個人情報保護法(PDPA)に関して【2020年版】
  
Topic : Legal
Country : Thailand

いつもWIKI-INVESTMENTの記事をお読みいただきありがとうございます!

今回は
【個人情報保護法(PDPA)に関して】というテーマで、お話していこうと思います。

個人情報保護法(PDPA)に関して

 

1.個人情報保護法の施行に関して

タイの個人情報保護法に関しては、2009年に最初の草案が作成された後、修正などが行われてきましたが、
昨年2019年(2019年5月28日)に正式に施行されました。
適用開始は2020年5月27日からと告知されておりますが、企業として用意すべき同意書や内部規程などの書式や記載事項、
フォーマットなどは現時点(2020年4月末時点)で開示されておらず、実務上必要となる下位規則は未だ定められていない状況となり、
実際の運営・整備に関しては不明瞭な点が多々残っている状況となります。

また、上位規程となる内容に関しては、主にEU(欧州連合)の個人情報保護規程である一般データ保護規程「GDPR」(General Data Protection Regulation)を参照し、作成されていると考えられます。
そのため、日本と比べても厳格なルールが適用されるかと想定され、今後の動向に留意が必要となります。

 

2.企業として整備していくべき事項

現状、下位規則は通達されていないため、実務上、厳密にはまだ内容は明確にはなっておりませんが、下記企業として準備しておくべき事項となります。

  1. 情報管理者(Data Controller)及び情報処理者(Data Processor)の選定
  2. 企業として保有している個人情報の情報整理(Data Mapping)
  3. 個人データ保護規程(Privacy Policy)の作成
  4. 同意書(Consent Letter)及び通知書(Data Processing Agreement)の作成
  5. IT関連のセキュリティの確認

上記内容に関して、原則整備が必要となるかと考えられます。
ただし、上述でも記載した通り、②、③、④に関してはまだ書式、記載内容、フォーマットなどの下位規程などは開示されておりません。

 

3.規制の内容

個人情報保護法で規制の対象となる内容に関しては、上述2で記載の情報管理者及び情報処理者が対象の主体となります。

 

情報管理者(Data Controller)

データ処理の適法性責任を負い、PDPA違反に対する責任を負う個人または団体を意味します。当該管理者は、使用及び開示などを決定する権限を有します。

 

情報処理者(Data Processor)

個人または団体が情報処理者となることができ、管理者の代理として実務的な個人データの処理を行うものとなります。
また、個人データが関連する当該個人のことをデータ主体として定義しております。

 

4.適用範囲

適用範囲に関しては、下記の通りに定められております。

<適用範囲>

タイ国内に所在の情報管理者・情報処理者が、

個人情報の収集・使用、開示をする場合

タイ国外に所在の情報管理者・情報処理者が、以下の行為をする場合

①     タイ所在者にサービスや商品を提供する場合(支払の有無を問わない)

②     タイ国内における行動の監視を行う場合(例:ターゲティング広告)

 

<適用例外>

①     個人的利益、家族の活動のみのための個人情報の収集

②国家の安全保障の責任を担う政府機関の活動

③公共の利益のために個人情報をマスコミ事業、芸術作品文芸作品のみに利用・開示する場合

④議会(下院・上院)がその責任のために個人情報を収集、利用、開示する場合

⑥     裁判所や司法担当官による司法手続き、法の執行の場合

⑦     信用情報会社やその社員に対する、信用情報事業に係る法令に基づく活動

 

5.罰則規定

罰則規定に関しては、下記の通り定められております。

 

1.刑事罰

主にセンシティブな個人情報に関する重大な義務違反があった場合、刑罰罰として禁固も含めた厳罰に処するという内容になっております。

 

2.行政罰

行政罰の内容に関しては、行為類型に応じて細かく分かれておりますが、100万THB~500万THBの罰金が科せられる可能性がございます。

 

6.当社サービス内容

当社では、タイでのPDPAに関しての詳細内容の告知がされるのを待っておりましたが、
告知が現時点でも確認が取れないため、PDPAの基となっていると想定されるGDPRをもとに個人情報保護法に関するサービス提供を開始させて頂きます。

主なサービス提供内容は下記の通りとなります。

1.Due Diligence for Personal Data Protection Act in Thailand (PDPA)
個人情報保護法に関する企業調査サポート

  • 個人情報保護法の企業調査に関するヒアリングシートの作成
  • 個人情報保護法ヒアリングシートに基づき、インタビューの実施
  • データマッピングの作成

 

2.Creation Support for the Documentations Regarding the PDPA.
個人情報保護法に関する資料作成サポート

  • 個人情報保護法に基づく内部規程の作成
  • 個人情報保護法に基づくデータ処理契約書の作成

 

3.Support of Internal Audit for Personal Data Protection (Quarterly, Follow-up Support)
個人情報保護法に関する内部監査サポート(四半期ごと、アフターサービス)

  • 個人情報保護法の運用マニュアルの作成
  • 個人情報保護法に関する企業コンプライアンス調査

 

サービス提供中に法改正、また通知等が新たに行われましたら柔軟に対応できるようさせて頂きます。

 


この記事に対するご質問・その他タイに関する情報へのご質問等がございましたらお気軽にお問い合わせください。

最後までお読みいただきありがとうございました。

Creater : Shuhei Takahashi
You have not selected a plan, please select a plan to ask a question. Select Plan

Related Q & A

取締役変更手続き時に提出する「弁護士のライセンスコピー」とは、顧問弁護士を指すのですか。
カンパニーシールに規定はありますか。
カンパニーシールを要求されている場合、押印がなければ法的拘束力はなくなりますか?
POSシステムの登録前に営業を開始することに何か支障はございますでしょうか
タイにおける定時株主総会の開催日についてのルールを教えてください。
引っ越しをした場合、固定資産の除却損は発生しますでしょうか。 なお、資産登録されているものは新しい場所に移すことを考えております。
2018年7月以降、NACC( 国家汚職防止委員会 (National Anti-Corruption Commission)は、 贈収賄防止に向けた内部統制ガイドラインを規定し、 これを満たす内部統制システムの導入と実施を法人に義務付けています。 これについて、導入可否を検討するのですが、以下教えてください。 ・法が規定している内容が何で、どの程度詳細まで記述しているのか? ・内部統制システムの導入とは具体的に何なのか?  (ISO認証やJーSOXでその代わりとなるのか) ・どの辺まで対応しておくべきなのか?
引っ越しをした場合の現事務所の原状復帰の費用、 および新しい事務所のリノベーションの費用についてですが 5年での償却が必要との認識ですがいかがでしょうか。
親子ローンの税率や条件を変えるときは、 再度契約書を締結する必要がありますでしょうか? もしくは、覚書(MOU)などで対応が可能でしょうか?
タイでの配当にかかる課税に関して教えてください。