タイでは、2019年5月に個人情報保護法は施行される予定であったが、コロナの影響等を考慮して、2021年6月1日まで全面的に施行が延期された。ただし、6月1日までの期間でも、対象者はMinistry of Digital Economy and Societyの基準に従って情報のセキュリティ施策を行わなければならないとしている。
「個人情報」とは
タイでいう「個人情報」は、個人に関する情報で、直接・間接を問わず個人を特定することのできる情報をいう。
以下の情報については、収集にあたり本人の明示的な同意が必要。一般の個人情報よりも厳しい規制がある。
- 人種
- 民族的な出自
- 政治意見
- 宗教
- 性行動
- 犯罪歴
- 健康データ
- 障がい
- 労働組合情報
- 遺伝データ生体データ
規制の対象者と義務
規制の対象者は、次のとおり:
- 情報管理者(Data Controller):個人情報の収集、利用または開示について決定する権限および義務を有する者
- 情報処理者(Data Processor):情報管理者の指示によりまたは情報管理者のために個人情報の収集、利用または開示に関する活動を行う者
まず、情報管理者には、次の義務がある:
- 情報管理者の義務
・管理する情報が正確、最新かつ誤解を生むものでないように確保 - セキュリティー確保
- 情報主体または個人情報保護委員会による確認のために、収集した個人情報の記録を保持
次に、情報処理者には、次の義務がある:
- 情報処理者から適法に支持を受けた方法以外で個人情報処理を行わない
- 不法または権限外の利用などを防止するために適切なセキュリティーを確保
- 個人情報の処理記録を保持
個人情報を収集する際の規制
情報管理者が個人情報を収集する際は、情報主体から同意を得る必要がある。さらに、情報主体に対して利用目的等を書面または電子的に通知しなければならない。
同意取得しなくて良い場合は次のとおりである:
- 研究、教育、統計等の目的等で収集され、個人情報保護委員会の規則に従って適切に管理される場合
- 生命、身体または健康への被害を防止または抑制するために収集される場合
- 情報主体が当事者となっている契約の履行または契約締結前に情報主体の要請に応じて行う行為のために必要な場合
- 公共の利益のために情報管理者が追っている法的義務の履行に必要な場合
- 情報管理者またはその他の者の正当な利益のために必要な場合
- 情報管理者による法律に基づく履行の場合
なお、通知事項は、次のとおり:
1.情報収集目的
2.収集される情報の種類および保管期間
3.情報の開示対象となる第三者の種類
4.情報管理者の情報および連絡先
5.情報主体が個人情報保護法上有している権利(同意撤回など)
タイ国外への情報移転
タイ国外に個人情報を移転する場合、原則として、移転先の国で十分な個人情報保護があることが必要。何をもって十分というかはまだ明確な基準が定められていないため、今後アップデートしていく予定。
タイ国外でも適用されるのか
個人情報の収集、利用または開示がタイに所在する情報管理者または情報処理者により行われる場合は、適用対象となる。従い、収集等がタイ国外で行われていても、上記にあたる場合は適用あり。また、外国の情報管理者または情報処理者であってもタイ国内の者に対して商品やサービスの提供を行う場合または、タイ国内の者の行動の把握のために行われる場合は、適用対象となる。
簡単にいえば、タイにいる人と何らかの関わりがあれば適用対象となる。
情報主体の権利は
情報主体は、次のような権利がある:
1.情報管理者の有する自分の個人情報にアクセスすること
2.自らの同意なく収集された個人情報の入手方法の開示を求めること
3.目的に照らして不要となった場合、同意を撤回した場合などの場合には、自らの個人情報の削除、破棄、一時的な利用停止または匿名かを要求すること
罰則
情報管理者は、法律違反により情報主体または情報処理者に損害が生じた場合、故意または過失にかかわりなく、損害賠償しなければならない。さらに、実損の2倍を超えない範囲で懲罰的損害賠償が認められている。
刑事罰としては、健康・生体データなどのセンシティブデータに関する義務違反等については、1年以下の懲役もしくは100万バーツを超えない罰金またはその併科がある。
行政罰としては、情報管理者による個人情報収集の際の目的未通知について100万バーツを超えない過料、目的外使用について500万バーツを超えない過料等、違反の内容により過料が定められている。
