いつもWIKI-INVESTMENTの記事をお読みいただきありがとうございます!
今回は
【タイ国個人情報保護法(PDPA)の適用再延長が決定!③】というテーマで、お話していこうと思います。
タイ国個人情報保護法(PDPA)の適用再延長が決定!③
第3章 データ主体の権利(30条~42条)
第3章のデータ主体の権利(30条~42条)では、PDPA上では、第3章はデータ主体の権利というテーマになっています。
しかし、第3章の詳細は、データ主体の権利の他にも、データ管理者の義務、データ処理者の義務等についても明記されています。早速確認していきましょう。
◇データ主体の権利
データ主体の権利については、30~36条にて明記されています。データ主体の権利は以下の通りです。
- 個人情報へのアクセス、およびコピーを要求する権利
- データ主体の同意なしに取得された個人情報の開示を要求する権利
- データ管理者から、データ主体に関する個人情報を受け取る権利
- 個人情報の収集、使用、または開示に異議を唱える権利
- 個人情報の消去、または破棄を要求する権利
- 個人情報を識別できないよう匿名データを要求する権利
- 個人情報の使用の制限を要求する権利
- 個人情報を最新のものにするよう要求する権利
上から3番目の「データ管理者から、データ主体に関する個人情報を受け取る権利」については、単にデータ主体の個人情報を受け取るだけでなく、
データ主体が、データ主体自身の個人情報を、他のデータ管理者に送信または転送するように要求する権利も含まれています。
(31条)また、上記で挙げた当該データ主体の権利について、データ管理者は、適法根拠を理由に、データ主体の権利の要求を拒否することが可能です。
なお、拒否の適法根拠がない場合は、データ主体から要求を受けた日から30日以内に対応する必要がある点、留意が必要です。
◇データ管理者の義務(37条、39条)
データ管理者の義務を説明する前に、データ管理者の定義について改めて確認していきましょう。PDPA6条の用語定義では、
「データ管理者(Data Controller)」について、個人情報の収集、使用、開示に関して、
決定を下す権限と義務を有する、個人または法人と明記されています。
データ管理者の義務は以下の通りです。
- 適切なセキュリティ対策と効率的に見直しを行う義務
- データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務
- 個人情報を削除する義務(適法根拠がない場合)
- 個人情報の侵害を遅滞なく、通知する義務
遅滞なく個人情報の侵害と是正措置を、データ主体に通知する義務(高いリスクの場合)
- データ管理者の代理人を書面にて指定する義務
- 取扱活動の記録を作成し、保管する義務(書面または電子形式のいずれかで作成、保管する)
上記の義務のうち、5番目の「データ管理者の代理人を書面にて指定する義務」については、データ管理者が
①タイ国外にいる個人または法人であり、
②タイ国内のデータ主体から個人情報を収集、使用・開示(及び転送等)を行う場合は、代理人の指定が必要となります。
◇データ処理者の義務(40条)
データ処理者の義務を説明する前に、ここでも念のため、データ処理者の定義を確認していきたいと思います。
「データ処理者(Data Processor)」とは、データ管理者の命令に従って(またはデータ管理者の代わりに)
個人情報の収集、使用、開示に関連する活動を行う個人または法人を指します。
例えば、社会保険登録や削除登録の管理を、別の会社に依頼されている場合は、その会社はデータ処理者に該当します。
データ処理者の義務は以下の通りです。
- 個人情報の収集、使用、開示は、データ管理者の指示に従ってのみ、取扱を行う義務
- 適切なセキュリティ対策を行い、発生した個人情報の侵害をデータ管理者に報告する義務
- 個人情報の取扱活動の記録を行う義務
- データ管理者と契約の締結を行う義務
データ管理者がデータ処理者を管理する方法として、Data Processing Agreementの締結が挙げられます。
当該契約書の締結及びデータ処理者の管理によって、データ管理者は、
義務の一つである「データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務」を果たすことができます。
ここまでデータ主体の権利と、データ管理者・データ処理者の義務について説明させて頂きました。
この記事に対するご質問・その他タイに関する情報へのご質問等がございましたらお気軽にお問い合わせください。
最後までお読みいただきありがとうございました。
