則の第一弾として、以下の各事項に関する告示（個別に又は総称して「本告示」）が掲載されました。

(1) 情報管理者の処理記録保持義務免除の対象となる中小規模事業者
 
PDPA上、情報管理者（data controller）による個人情報の処理については原則として一定の記録（「処理記録」）を保持する義務が定められているところ、小規模事業者については例外的に当該義務が免除されるものとされています。ここでいう「小規模事業者」について、本告示により主にSmall and Medium Enterprise Promotions Act B.E. 2543 (2000) （「中小企業振興法」）上の「中小企業」を含むものと定められました。中小企業振興法上の「中小企業」は、以下の表に記載されている小規模企業又は中規模企業のことをいいます。
 


ただし、「中小企業」がIPアドレスやタイムスタンプ等、コンピュータ犯罪法（Act on Commission of Offences Relating to Computer, B.E. 2550 (2007)）上の「computer traffic data」の収集を伴うサービスを行う場合（インターネットカフェを除く）、当該個人情報の取扱いがデータ主体の権利に影響を与えるおそれがある場合、又は当該中小企業が定期的に（regularly）個人情報の処理を行う必要がある場合には、適用除外の対象にならない点には留意が必要です。
 
(2) 情報処理者の処理記録記載事項
 
PDPA上は下位規則によるものとされるのみで具体的に規定されていなかった情報処理者（data processor）が保持すべき個人情報の処理に関する記録について、必要な記録事項が本告示により定められました。情報処理者は、情報処理者の情報、DPO・コンタクト情報、処理する個人情報の種類・目的・セキュリティ措置等の事項に加え、例えば、情報処理者の処理活動を依頼・指示している情報管理者の氏名や詳細情報を保持する必要があります。
 
(3) セキュリティ対策
 
PDPA上、情報管理者は無権限者の個人情報へのアクセス・改変・漏洩を避けるための適切なsecurity measures（「セキュリティ対策」）を実施する義務を負いますが、本告示により、個人情報の形態（書面、電磁的方法又はその他）にかかわらず、セキュリティ対策は、「CIA三要素（CIA triad）」と呼ばれる個人情報の機密性、完全性、可用性の3つの重要な要素で構成されていなければならないものとされました。また、セキュリティ対策は、組織的及び技術的措置を含むものとし、必要な物理的措置を含むことができるとされています。さらに、セキュリティ対策を施すに当たっては、個人情報の性質と処理目的に応じたリスクの大小や、個人情報に関する権利侵害の潜在的リスクも考慮しなければなりません。
情報管理者は、情報処理者に対し、セキュリティ対策を施すことを求めなくてはならないものとされているため、これらのセキュリティ対策に関する義務は情報管理者と情報処理者の双方が遵守する必要があります。
 
(4) PDPA上の罰則の適用
 
PDPA上、情報管理者や情報処理者の同法違反は禁固刑・過料の対象となることが定められていたところ、本告示により、①専門委員会が違反が重大でないと判断した場合には、専門委員会が違反行為の是正、停止、一時停止、関連する個人情報の処理行為の差止め等を命じることができるとされ、②専門委員会が重大な違反と判断した場合にのみ、当局内の罰則テーブルに基づき法令上の罰則が適用される可能性があるとされています。この「重大な違反行為」の定義は定められていませんが、違反の重大性・深刻度や、当局から指摘を受けたにもかかわらず違反行為を止めず繰り返し違反行為を行ったなどの事情が考慮されることが想定されているようです。専門委員会が、事案の性質に応じて、情報管理者又は情報処理者に対する罰則の適用を検討することになるため、実質的に（少なくとも当面は）同法違反に関する罰則の執行取締りを柔軟化したものといえます。
 
本告示のうち、(1)、(3)及び(4)に関する告示については、官報掲載の翌日である2022年6月21日付けで発効している一方、(2)に関する告示は、官報掲載の180日後である同年12月17日に発効します。個人情報保護委員会はPDPAの下位規則を今後も段階的に発表していく予定とされており、引き続きその動向を注視していく必要があります。
 
（ご参考）
本レター第96号（2019年3月号）
https://www.mhmjapan.com/content/files/00036390/20190320-011345.pdf

（直近記事）
○第78回【フィリピン】公共サービスに関する外資規制の緩和
○第79回【ベトナム】個人情報保護法制の最新動向
○第80回【フィリピン】フランチャイズ契約の登録制度の創設

前のページへ戻る