タイ:個人情報保護法の制定に向けて
長島・大野・常松法律事務所
弁護士 佐々木 将 平
タイの大手携帯電話会社のトゥルームーブの顧客情報4万6,000件が流出した疑いが浮上し、当局(国家放送通信委員会)が同社に対して顧客への補償の検討を命じたことが報じられるなど、現地では大きな話題となっている。タイには日本の個人情報保護法やEUの一般データ保護規則(GDPR)に相当するような個人情報保護法は存在せず、また、プライバシーに比較的無頓着な国民性もあいまって、個人情報漏洩が大きな問題となることは従来少なかったと思われるが、今回の事件は大きな注目を集めており、国民のプライバシー意識が徐々に高まっていることが窺える。
個人情報保護法については、制定に向けた検討が長年続いている。近年の動きとしては、2015年1月にプラユット政権のデジタルエコノミー政策の一環として閣議決定が行われ、一旦は草案が作成されたものの、管轄当局に差戻しとなっていた。2018年に入ってパブリックコメントを経て草案が再度作成されており、5月の閣議決定を経て、今後議会審議されることが予定されている。
本年4月に公表された草案によれば、タイの個人情報保護法の主たる特徴は以下の通りである。
-
個人情報の定義:
「個人情報」は、個人に関するものであり、直接・間接を問わず、当該個人を特定することのできる情報をいうが、名前、役職、職場又は事業住所のみを特定する情報及び故人の情報は含まない、と定義されている。日本の個人情報保護法においては2017年改正によりビッグデータの利用等を円滑にするための規定が設けられているが、タイの個人情報保護法においては、そのようなビッグデータの利用等に配慮した特別の規定は見当たらない。
-
規制の対象者:
法規制の対象となる者としては、個人情報の収集、利用又は開示について決定する権限及び義務を有する「情報管理者」と、情報管理者の指示により個人情報の収集、利用又は開示に関する活動を行う「情報取扱者」の二種類が規定されている。いずれについても、小規模事業者等に対する適用除外は見当たらず、事業規模や個人情報の多寡に拘わらず規制が適用される。
-
個人情報収集時の規制:
個人情報の収集時には、原則として、本人から同意を取得し、かつ、本人に対して利用目的等を通知しなければならない。利用目的等の通知は、ウェブサイト等における公表で代替することは認められておらず、本人に対して「通知」することが求められている。
-
第三者提供に関する規制:
個人情報の第三者提供に当たっても、法律上認められている場合等を除き、本人の同意が必要とされている。個人情報の収集時に第三者提供の予定について本人に対して事前通知していただけでは足りず、いわゆるオプトアウトによることは認められていない。
-
施行前に取得した情報の扱い:
法律施行前に収集済みの個人情報は、施行後も当初の目的に従って利用可能であるが、本人からの同意の撤回(オプトアウト)を認める手続を設けなければならない。他方、施行前に収集済みの個人情報を開示し又はその他の取扱いを行う場合には、新法を遵守しなければならない。
-
域外適用:
タイ国内で行われる個人情報の収集、利用又は開示については、海外の情報管理者又は情報処理者も同法の適用対象となる。収集、利用又は開示がタイ国外で行われる場合であっても、①それらの行為の一部がタイ国内で行われる場合、②当該行為の結果がタイ国内で発生する場合、又は、③当該行為の結果がタイ国内で発生することが見込まれる場合は、適用対象となる。
-
施行のタイミング:
従前の草案では官報掲載後240日後とされていたが、現時点の草案では、官報掲載後1年後に施行されることが予定されている。
現時点の草案を見る限り、個人情報保護法が施行に至った場合、多くの事業者が適用対象となると考えられ、また、その規制内容も厳しい(たとえば、個人情報の収集時に本人からの同意取得及び利用目的等の通知が必要である点など)ものであり、個人情報の収集・管理体制の再検討が必要となる。今後法律が制定されて施行されるまでには相当の期間を要すると思われるが、動向に注意が必要である。