いつもWIKI-INVESTMENTの記事をお読みいただきありがとうございます！

今回は
【個人情報保護法の大枠について】というテーマで、お話していこうと思います。

個人情報保護法の大枠について

以前、タイ国個人情報保護法（Personal Data Protection Act “PDPA”）について、
新型コロナウィルスの感染拡大による緊急対策等で、個人情報保護に関する社内整備には手が回っていない企業様もいらっしゃると思います。

現在も、PDPAの細則については、政府から発表は出ておらず、実際に運用が開始されるのか、
延期されるのか、不明な状況が続いておりますが、本ブログで、PDPAの大枠を一緒に把握していきましょう。

個人情報の適用範囲については、以下の通りとなります。

1. タイ国内にいる情報管理者・情報処理者が、個⼈情報の収集・使⽤、開⽰を行う場合
2. タイ国外にいる情報管理者・情報処理者が、以下の⾏為をする場合
   2-1. タイ所在者にサービスや商品を提供する場合（⽀払の有無を問わない）
   2-2. タイ国内における⾏動の監視を⾏う場合（例：ターゲティング広告）

なお、個⼈的利益や家族の活動のみのための個⼈情報の収集である場合や、裁判所や司法担当官による司法⼿続き、
法の執⾏の場合、国家の安全保障の責任を担う政府機関の活動等は、PDPAの適用外となります。

PDPA整備における、全体的な流れは以下の通りになります。

①Privacy Notice/Policy

プライバシーノーティスやプライバシーポリシーとは、会社が個人情報保護に関する考え方や方針、利用目的等を明文化したものをいいます。
サイト上へ、記載が必ず必要ではないですが、個人情報を収集する場合は、プライバシーノーティスの記載が必要になります。

②同意

同意については、前回のブログでもお伝えした通り、情報収集の目的や、収集対象となる情報、情報の保管期間、情報管理者の連絡先や、
データ主体（＝情報提供者）の権利の記載が必要となります。
同意書のフォーマットについては、細則によって定められるとのことですが、現段階ではまだ細則は出ておりません。

③社内整備

データ主体から受け取った個人情報の管理方法については、今後細則が定められる予定です。
タイのPDPAは、EU加盟国及び欧州経済領域（EEA）の一部の個人データ保護のために制定された一般データ保護規則（General Data Protection Regulation “GDPR”）に強く影響されているため、GDPR第 32条にある安全管理措置の部分が反映される可能性も考えられます。

また、個⼈情報をタイ国外にいる第三者へ提供する場合、タイの個⼈情報保護委員会が定める「個⼈情報保護⽔準」を満たしている必要があります。
（※詳細については、今後の細則によって定められる予定です）

④対応

万が一、データ主体の個人情報が漏洩してしまった場合、漏洩の発覚から72時間以内に個人情報保護委員会へ通知する必要があります。
データ主体にも通知が必要となりますが、委員会への通知同様、基準については、今後細則が発表される予定となっています。

この記事に対するご質問・その他タイに関する情報へのご質問等がございましたらお気軽にお問い合わせください。

最後までお読みいただきありがとうございました。