コラム

更新日： 2024年9月11日

個人データ保護法

監修弁護士川村励弁護士法人ALG&Associates バンコクオフィス所長

タイの個人データ保護法（以下「PDPA」）といいます）は2022年6月1日に施行されました。タイで事業を立ち上げて拡大することを望むすべての企業はPDPAを順守しなければなりません。

本記事は、読者がタイのPDPAを理解できるようガイドいたします。

タイの個人データ保護法（PDPA）とは？

PDPAは、タイに本拠を置くデータ主体に関するデータ保護に適用され、データ主体に関するすべての処理活動を対象としています。

PDPAは、データ処理、データ収集、データ保存、データ同意に関する法律であると共に、データ所有者から取得する必要のある同意、データを明示的な目的にのみ使用することを定めています。

PDPAは、同法の不順守に関して、最大500万バーツの行政上の罰金および最大100万バーツの刑事上の罰金を科しています。

PDPAの適用範囲

PDPAは、個人データの定義において生存する個人のみを保護し、死亡した個人に関する情報を明示的に排除しています。

PDPAは、個人データの処理に関して、タイ国内のデータ主体に適用され、データ主体の国籍や居住地について明確に言及していません。

一方、国家安全（国家の財政的安全や公共安全を含みます。マネーロンダリング（資金洗浄）、科学捜査、サイバーセキュリティの防止と抑制に関する職務を含みます）を維持する官公庁はPDPAの適用外です。

PDPAは「データ管理者」を「個人データの収集・使用・開示に関する業務を行う」自然人または法人として定義しており、「データ処理者」を「データ処理者がデータ管理者でない場合において、データ管理者によりまたはデータ管理者のために出された命令に従って個人データの収集・使用・開示に関する業務を行う」自然人または法人として定義しています。

個人データの定義

タイのPDPAは、このデジタル時代においてタイ国民（データ主体）の個人データを保護し、プライバシーを保証することを目的としています。

PDPAは、商業目的のための企業（データ管理者またはデータ処理者）による個人データの収集・使用・開示および／または移転も規制しています。

PDPAは、マーケティング目的、営業目的、行動追跡のためにタイにおいて個人データを収集・使用・開示・移転するすべての個人、ウェブサイト、企業を対象にしています。

同法は、タイ国民の個人データを収集・使用・開示するタイ国外で事業運営する外資系の事業体にも適用されます。

PDPAで定めた個人データは2種類に分類することができます。1つは、人に関する一般的な個人データであり、直接的または間接的に当該人を特定できるデータです（例：氏名、写真、電話番号、IDカード番号、電子メールアドレス、学歴等）。

もう1つは、政治的意見、宗教的信念、哲学的信念、性行動、健康、犯罪歴、労働組合情報等の機微（センシティブ）な個人データであり、データ主体の明示的な同意がない限りまたは法的例外が適用されない限り、その収集・使用・開示等が禁止されるデータです。

適用の地理的範囲

タイ国外のデータ管理者やデータ処理者の活動がタイ国内のデータ主体に対する物品やサービスの提供またはデータ主体の行為の監視に該当する場合、PDPAは当該管理者および処理者に適用されます。

域外適用

PDPAは、タイ国民の個人データを収集・使用・開示するタイ国外で事業運営する外資系の事業体にも適用されます。

PDPAで定めた事業者の義務

個人の個人データを収集する前に、データ管理者は、詐欺的でないまたは誤解を招かない実文書の形態または電子システムにより、当該個人に対して明確な同意を求めなければなりません。

データ主体が最初に当該同意を求める通知を受ける際、データ処理活動が特定目的に合致していることが不可欠です。

個人データの収集は、合法的な目的に従った必要な範囲に限られます。データ管理者はデータ主体に対して、以下の内容について通知しなければなりません。

収集が必要な情報の範囲、使用目的、データ処理ステップの明確化、データ保持期間。
個人データが法または契約を順守して提供されなければならない場合（当該情報が提供されない場合に生じる可能性がある結果を含みます）。
データ管理者が収集された個人データを共有または開示する予定の相手先である人または事業体。
データ管理者またはデータ管理者の関係者の連絡先の詳細、データ主体の権利。データ管理者が他の情報源から個人情報を取得した場合、データ主体に対して30日以内に通知することが必要です。

機微な個人データ（すなわち、身体障害、生体認証情報、性行動、性的関係、政治的意見、宗教等）の保持は禁止されますが、上述の通り、データ主体の明示的な同意がある場合はこの限りではありません。

個人データの越境移転に関しては、タイから移転される個人データを受領する海外の移転先の国または国際組織は、適切なデータ保護基準を有していなければなりません。但し、不適切な基準について通知を受けたデータ主体の同意がある場合はこの限りではありません。

データ管理者は、以下の通り、第37条で定めた様々な法的な義務と責任を負います。

適切な対策による個人データの保護。
他者による個人データの違法なまたは不正な使用または開示の防止。
データ保持期間の終了時またはデータ主体の要求時、未使用の個人データの消去および破壊のための検査データ管理システムの提供。
データ主体およびPDPC事務局に対する、追加の是正措置のための個人データ違反の通知。

データ主体は、いつでも同意を撤回する権利を有します。

データ処理者は、以下の通り、第40条で定めた法的義務を負います

データ管理者の指図に従った、個人データの収集・使用・開示に関する活動の実施。
個人データの保護、個人データが侵害された場合におけるデータ管理者に対する通知、個人データ処理活動の記録の作成と維持。

利用目的等の通知および同意の取得

データ主体が最初に当該同意を求める通知を受ける際、データ処理活動が特定目的に合致していることが不可欠です。

収集するために必要な情報の範囲、使用目的、データ処理段階の明確化、データ保持期間。
個人データが法または契約を順守して提供されなければならない場合（当該情報が提供されない場合における可能性ある結果を含む）。
データ管理者が収集された個人データを共有または開示する予定の相手先である人または事業体。
データ管理者またはデータ管理者の関係者の連絡先の詳細、データ主体の権利。データ管理者が他の情報源から個人情報を取得した場合、データ主体に対して30日以内に通知することが必要です。

同意なしで情報を収集できる場合

PDPAでは「同意の例外」として、以下の3つのカテゴリーを定めています。

通常の個人データの収集に関する同意の免除。
データ主体以外の情報源からの個人データの収集に関する同意の免除。
機微な個人データの収集に関する同意の免除。

PDPAで上記3カテゴリーの同意の例外があるにもかかわらず、それらと免除の根拠の間にはかなりの重複が存在します。以下は、PDPAで定めたデータ主体の同意なしでの個人データの収集・使用・開示のための主な目的です。

個人の生命または健康に対する損害の防止。
非営利組織の合法的活動のための使用。
公共の利益のための歴史的文書または統計的文書の作成。
公衆の利益になる職務の実施、または、国家が割り当てた職務の実施。
契約上の義務の順守。
法的要求の立証、執行、支持。
PDPA、その他の法律、公序良俗目的（衛生および調査）の順守。
雇用主の正当な利益の保護。

同意取得の要件

個人データはその個人により所有されているため、個人データの収集・使用・開示前に、データ主体は当該収集・使用・開示に同意しなければなりません。データ主体はいつでも当該同意を撤回できます。

但し、契約上の理由により撤回できない場合は除きます。性質上、不可能でない限り、同意は書面でまたは電子的に行うことができます。

有効に同意を要求するには、当該要求はPDPAで定めた特定要件を満たさなければなりません。当該要件の幾つかは通知の要件と重複しています。要件は以下の通りです。

収集・使用・開示の目的の通知。
同意要求はその他の事項から明確に区別できなければなりません。
同意要求は、データ主体にとって理解しやすい明確かつ平易な、誤解を招かない言葉を使用して行わなければなりません。

セキュリティ対策

個人データの不正なまたは違法な損失・アクセス・使用・変更・修正・開示を防止するためのセキュリティ対策を取らなければなりません。必要な場合または技術が変化した場合には、適切なレベルの安全とセキュリティを維持するために対策を見直すことが必要です。

データ管理者とデータ処理者の両方がセキュリティ対策に関するすべての義務を順守しなければなりません。

記録保持義務

データ処理者は、PDPAの第40条(3)号に基づき、PDPC（個人データ保護委員会）が指定し公表した基準に従って、個人データの処理活動の記録を作成し維持する義務を負います。

本規定は更に、当該記録に最低限、以下の事項を含めるよう要求しています。

データ処理者の名称と詳細。
データ処理者がその代理としてデータを処理したデータ管理者の名称と詳細。
データ保護責任者（DPO）の氏名と詳細（もしいれば）。
データ処理者が実施した処理活動のカテゴリー（個人データリストと当該処理活動の目的を含む）。
越境移転の場合における、個人データを取得する人または事業体のカテゴリー。
PDPAの第40条1項(2)号に従ったセキュリティ対策に関する基準の内容。

データ処理者は、書面によりまたは電子的に当該記録を作成することができます。データ処理記録は、要求があり次第、PDPC、データ管理者、許可された者に対して直ちに提示できる方法で、容易にアクセスでき、維持されなければなりません。

第三者に対する開示の制限

データ管理者は、データ主体の同意なしに、第三者に対してデータ主体の個人データを開示してはなりません。提供先である第三者による個人データの違法なまたは不正な使用または開示を防止するための対策を順守することが必要です。

個人データの国際移転の制限

個人データをタイ国外に移転することはできません。但し、個人データを受領する国または国際組織が規制当局の見地から適切な個人データ保護基準を有しており、当該移転が規制当局の規則に従っている場合は除きます。

以下の場合に、個人データの国際移転禁止の免除が適用されます。

データ主体が当該国際移転に同意し、データ管理者がデータ主体に対して適切な通知を行った場合。
当該国際移転がデータ管理者とデータ主体との間の契約の履行のために必要な場合。
当該国際移転がデータ主体の重大な利益を保護するために必要な場合。

グループ企業間での移転は、国際移転が同一グループ内の組織／関連企業に対して行われる場合、および、当該移転が共同事業の運営のために行われる場合、上記の要件を免除することができます。

但し、当該グループ企業の個人データ保護方針が規制当局により承認されなければなりません。

移転要件は、日常的にデータの越境移転を行う多国籍組織に影響を与える場合があります。

しかし、欧州内の多くの組織が既に類似の（そしてより厳しい可能性が高い）データ保護法を順守することを考慮すると、PDPAの影響はデータの越境移転に関して限定的かもしれません。

タイにおける国内代表者とデータ保護責任者（DPO）の任命

データ保護責任者（以下「DPO」といいます）の任命は、PDPA（および将来の下位の規制）で定めた必須条件です。

DPOは、PDPA（および将来の下位の規制）が定めた条件が満たされる場合に必要です。例えば、個人データ管理者または個人データ処理者の中心的活動が機微な個人データの収集・使用・開示である場合、DPOの任命が必要です。

情報漏洩への対応

個人データ違反が発生した場合、データ管理者はPDPC事務局に対して、遅滞なく－すなわち、当該違反を知ってから72時間以内に－通知しなければなりません。但し、当該個人データ違反に個人の権利と自由に影響を及ぼすリスクがない場合はこの限りではありません。

必須の通知書式は存在しませんが、通知には、上記のPDPC通知が要求する情報、DPOの連絡先情報、影響の可能性、是正措置を含めなければなりません。

書簡により、人が対面で、または電子チャネル経由でPDPC事務局に対して通知することもできます。

更に、個人データ違反が個人の権利と自由に影響を及ぼす可能性が高い場合、データ管理者は、当該個人データ違反を知った後、不当に遅滞することなく、データ主体に対しても通知しなければなりません。

データ主体の権利および留意事項

データ主体は、自分の個人データを処理および収集する事業者に対して、以下の権利を有します。

通知を受ける権利
個人データ管理者はデータ主体に対して、個人データの収集前または収集時に、必要な詳細（すなわち、収集目的、データ保持期間、データ主体の権利）を通知しなければなりません。但し、データ主体が既に当該詳細を知っている場合は除きます。
アクセスする権利
データ主体は、データ管理者が収集・使用・開示する自分の個人データにアクセスする権利または当該データの複製を要求する権利を有します。
訂正する権利
データ主体は、データ管理者が収集・使用・開示する不完全な、不正確な、誤解を招く、または、最新でない自分の個人データを訂正させる権利を有します。
消去する権利
データ主体は、データ管理者に対して、データ管理者が収集・使用・開示する自分の個人データを削除または匿名化するよう要求する権利を有します。但し、データ管理者が法的義務を順守するためにまたは法的要求を立証・行使・防御するために当該データを保持する必要がある場合、データ管理者は当該削除または匿名化する義務を負いません。
異議を申し立てる／オプトアウトする権利
データ主体は、自分の個人データの特定の収集・使用・開示に対して異議（ダイレクトマーケティングに対する異議等）を申し立てる権利を有します。
データー可搬性の権利
データ管理者が自動ツールまたは自動装置により判読可能なまたは一般的に使用される書式で個人データを整理し、当該データが自動的手段により使用または開示できる場合には、データ主体は、データ管理者がデータ主体に関して保持する個人データを取得する権利を有します。
データ主体は、以下の権利も有します。
- 個人データの送信または移転が自動的手段により行うことができる場合において、データ主体がデータ管理者に対して、上記書式により個人データを他のデータ管理者に送信または移転するよう要求する権利。
- データ管理者が他のデータ管理者に送信または移転する個人データを、データ主体が上記書式で直接取得することを要求する権利。但し、技術的理由により当該行為が不可能な場合はこの限りではありません。
自動化された意思決定に従わない権利
データ主体は、PDPAが定めたプロファイリングを含む自動化された個人の意思決定に従わない権利を有しません。
その他の権利
- 制限する権利
  データ主体は、特定の状況（例：自分の個人データをもはや保持する必要がないが、データ主体が法的要求の立証・順守・行使・防御のために当該データの保持を要求した場合）において、自分の個人データの使用を制限する権利を有します。
- 同意を撤回する権利
  データ主体は、自分の個人データの収集・使用・開示に自分が同意した目的のために、いつでも当該同意を撤回する権利を有します。
- 苦情を申し立てる権利
  データ主体は、自分の個人データの収集・使用・開示が違法であるまたはPDPAを順守していないと自分が確信した場合、所轄官庁に対して苦情を申し立てる権利を有します。

PDPA違反に対する罰則

民事上の責任

データ管理者またはデータ処理者がPDPAを順守せず、データ主体に対して損害を与えた場合、当該管理者または処理者は、損害賠償に加えて、実際の損失および損害の最大2倍の懲罰的損害賠償を支払わなければなりません。

但し、当該損害が (1)　不可抗力事由もしくはデータ主体自身の行為に起因すること、または (2) PDPA（第77条および第78条）で定めた義務を果たすもしくは権限を行使する際に政府職員の命令に従って行われた行為に起因することが証明できる場合は除きます。

PDPAに対する不正行為を根拠とする損害賠償請求は、データ主体が損害およびデータ管理者もしくはデータ処理者の身元を知った日から3年後または当該損害を引き起こした出来事の発生日から10年後に時効になります。

刑事上の責任

データ主体の同意を得ずに、データ主体者もしくはその評判に損害を与える可能性のある方法で個人データ保護義務に違反した場合、または、データ主体を嫌悪もしくは恥にさらした場合、データ管理者は、6カ月以下の懲役刑および／または最大50万バーツの罰金が科されます。

データ管理者自身または第三者に違法に利益をもたらすことを目的とした場合、データ管理者は、1年以下の懲役刑および／または最大100万バーツの罰金が科されます（第79条）。

更に、本条で定めた違反は併科できる違反です。法人の場合、その取締役は懲役刑に処される可能性があります（第81条）

行政上の責任

データ収集、目的、関連事項に関してデータ主体に対して通知しない場合、データ主体のアクセス権を拒否した場合、データ主体の同意がない場合、PDPAに従って記録を作成しない場合、DPOを任命しない場合、DPOの支援を提供しない場合、最大100万バーツの罰金が科されます。

法的根拠のないデータの収集・使用・開示、違法な国際データ移転、追加目的もしくはデータ違反の不通知、データ主体を騙すもしくは誤解させることによる同意の取得、適切なセキュリティ基準の欠如、国内代表者の任命の不履行は、最大300万バーツの罰金が科されます。

機微な個人データの違法な処理は、最大500万バーツの罰金が科されます（第82条～89条）。

国王令第2号に基づく22種類の組織と企業に関するPDPA適用免除の枠組みの範囲内で、個人に対して損害を与える個人データおよび／または機微な個人データの使用または開示が存在する場合、データ主体は「タイ民法および商法」の第420条に従って不正行為に基づく損害賠償請求に関して、民法で定めた権利を行使することができます。