タイの2019年個人情報保護法(PDPA)は、1年間の延期後、2022年6月1日に完全に施行される予定です。データの所有者として又はデータを使用したい事業者としての我々は、厳しい法的罰則につながる権利の侵害や訴訟を防ぐために、この法律の各条文をよく理解する必要があります。
PDPAとは?
PDPAは、データ所有者の権利を保護し、個人データを受け取る企業がデータ所有者の事前の同意無しにそれらのデータを使用することを許可しないためにタイで制定された法律です。PDPAが制定された原因は、最近、個人データに関するプライバシー権が侵害され、個人データの所有者に迷惑をかけたり、損害を与えたりしているからです。 更に、ここ最近の技術の進歩により、個人データの収集、使用、または開示が迅速かつ容易になり、法の執行がなければ、経済の幅広い範囲に損害を与える可能性があります。
個人データの種類
- 個人データは、データの所有者を直接的または間接的に特定できるデータです。
- センシティブデータは、不当な差別につながる可能性のある個人データです。
上記のようなデータは、収集する際に特別な取り扱いが必要になります。また、センシティブデータは、一般の個人データよりも厳格な法律によって保護されています。
個人データの関係者
- データ主体:データ主体は、個人データが特定された人物またはデータの所有者ですが、亡くなった人物や法人は含まれません。
- データ管理者:データ管理者は、個人データの収集、使用、または開示について決定を下す権限と義務を有する個人または法人です。
- データ処理者:データ処理者は、データ管理者の支持に従って、または、データ管理者に代わって個人データを収集、使用、または開示する個人または法人です。但し、データ処理者はデータを処理する際に自分に決定権はありません。
データ主体の権利
個人データの取得手順
データ主体の個人データを収集したい事業者または組織は、データ収集の目的をデータ主体に提供し、事前にデータ主体の同意を得る必要があります。同意を求める前に、プライバシーポリシーを作成し、保有個人データの取り扱い方法を明確に記載し、データ主体に理解させなければなりません。プライバシーポリシーに記載する必要のある項目は次の通りです。
- 収集対象データ
- 収集目的
- 保有期間
- セキュリティ対策
- 個人データの提供先(開示先)
- データ主体者の権利
- 管理者の連絡先
データ主体から同意を得る際の注意点
- 同意の要求は他の記載から明確に分けられ、容易にアクセスでき、分かりやすい説明文を用いること
- データ主体に目的を誤解させるような方法や内容を使用しないこと
- データ主体はいつでも同意を撤回することができ、撤回する際は同意を与えるのと同じように簡単でなければならないこと
PDPAに違反した場合の罰則
PDPAを遵守するための10の実践ポイント
- 組織内に作業チームを設立します。作業チームは個人情報保護法を正確に理解するために、政策部、法務部、IT部、人事部の担当者から成り立つべきです。
次の事項を網羅する個人データ取り扱い規程を整備します。
- 明確な目的
- 必要な範囲内で個人データを収集、保管、使用、開示すること
- データセキュリティ対策
- 個人データの品質
- データ主体の関与
- 個人情報保護法に基づく個人データの開示
- データ管理者及びデータ処理者の責任
個人データ保護の影響を評価します。データ処理の必要性を考慮し、個人の自由に影響を与えるリスクを管理し、適切なデータ保護対策を策定します。
- データマッピングを作成して、各部門が取得、使用、保管する個人データの種類と、データ管理者を確認します。そして、データの記録体制を整備し、データ源を指定し、データに関するすべてのアクティビティを記録し、発生する可能性のあるリスクと重大度に応じてデータを区別します。
- プライバシーポリシー及び明確でわかりやすい同意書を作成します。
- 個人データの紛失、不正アクセス、破壊、使用、変更、改ざん、開示を防ぐための情報セキュリティ対策を確立します。
個人データの物理的安全対策を立てます。 データ処理装置またはその他の装置は常に安全である必要があります。例えば、ネットワークや通信システムを特定し、データ保存媒体を適切に管理します。
- 情報漏洩が発生した場合の対応策を策定します。データ侵害の予防を記載するマニュアルを作成します。 潜在的な侵害を調査してその結果を報告します。情報漏洩が発生した場合、データ管理者は72時間以内に個人情報保護委員会の事務局に報告する必要があります。
- 所定の規程を遵守するよう、関係者の業務を監視し、定期的にリスクアセスメントを実施します。いずれかのプロセスが法律に違反したり、危険性が高くなったりした場合は、個人データの収集、使用、開示に関連する全てのプロセスを確認または改善する必要があります。
- 定期的にトレーニングを実施し、データプライバシーについての認識を高めます。関係者全員がデータ主体の権利に対する責任と、組織の個人情報保護ポリシーに違反した場合の損害を理解できるようにします。
- データの暗号化や匿名化されたデータの使用など、個人データの安全性と保護法を考慮して、システムを設計および開発します。
- データ保護責任者(DPO)を選定します。PDPAによると、データ管理者とデータ処理者である下記の組織がDPOを任命する必要があります。
- 政府機関
- 顔認証データを処理する会社、保険会社、病院など、主にセンシティブデータの処理に従事する組織
- 大量の個人データを処理する組織
- 国外へのデータ移転(もしあれば)に関連する対策を確立します。受信者の国に適切な個人データ保護法があるかを検討する必要があります。
データ漏洩の結果は、法的な罰則だけでなく、企業のイメージ低下にもつながります。 従って、個人情報を使用する必要のある事業者や、従業員データを処理する必要のある企業の多くの部門は、PDPAを十分に理解すべき、個人データの侵害によるあらゆる損害を防ぐよう直ちに準備する必要があります。