タイの個人情報保護委員会(PDPC)は、データ管理者がデータ主体の同意を得て必要な情報をデータ主体に通知する際に従うべき個別のガイドラインを発表した(個人データの収集、使用、又は開示に関するもの)。同ガイドラインに従うことで、データ管理者は個人情報保護法 B.E.2562(2019)(PDPA)に違反するリスクを軽減できる。
「個人情報保護法に基づくデータ主体からの同意の取得に関するガイドライン」及び「個人情報保護法に基づくデータ主体からの個人情報収集時における目的及び内容の通知に関するガイドライン」が2022年9月7日に公表された。
同意ガイドライン
PDPCの同意取得に関するガイドラインには、同意が有効とみなされるための要件が記載されている。これらの要件には、同意依頼のタイミング、同意依頼に含める必要がある要素、及び同意依頼の性質に関する規定が含まれる。 例えば、同意は、個人データの取得前又は取得時に得なければならず、データ主体は、とりわけ、個人データの取扱いの目的及び詳細の両方について知らされなければならない。そして、データ主体が同意を与える際には、データ主体の明確で肯定的な行為が存在しなければならない。
未成年者からの同意の取得は、より厳格な要件の対象となり、データ管理者は、未成年者に関する個人情報を収集する際に、適切な本人確認及び年齢確認措置を実施する必要がある。このガイドラインでは、未成年者の年齢に応じて、10歳から20歳までと10歳未満に分けて、二種類の要件を定めている。大まかに言って、10歳から20歳までは、すべての状況において親の同意が必要とされるわけではないが、10歳未満は、親が代理して同意することが必要となる。
無能力者又は無能力者に準じる者は、必ず法定後見人の同意が必要となる。
通知ガイドライン
個人データを収集する際のデータ主体への通知に関するガイドラインは、公平性と利用目的の制限という2つの重要な原則を定めている。
公平性の原則のためには、データ管理者が明確かつ理解しやすい文言及び用語を使用すること、収集の前又は収集時にデータ処理に関する適切な目的、結果及びその他の関連情報を個人情報主体に通知することが必要である。本通知ガイドラインはさらに、データ管理者が個人データを取り扱う際に依拠する法的根拠、及び個人データの国境を越えた移転に関する詳細を通知に含めるべきであることを明確にしている。
利用目的を限定するという原則のためには、一般にプライバシーポリシーと呼ばれる通知が、明確、具体的で、合法的であることが必要である。
本ガイドラインは、プライバシーポリシーの形式に関してはフレキシブルである。プライバシーポリシーの提供は、書面でも口頭でもよく、提供手段は、様々な物理的手段、電気通信手段又は電子的手段でもよい。プライバシーポリシーへのアクセスにリンクを用いることも許容される。
データ主体自身以外の情報源から個人情報を収集する場合、データ保護に対するインパクトの評価を行うべきである。特に、データ主体が個人情報の収集について認識していない場合、若しくはデータ主体が同意しなかった場合、又はデータ管理者が大量の個人データを処理する際に新技術を使用する場合は、その評価を行うべきである。
同意依頼書及びプライバシーポリシー
データ管理者が各分野の規制当局(例:タイ中央銀行、証券取引委員会事務局、保険委員会事務局など)の下で特定の法律の適用を受ける場合、そのデータ管理者は、その法律で規定されている標準フォームを採用しなければならない。規定された標準フォームがない場合、データ管理者は、PDPCガイドラインの規定を遵守する際に、業界団体が推奨する標準フォームを使用することができる。
Tilleke & GibbinsのPDPAチームによる本ガイドラインに関する詳細情報、又はPDPA要件への準拠については、以下の執筆者までお問い合わせください。
備考:本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。 Thailand Issues Guidelines on PDPA Consent and Notification Requirements