SH4052 タイ：個人情報保護法の下位規則の制定（2）　中翔平（2022/07/08）

タイ：個人情報保護法の下位規則の制定（2）

長島・大野・常松法律事務所

弁護士　中　　　翔　平

（承前）

１　本下位規則の概要（続き）

⑶　安全管理措置の最低基準

　個人情報保護法上、データ管理者は、個人データの不正なアクセス・利用等を防止するために適切な安全管理措置を講ずることが求められているが、そのための最低基準については下位規則に定められることが想定されていた（第37条第1号）。本下位規則では、その最低基準として安全管理措置の整備のための指針が明らかにされている。かかる安全管理措置には例えば以下の事項が含まれる旨規定されている。

1. ■安全管理措置には組織的、技術的及び物理的安全管理措置が含まれること
2. ■安全管理措置の整備のためには、情報漏洩による発生し得るリスクの特定、発生し得るリスクに対する事前の対策、情報漏洩リスクの定期的なモニタリング、情報漏洩発生時の対応・回復措置という観点からの検討が必要であること
3. ■個人情報へのアクセス・利用等の必要性及びリスクレベルに応じたセキュリティ等を勘案した上で、アクセス権者を限定するためのシステム構築・管理、個人情報の利用者の責任の明確化、個人情報の利用等の監視方法の設定を行うこと
4. ■セキュリティの重要性及びプライバシーポリシー・安全管理措置を従業員らに対して周知すること

　また、本下位規則においては、データ管理者は、適切な安全管理措置を維持するために、必要な場合又はテクノロジーの変更があった場合には、安全管理措置の内容を見直すこととされている。加えて、個人データの漏洩があった場合には、当該漏洩が個人の権利・自由に対するリスクが発生する可能性が低い場合でない限り、安全管理措置の見直しが義務づけられている。

 

⑷　当局による行政罰の執行基準の明確化

　個人情報保護法には同法の違反内容に応じて行政罰として制裁金が規定されており、当局がかかる制裁金を課す際の考慮要素も一部規定されているが、その詳細は下位規則に委ねられていた（第90条第2項）。本下位規則では、個人情報保護法に違反した事業者に対して当局が制裁金を課す場合の基準が明らかにされた。本下位規則によれば、制裁金を課す場合の考慮要素として、①違反の重大性、②事業規模、③制裁金を課すことによる事業者の事業への影響及びデータ主体の利益との間の比較衡量、④損害の程度、⑤個人情報保護法違反の前歴の有無、⑥違反事業者が従事する事業の実務慣行、⑦損害回避・拡大防止措置の履行の程度等が挙げられている。また、本下位規則では、重大な違反でない場合と重大な違反な場合に場合分けした上で、それぞれの場合において制裁金を課すためのプロセスが明らかにされている。前者の場合には、個人情報保護法違反をもって直ちに制裁金を課すのではなく、まず、違反者に対する是正勧告・命令（損害回避措置、個人データの利用等の制限等を含む。）を行うこととされている。後者の場合には、直ちに制裁金を課すこととされており、併せて、上記是正勧告・命令が発出される可能性もある。他方で、本下位規則上、何をもって重大な違反と判断されるかは明らかではないため、今後の当局の運用を注視する必要がある。

 

２　本下位規則の施行時期

　データ処理者の個人データの処理活動の記録の作成・保存方法に関する本下位規則を除き、本下位規則は2022年6月21日に施行済みである。データ処理者の個人データの処理活動の記録の作成・保存方法に関する本下位規則は同年12月17日に施行予定である。

 

３　今後の見通し

　本下位規則は個人情報保護法の一部の規制についてその詳細を明らかにしたものに過ぎず、今後、更に下位規則が整備されていくことが想定されている。この中には、域外移転の条件・方法、情報漏洩時の通知の要否・方法、データプロテクションオフィサーの選任要否の基準等、実務上の対応に大きな影響を及ぼし得るものが含まれるため、引き続き今後の動向を注視していく必要がある。

以　上

---