タイで安心して事業を進めるための安全・セキュリティの基本
情報セキュリティ
2022年6月1日に全面施行されたタイの個人情報保護法(PDPA)は、タイ国内で事業を行うすべての企業に対して、個人情報の収集・利用・開示・保存に関する厳格なルールを課す法律です。日本の「個人情報保護法」やEUの「GDPR」に類似した枠組みを持ち、外国企業であってもタイ国内の個人に関わる情報を取り扱う場合は適用対象となります。そのため、タイで事業を展開する日本企業も、PDPAへの対応を怠れば罰則や風評リスクに直結するため、制度の概要と実務上の対策を正しく理解することが重要となります。
PDPAの対象と適用範囲
PDPAは、以下のような場合に適用されます:
- タイ国内に事業所を持つ企業
- タイ国内に所在する個人(顧客・従業員など)の個人情報を収集・利用・保存・移転する企業
- タイ国外企業であっても、タイ居住者に対して商品・サービスを提供する場合
つまり、タイ国内の消費者向けにウェブサイトを通じて商品を販売したり、タイ人従業員を雇用したりする場合には、たとえ本社が日本であってもPDPAの義務が発生します。
保護対象となる「個人データ」の定義
PDPAにおける「個人データ」とは、特定の個人を識別できる情報を指します。具体的には以下のようなものが該当します:
- 氏名、住所、電話番号、Eメールアドレス、身分証番号
- IPアドレス、クッキー識別子(オンライン上の個人識別情報)
- 顔写真、音声記録、生体認証情報(バイオメトリクス)
さらに、健康情報、宗教、性的指向、犯罪歴などの「機微な個人データ(Sensitive Personal Data)」については、より厳格な保護義務が課されます。
データ取扱者の主な義務
企業が個人データを扱う場合、PDPA上の「データ管理者」または「データ処理者」として、以下の義務を負うことになります。
| 義務 | 内容 |
| 同意取得 | 利用目的ごとに明確な同意を取得(曖昧な同意は無効) |
| 通知義務 | 収集時に利用目的・保管期間・第三者提供の有無などを通知 |
| 利用制限 | 目的外利用は禁止(利用には明示的な再同意が必要) |
| 安全管理 | 情報漏洩を防止する技術的・組織的安全措置を講じる |
| 苦情対応 | 本人からの開示・訂正・削除・利用停止などの請求に対応 |
| 処理委託契約 | 委託先との契約締結および監督が必須 |
違反時の罰則とリスク
PDPAに違反した場合、企業には以下のような制裁が科される可能性があります:
- 行政罰:最大500万バーツの罰金
- 刑事罰:1年以下の禁固刑または100万バーツ以下の罰金
- 民事責任:損害賠償請求+最大2倍の懲罰的損害賠償
さらに、情報漏洩が報道されることで企業の信用を大きく毀損するというリスクも無視できません。
日本企業が取るべき対応策
これからタイに進出する企業が取るべき初期対応は、以下の通りです:
- 個人データの洗い出しと目的別分類
-
どの部署が、どの個人情報を、何の目的で、どれくらいの期間保管しているかを整理
- 同意取得の設計
-
- 顧客や従業員からの同意取得フォーマット(書面またはデジタル)を整備
- ウェブサイト・アプリでCookieを利用している場合、プライバシーポリシーに明示
- 同意取得の設計
-
- 顧客や従業員からの同意取得フォーマット(書面またはデジタル)を整備
- ウェブサイト・アプリでCookieを利用している場合、プライバシーポリシーに明示
- DPO(データ保護責任者)の任命
-
一定規模の企業には、DPOの設置が義務(社内外どちらでも可)
- 契約書の見直し
-
委託先(物流、BPO、クラウドベンダーなど)との個人情報取扱に関する契約を締結
- 教育・啓発の実施
-
タイ拠点の従業員に対して、PDPAの基本的な義務と違反時のリスクを研修で周知
デジタル時代の信頼構築に不可欠な「PDPA対応」
タイでの事業展開において、PDPAへの対応は単なる法令遵守にとどまらず、顧客・取引先との信頼構築に直結する課題です。特にEC、IT、BPO、人材派遣、医療、教育など、個人情報を多く取り扱う事業分野では、進出前からの準備が不可欠です。
なお、日本とタイの個人情報保護法の相違点は以下の通りです。
- 「明示的同意」の原則:PDPAは原則すべての個人データ処理に対し、明確かつ積極的な同意を求めるため、日本より厳しい。
- 国外移転の制限:日本は「契約や本人同意」で対応可能であるが、タイはPDPC認定国への移転しか原則認められておらず、注意が必要。
- DPO(データ保護責任者):日本では推奨止まりだが、タイでは一定条件下で設置が義務化。
この記事がお役に立ちましたら
フォローをお願いします