タイでビジネスを行っている企業にとって、2022年6月に本格施行された「個人情報保護法（PDPA）」は、今後の事業運営における大きな転換点といえます。今回はこの「個人情報保護法（PDPA）」について、どのような法律で企業は何をしなければならないのかを解説します。

個人情報保護法（PDPA）の概要

この法律は、個人情報の収集、利用、開示、保存などを厳格に管理することを義務付けるもので、対象はタイ国内に拠点を持つ企業はもちろん、海外からタイの個人に関するデータを取り扱う企業にまで及びます。

そのため、グローバルに展開する日系企業にとっても無関係ではいられない重要な法制度です。

保護されるべき情報

まず理解しておきたいのは、PDPAが保護対象とする「個人情報」の範囲です。

氏名、住所、電話番号、顔写真、身分証番号、IPアドレスなど、個人を直接または間接的に識別できる情報がこれに該当します。さらに、宗教・信仰、人種、生体認証データ、健康情報、性的指向など、いわゆる「機微情報（sensitive data）」に分類されるデータについては、より厳格な取り扱いが求められます。

これらの個人情報を業務で扱っている企業は、自社の情報管理体制がPDPAに適合しているかを、早急に確認する必要があります。

本人への確認（Consent）

PDPAのもとでは、個人情報を取り扱う組織に対していくつかの義務が課されています。

たとえば、情報を収集する際には、その目的を明確にし、本人の自由意思による明確な同意（Consent）を得なければなりません。事前にチェックが入っているような曖昧な同意の取り方は基本的に認められません。

個人情報を扱う目的を明確に示す

収集した情報は、同意を得た目的の範囲内でのみ使用することができ、目的を変更する場合には再度同意を得ることが必要です。

情報主体である個人には、自分の情報にアクセスしたり修正したり、削除や利用停止を求める権利も保障されています。これらの権利への対応が不十分であった場合、企業側には責任が問われる可能性があります。

違反した場合

万が一、PDPAに違反した場合、企業は重大な法的リスクに直面します。行政処分のほか、最大500万バーツの科料が命じられることがあり、故意や重大な過失が認定された場合には懲役や罰金が科されることもあります。

特に、情報を不正に第三者へ提供したようなケースでは、より厳しい罰則が適用される点に注意が必要です。

ほとんどの企業・団体が対象

たとえばホテルや観光業では、外国人顧客のパスポート情報や健康情報を取り扱う場面が日常的にありますし、通販サイトやアプリ運営会社では、Cookie情報や個人の連絡先を取得する機会が多くあります。

一般的な企業でも採用活動においては、応募者の履歴書や面接記録といった情報の保管・管理も対象となります。つまり、業種を問わず、ほとんどの企業や団体がPDPAの影響を受けることになるのです。

企業としてすべきこと

企業として取るべき対応としては、まず社内でどのような個人情報を保有・利用しているのかを明確にすることが第一歩です。

プライバシーポリシーの作成、Consent、責任の所在

既存のプライバシーポリシーや利用規約がPDPAに準拠しているかを見直し、適切なものへアップデートする必要があります。それらが無い企業はまずはそれらを作成することが必要です。

さらに、本人から、個人情報収集の際に適切な同意（Consent）を得る仕組みを整備する必要があります。

情報保護責任者（DPO）

必要に応じて「情報保護責任者（DPO）」を任命し、社内の関係者に対する教育や訓練を実施することも重要です。

システムでの対応

さらに、漏洩や不正な横流しなどのインシデントを未然に防ぐため、情報へのアクセス権限の見直しやシステムの暗号化など、実務レベルでのセキュリティ対策も欠かせません。

PDPAへの対処は継続的に行うべきこと

個人情報保護法（PDPA）は、一度対応して終わりという性質のものではなく、継続的な運用と改善が求められる法制度です。対応が遅れれば遅れるほど、後々のリスクやコストが大きくなることを考えると、今のうちに基盤を固めておくことが、将来のトラブル回避につながると言えます。

個人情報保護法（PDPA）に関するお悩みがございましたら、

是非弊社へお問い合わせください。

お困りごと、ご相談