タイの個人情報保護法(Personal Data Protection Act:PDPA, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)は、2022年6月1日より全面施行され、タイ国内における個人データの取り扱いに大きな影響を与えています。
目次
法律の概要
| 項目 | 内容 |
|---|
| 名称 | 個人情報保護法(Personal Data Protection Act:PDPA) |
| 成立 | 2019年5月27日公布 |
| 施行 | 2022年6月1日(全面施行) |
| 管轄官庁 | デジタル経済社会省(Ministry of Digital Economy and Society) |
| 監督機機関 | 個人情報保護委員会(PDPC) |
| 参考法制 | EUのGDPR(一般データ保護規則)に類似 |
適用対象
| 対象者 | 説明 |
|---|
| タイ国内の個人 | 国籍を問わず、すべての「自然人」の個人情報 |
| タイ国内企業 | 個人情報を収集・処理・保管する法人、組織、事業主 |
| 海外企業(越境) | タイ国内の個人に対して商品・サービス提供を行う企業(eコマースなど) |
保護対象となる「個人情報」とは?
| 種類 | 具体例 |
|---|
| 一般個人情報 | 氏名、住所、電話番号、メールアドレス、ID番号、位置情報、顔写真など |
| 機微情報(Sensitive Data) | 宗教、健康、指紋、顔認証、性指向、政治的意見、犯罪歴など |
機微情報は原則として本人の明示的同意がなければ収集できません。
データ管理者・処理者の義務
データ管理者(Data Controller)
- 個人情報を収集・利用・開示する権限を持つ企業や組織
- 情報主体の同意取得、目的明示、苦情対応などの義務を負う
データ処理者(Data Processor)
- 管理者の指示に基づいて情報を処理する者(外部委託先など)
- 管理者との契約が必須となる
※会計業務を外部の会社に委託している場合、会計処理のための情報を収集する事業者が「データ管理者」、実際に会計処理を行う者(委託先など)が「データ処理者」となります。
個人情報収集・利用等に関する義務内容(概要)
| 義務項目 | 説明 |
|---|
| 同意取得(Consent) | 書面や電子的方法などで明確に行う。なお。契約履行や法的義務など同意不要の例外もある。 |
| プライバシーポリシー | 情報収集の目的、期間、共有先などを明確に開示 |
| 情報主体の権利保障 | 開示請求、訂正、削除、処理停止、苦情申立など |
| 情報漏えい報告義務 | 72時間以内にPDPC(委員会)へ通報が必要。高リスクの場合は本人にも遅延なく通知 |
| データ保管期間 | 最小限に留める必要があり、終了後は速やかに破棄または匿名化 |
| 第三者提供制限 | 情報主体の同意なくして第三者提供は不可(例外あり) |
情報主体(本人)の権利
| 権利名 | 内容 |
|---|
| 知る権利 | どのような情報を何のために利用しているかを知る権利 |
| アクセス権 | 自分の情報への開示請求ができる |
| 訂正権 | 誤った情報の修正を要求できる |
| 削除権 | 不必要または同意撤回後の情報の削除要求 |
| 処理制限 | 利用や提供の制限を要求できる |
| 同意撤回権 | いつでも同意を撤回できる(影響が出る可能性は通知義務) |
違反時の罰則・制裁
| 種別 | 内容 |
|---|
| 民事責任 | 実害の発生に対して損害賠償請求が可能 |
| 行政罰 | 違反内容により上限が異なる。最大500万バーツ、もしくは最大300バーツの罰金(重大違反や通知義務違反) |
| 刑事罰 | 不正な情報開示等で最大1年の懲役または100万バーツの罰金(または両方) |
「同意なく顧客名簿を広告利用」「退職社員の情報を無断利用」などは処罰対象です。
日・タイの個人情報保護制度比較(簡易表)
| 項目 | タイ(PDPA) | 日本(改正個人情報保護法) |
|---|
| 法適用範囲 | タイ国内で処理される個人データ全般 | 国内事業者+国外で日本人データ扱う事業者 |
| 管轄機関 | PDPC(個人情報保護委員会) | 個人情報保護委員会(PPC) |
| データ主体の権利 | 同意撤回・削除・開示など多数 | タイと同様(近年強化) |
| 越境移転規制 | 原則同意必要(例外あり) | タイと同様(第三国評価含む) |
| 罰則 | 最大500万バーツ+禁錮あり | 最大1億円の課徴金制度あり |
