タイのデータ保護

2117 ビューアー |

タイのデータ保護

個人情報の収集、使用、開示、転送に関する企業及び組織は個人情報保護法（以下、「PDPA」）施行への整備する必要がある。個人情報管理者、個人情報取扱者、または、これらの者の従業員や請負人が個人情報保護法に違反し、その内容を遵守しない場合には、罰則が適用される可能性がある。

例えば、経営責任（500万バーツ以下）・刑事責任（1年未満の懲役または100万バーツ以下の罰金）・実害の二倍以下の懲罰的損害賠償など。更に、PDPAに基づく民事被害は、PDPAにより、データ主体は集団訴訟を起こすことができる。法人が法律に違反した場合に、その法人の代表としての権限を有する取締役は、法令違反を行った法人と同様の責任を負う可能性がある。

PDPA とは？

タイにおけるPDPAは、タイで新たな個人情報の取り扱いを包括的に定めた法律である。2019年から機構設立など一部の条文が施行され、法律全体の完全施行は2020年5月27日からとされていた（2021年延期）。PDPAは、これまでで最も包括的なタイのデータプライバシー法である。ユーザーは情報収集の権利を拡大すると共に、利用者の義務も拡大することを意味する。

個人情報とは？　

個人に関する情報：例えば、えば、肩書き、氏名、性別、年齢、職業、資格、役職、役職、職種、国籍、居住国、生年月日、婚姻状況、家族と子供の数、子供の年齢などの個人情報政府発行のカードに関する情報（例：国民識別番号、社会保障番号、パスポート番号、納税者番号、運転免許証の詳細または類似の識別子）、到着日と出発日、署名、音声、音声記録、お写真などの入国管理の詳細認識のための顔の特徴、CCTVの記録、職場、教育、保険の詳細、ナンバープレートの詳細、住宅の登録、世帯収入、給与及び個人所得など。
連絡先に関する情報：例えば、住所、配達の詳細、請求先住所、電話番号、ファックス番号、電子メールアドレス、LINE ID、Facebookアカウント、Facebook ID、Google ID、Twitter ID、及び電話番号、連絡先詳細を含むソーシャルネットワーキングサイトから他のID通信連絡先データなど。
デビット・クレジットカード又は銀行情報、クレジット・デビットカード番号、クレジットカードの種類、サイクルカット、銀行口座の詳細、支払いの詳細及び記録などの財務情報
インターネットプロトコル（IP）アドレス、クッキー、メディアアクセス制御（MAC）アドレス、Webビーコン、ログ、デバイスID、デバイスモデルとタイプ、ネットワーク、接続の詳細、アクセスの詳細、シングルサインオン（SSO）などの技術的な詳細、ログインログ、アクセス時間と場所、ページに費やした時間、ログインデータ、検索履歴、閲覧の詳細、ブラウザの種類とバージョン、タイムゾーンの設定と場所、ブラウザのプラグインの種類とバージョン、オペレーティングシステムとプラットフォーム、その他のプラットフォームへのアクセスに使用するデバイスなどの技術的な詳細
個人の購入行動に関する情報や、製品及びサービスの使用データなどの行動の詳細
人種、宗教、政治的意見、指紋、顔認識、健康状態等の身体状態若しくは精神状態、遺伝データ、病歴、障害、犯罪歴などの極秘データ

貴社の内部個人情報ガバナンスをすぐに評価し、コンプライアンスのための行動を起こすことをお勧める。内部すべての部門に関与することが含まれる。

タイにおけるPDPAが適用される：

タイ国内に所在する個人情報管理者および個人情報取扱者が行う個人情報の収集、使用または開示タイ国外かを問わないに対して適用される。
個人情報管理者または個人情報取扱者がタイ国外に居住する場合においても、以下に該当す
るときには、個人情報保護法が適用さる：
タイに所在する個人情報保有者に対して、製品やサービスの提供を行うために個人情
報の収集、使用、開示が行われる場合、個人情報保有者からの対価の支払いの有無は問わない
タイに所在する個人情報保有者の行動を把握するための個人情報の収集、使用、
開示が行われる場合

次に何をするべきか？

いくつかの手順を実行する必要がある。
データ・マッピング管理
法的根拠と適用される義務を決定する
プライバシーポリシー、プライバシー通知、関連する法的文書を作成する
データ管理プロセスと運用システムを実装する
PDPAへのコンプライアンスを維持するための内部トレーニングを実施する

備考：
貴社は各企業の規模及び事業運営に沿うふさわしいアプローチをカスタマイズする必要がある。

法的根拠と同意

個人情報のカテゴリー？
- 一般的個人情報
- センシティブ個人情報

個人データの使用に同意が必要かどうかを検討する

他の法的根拠	同意が必要な主な用途
1. 契約を基に	1. マーケティング/データ分析
2. 正当な利益	2. センシティブ情報 / 未成年
3. 法的義務	3. 開示（サービスを提供するためではない）
4. 他	4. 国際送金

同意が必要な場合は、収集/使用する前に同意を取得する
同意を取得する方法を確認する
同意で取得した情報にフラグを付ける

個人情報保護方針

どのタイプのデータ主体を検討する？例えば観客、従業員、ビジネスパートナー
該当する個人情報保護方針を選択する
関連するチャネルに送信/転送する
可能であれば、承認を求める
個人情報の変更/新規使用があれば>>法律顧問に相談

準備する法的文書:

会社

人事

ビジネスパートナー

拘束的企業準則 (該当する場合)
データ保持ポリシーのテンプレートとデータ保持スケジュール
データセキュリティ侵害とプライバシーインシデントへの対応
データ主体の権利ポリシー/手順の準備
データ保護責任者(DPO)代表

会社のプライバシー通知のテンプレート
観客同意書のテンプレート
子供観客の親権者の同意のテンプレート

従業員のプライバシー通知のテンプレート
従業員の同意書のテンプレート
未成年者の親権者の同意のテンプレート
PDPA(個人情報保護法)に従う標準雇用契約
PDPA(個人情報保護法)に従う標準就業規則

管理者から処理者へのデータ保護条項 / データ保護規則のテンプレート
通知書(2021年内にデータ保護規則を実施できない場合)
管理者から管理者へのデータ保護条項 / データ移転契約
通知書(2021年内にデータ移転契約を実施できない場合)
サプライヤへのプライバシー通知
ベンダーデューデリジェンスのチェックリスト

新規のビジネスパートナー - 書類の流れ

ステップ1 ビジネスパートナーが管理者か処理者を検討する	ステップ2 ベンダーデューデリジェンスのチェックリスト (データ処理者のみ)	ステップ3 依存の契約に修正を送る (役割によって異なる)	ステップ4 サプライヤに個人情報保護方針を送る (役割によって異なる)
以下の基準とチェックリストを使って、管理者か処理者かを判別する	データ処理者の場合＝ベンダーデューデリジェンスのチェックリストを送って、データ保護に関するベンダーの資格をクロスチェックする	データ管理者の場合＝「管理者から管理者へのデータ保護条項 / データ移転契約」を送るデータ処理者の場合＝「管理者から処理者へのデータ保護条項 / データ保護規則のテンプレート」を送る	これにより、ビジネスパートナーのディレクター、連絡担当、従業員などに、個人情報の収集、使用、開示、転送の方法、及び権利を通知することができる

チャネルとメソッドの例

フォーム

チャネルの例

通知方法の例

サプライヤへのプライバシー通知

オンライン:

Email Eメール

オフライン:

契約
発注書
登録フォーム
アクセス依頼書
情報更新依頼書

Eメールで返信(プライバシー通知ウェブサイトへのリンクを含む)
Eメールのデフォルト署名で表示
契約/フォームと添付
ウェブサイト上のプライバシー通知へのリンクを言及する条項を契約/フォームに追加する

代替アクション

数	第三者	フォーム	2021年以前の代替アクション
1.	第三者のデータ管理者	管理者から管理者へのデータ保護条項 / データ移転契約サプライヤへの個人情報保護方針管理者への通知書	通知書を送る(2021年内にデータ移転契約を実施できない場合) 契約を中止する PDPAに基づくデータ主体からの通知の証明/同意を取得するまでに、PIIをその様なデータ管理者への転送を中止する
2.	第三者のデータ処理者	データ保護規則のテンプレートベンダーデューデリジェンスのチェックリストサプライヤへの個人情報保護方針処理者への通知書	通知書を送る(2021年内にデータ保護規則を実施できない場合) 契約を中止するその様なデータ処理者の使用を中止する