June 30, 2022

タイの個人情報保護法について初めて施行された下位規則

タイの個人情報保護法（2019）（Personal Data Protection Act B.E. 2562、「PDPA」）は、2022年6月1日に全面施行され、効力を生じました。PDPAが円滑かつ効率的に実施されるように、個人情報保護委員会（PDPC）は、さまざまな下位規則を発令することになっています。2022年6月20日、はじめて下位規則の一部が発令され、政府官報に掲載されました。デジタル経済社会省（MDES）によると、別の下位規則の一部が2022年6月末までに発令される予定です1。

発令された下位規則は、次の4つです。

1) 小規模事業者がデータ管理者の場合のデータ取扱い記録（ROPA）義務免除に関する通知
(Notification of PDPC Re: Exemption to the Record of Processing Activities Requirement for Data Controllers that Are Small Businesses B.E.2565 (2022)) (「ROPA免除通知」)

PDPAの下では、データ管理者は、収集された個人データ、個人データの取扱いの目的、保存期間等を含む、 39条に規定されたデータ取扱い記録（ROPA）を作成し、保持する義務を負います。しかし、データ管理者が、以下の小規模事業者に該当する場合、上記ROPA免除通知に基づき、この記録作成・保持義務を免除されます。但し、データ主体からの（i）データへのアクセス権、(ii）データポータビリティ権、(iii) 異議を述べる権利（iv）訂正する権利の行使のリクエストを拒絶した場合の記録義務は免除されません。

中小企業等の振興に関する法律に基づく中小企業等であって、次に掲げるもの

社会的企業促進法（Social Enterprise Promotion Law）に基づく社会的企業
協同組合法に基づく協同組合、農業団体
財団、協会、宗教団体、非営利団体
家内工業またはこれと同種の事業
インターネットカフェのサービスプロバイダー。

この免除は、コンピューター犯罪に関連する法律によりコンピュータトラフィックデータを保持することが義務付けられている場合、個人の権利及び自由に影響を及ぼすおそれのある個人データに関係する場合、センシティブデータを取り扱う場合、データ管理者が定期的に個人データを処理する場合などには適用されません。

このROPA免除通知は、2022年6月21日に施行されました。

2) データ処理者によるデータ取扱い記録の作成及び保持に関する規則及び手続に関する通知
(Notification of the PDPC Re: Rules and Procedures for the Preparation and Maintenance of the Record of Processing Activities by the Data Processor B.E. 2565 (2022)) (「データ処理者通知」))

PDPAは、データ処理者に対して、データ取扱い記録（ROPA）を作成及び保持する義務を課しています。上記データ処理者通知によれば、データ処理者は、ROPAにつき少なくとも次の情報を含めなければなりません。

データ処理者の情報
データ処理者のタイ国内代理人に関する情報（該当する場合）
データプロテクションオフィサーの連絡先などの情報（該当する場合）
データ処理者がその代理として又はその指示に従って行動するデータ管理者及びデータ管理者のタイ国内代理人（該当する場合）に関する情報
データ処理者がデータ管理者の代理として又はデータ管理者の指示に従って収集、使用又は開示する個人データの種類又は特徴、収集、使用又は開示の目的
個人データがタイ国外に移転される場合、個人データを受領する個人又は事業者のカテゴリー
データ処理者によって実装されるセキュリティ対策の説明

データ取扱い記録（ROPA）は、書面又は電子的な様式で保持されなければならず、PDPCの事務局、データ管理者又は指定された者が要請した場合には、容易にアクセスでき、かつ、速やかに閲覧が可能でなければなりません。

データ処理者通知は、官報で公表された日から180日後、すなわち2022年12月17日に発効します。したがって、データ処理者にとっては、このROPA要件に準拠するための猶予期間があります

3) データ管理者のセキュリティ対策に関する通知
(Notification of the PDPC Re: Security Measures of the Data Controller B.E.2565 (2022)) (「セキュリティ対策通知」)

セキュリティ対策通知に規定されている最低限必要とされるセキュリティ基準は、2022年5月31日をもって失効したセキュリティ対策に係るMDES（デジタル経済社会省）の前回の告示（以下、MDES告示）に概ね沿ったものです。したがって、MDES告示への準拠の準備を行っていた場合は、2022年6月21日に発効した本セキュリティ対策通知に準拠することは容易です。

セキュリティ対策通知で要求される主な要件は次のとおりです。

データ管理者は、いかなる形式であれ、個人データにセキュリティ対策が適用されることを確実にしなければならない。
データ管理者は、セキュリティ対策として、適切な組織的対策及び技術的対策を行わなければならない。また、データ侵害が起こるリスクのレベルおよびデータ侵害が起こった場合の結果により、必要に応じて、物理的対策も行わなければならない場合もある。
セキュリティ対策を準備する際、データ管理者は、重要な情報に対するリスクの特定、重要なリスクの発生の防止、データ侵害の発生やそのおそれについての監視、それらへの対応、リスクの取扱い及びデータ侵害の回復を、リスクのレベルに応じて適切に考慮しなければならない。
データ管理者は、技術的要因、事情、状況及び類似の業種で受け入れられている基準を考慮して、リスクのレベルに応じて適切に個人データの機密性、完全性及び利用可能性を維持しなければならない。
電子化された個人データのセキュリティ対策は、リスクのレベルに応じて適切に、サーバ、クライアント、ストレージシステム及びデバイス、ソフトウェア等の情報システムの構成要素をカバーするものでなければならない。
個人データのアクセス、使用、変更、修正、削除、又は開示に関するセキュリティ対策については、MDES告示の要件―例えば、アクセス制御、ユーザーアクセス管理、ユーザーの責任、オーディット・トレール等―について実質的に同様である。しかし、セキュリティ対策通知では、さらなる要件が課されている。

上記とは別に、セキュリティ対策通知では、データ管理者が以下を行うことも要求しています。（i）データ管理者の職員及び利用者に対しプライバシー及びセキュリティについての意識を高めること。（ii）必要に応じ、または技術の変更があった場合、データ侵害が発生した場合に、セキュリティ対策を見直すこと。（iii）データ処理者の行うセキュリティ対策に関する要件を設定すること。

4）専門委員会による行政罰の適用の検討についての規則に関する通知
(Notification of PDPC Re: Rules for the Consideration of the Imposition of Administrative Penalties by the Expert Committee B.E. 2565 (2022))（「行政処分通知」）

PDPAの下で任命される専門家委員会は、違反者に罰金を科すだけでなく、行政処分の執行（押収、没収、競売による売買を含む）に関する命令を出す権限も与えられています。

2022年6月21日に施行された行政処分通知の要点は以下のとおりです。

専門家委員会は、制裁金又は行政処分を決定するに当たっては、故意又は重過失の有無、犯罪の重大性の程度、事業の規模、行政処分を行った場合にデータ主体が受ける利益、損害の額、犯罪時の責任の程度及び基準等の一定の要素を考慮する。また、専門家委員会は、違反者に対し、または違反者が法人である場合はその関係者に対し、既に科され又は執行された制裁金又は行政処分がある場合はその記録についても、重要な要素の一つとして考慮する。
行政処分通知では、犯罪を重大性のない犯罪と重大性のある犯罪の2つに分類し、専門委員会では、これらの犯罪について異なる取扱いをする。

非重大犯罪

専門委員会は、データ管理者、データ処理者又はその他の関係者に対し、次の命令を発することができる。

- 違反者に対して、指定された期間内にPDPAの違反又は不遵守を是正、中止、停止、又は差し控えるように求める警告又は命令
- 行為者が個人データ主体に損害を与えることの禁止又は損害を救済するための命令
- 損害救済をはかるため、指定された期間内に、犯罪が行われた個人データの収集、使用又は開示の制限することを命じる命令

上記に加え、専門委員会は、その有効性及び適合性を担保するため、専門委員会が適切と考える人事、プロセス又はテクノロジーの改善の条件又は手順を定めることができる。

重大な犯罪

専門家委員会は、犯罪の重大性及びその他の状況を考慮した上で、違反者に行政罰を科すものとする。また、専門家委員会は、非重大犯罪に関する命令と同様の命令を発することができる。