いつもWIKI-INVESTMENTの記事をお読みいただきありがとうございます！

今回は
【タイ国個人情報保護法（PDPA）の適用再延長が決定！②】というテーマで、お話していこうと思います。

タイ国個人情報保護法（PDPA）の適用再延長が決定！②

第２章　個人情報保護（19条～29条）
第２章の個人情報保護（19条～29条）では、個人情報の取り扱いに関して明記されているため、非常に重要な部分となります。
その中でも、特に重要な条文を説明していきます。

◇同意の取得（19条、21条）
個人情報の取り扱いに関して、データ主体へ同意を得る方法や、同意文章作成の注意点が明記されています。

まず、同意方法については、①書面、または②電子的手段のいずれかで行う必要があります。

同意文を作成する上で留意すべき点として、①個人情報の取扱目的の通知、②他の事項と明確に区​​別すること、③平易な文章を使用すること、

④データ主体が誤解を招くような文章にしないこと、⑤データ主体の同意が、自由に与えられていること、⑥データ主体はいつでも同意を取り消す権利があること、

が挙げられます。留意点のうち、特に気を付ける内容としては、同意に際してデータ主体に自由な意思決定が与えられているかどうか、という点です。

条文の中でも、自由な意思決定の部分が『最大限に考慮しなければならない』とあるので、

データ主体からの同意が、データ主体の自由な意思決定の下で行われているかを考慮する必要があります。

◇適法根拠（24条、26条）
前述した同意取得の内容から、個人情報を取り扱う全ての場合に、データ主体から同意を得る必要があるのでは…？と思うかもしれませんが、

以下の適法根拠に該当していれば、同意の取得は不要になります。

以下「特別な種類の個人情報」とは、センシティブな個人情報となります。例えば、人種や民族的な出自、
宗教や思想、犯罪記録、指紋認証等が該当します。

◇プライバシー・ノーティス（23条）
データ主体から個人情報を収集するには、収集時（またはその前）での通知（ノーティス）が必要です。
ノーティスに明記されるべき内容は、23条で明記されているため、

資料を作成する際には、以下の項目があるか確認しましょう。
①個人情報の収集の目的、②個人情報提供の必要性と、データ主体が個人情報を提供しない場合に起こる影響、
③収集する個人情報内容と保管期間、

④開示先の情報、⑤データ管理者の情報、⑥データ主体の権利

◇個人情報の越境移転（28条、29条）
データ主体の個人情報を、第三国（例：日本の親会社等）に送る場合は、個人情報の越境移転に該当するため、以下の3点を確認する必要があります。
十分性認定（タイ国内から、個人情報の越境移転を例外的に認めるもの）を受けているかどうか
個人情報の越境移転に関する適法根拠（契約の履行、同意取得、法的義務の順守等）があるかどうか
もし(1), (2) に該当しないのであれば、個人情報保護規則（拘束的企業準則（BCR）または標準契約条項（SCC））があるかどうか

なお、タイ政府が、十分性認定を日本へ認めるかどうか、個人情報保護規則の詳細については、現時点で不明確な内容となっておりますので、

今後の発表内容によって対応する必要があります。

この記事に対するご質問・その他タイに関する情報へのご質問等がございましたらお気軽にお問い合わせください。

最後までお読みいただきありがとうございました。