タイ:個人情報保護法
~日本の個人情報保護法との比較~(上)
長島・大野・常松法律事務所
弁護士 奥 村 友 宏
昨今、EUにおいてGeneral Date Protection Regulation(いわゆるGDPR)が制定される等、世界的に個人情報保護に関して、関心が高まってきている。そして、タイにおいても、長年議論され続けてきた個人情報の取り扱いを一般的に規律する個人情報保護法が、2019年2月28日に国家立法議会(National Legislative Assembly)の承認を経た。同法はまだ施行がなされていないものの、現段階の法案に基づき、その概要について、二回に渡り紹介したい。
1. 経緯
タイにおける個人情報保護法は、まず、2015年の1月にプラユット政権において、その方針が閣議決定され、法案が公表されていた。しかしながら、幾度かの管轄当局への差し戻しやパブリックヒアリングを通じて、その内容の変更が行われる等、なかなか法律の成立までには至らず、法制度化への道のりは険しい様相を呈していた。しかし、ついに、同法案は2019年2月28日に国家立法議会の承認を得たため、国王の署名を得ることにより、いよいよ法令として施行される段階まできている。
今後は、国王による署名を経て、官報公告が行われ、同法の施行となる。現時点での個人情報保護法の法案(以下、「本法案」という。)によると、個人情報保護法は原則として官報公告の翌日から効力を生じることとなるものの、施行日について例外が設けられており、特に情報管理者の義務、経過規定等、個人情報保護法における重要な規定の多くは、官報公告から1年後に効力が生じることとされている。したがって、個人情報保護法の規制の対象となる者は施行日から1年の間に適切な対応・準備を行い、適用される規定の効力発生日からは遵法性を保てるような状況にする必要がある。
加えて、本法案によると、運用における詳細を定める下位規則が追って定められることとされているが、これらの下位規則も個人情報保護法の効力が生じてから1年以内に完了するものとされている。
2. 概要(日本の個人情報保護法との比較)
本法案について、いくつかの重要な内容をピックアップし、日本の個人情報保護法と比較しながら、その概要を説明したい。具体的には、①「個人情報」の定義、②規制の対象者、③個人情報収集時等の規制、④第三国移転に関する規制、⑤域外適用及び⑥損害賠償・刑事罰・行政罰というテーマに沿って、比較検討する。
(1) 「個人情報」の定義
タイ:「個人情報」とは、個人に関する情報であり、直接・間接を問わず、当該個人を特定することのできる情報をいうが、故人の情報は含まない、と定義されている。
日本:「個人情報」とは、生存する個人に関する情報であって、(ⅰ) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、(ⅱ) 個人識別符号が含まれるものと定義されている。
定義自体は異なるものの、実質的内容に大きな相違はないと考えられる。但し、日本の個人情報保護法においては2017年改正によりビッグデータの利用等を円滑にするための規定(匿名加工情報)が設けられているが、タイの個人情報保護法においては、そのようなビッグデータの利用等に配慮した特別の規定は見当たらない。しかしながら、タイにおいて特別な規定がないからといって、個人情報に関して自由に加工して使用できるのかという点は、必ずしも明らかでなく、この点は今後の議論を注視することが必要であろう。
(2) 規制の対象者
タイ:法規制の対象となる者としては、個人情報の収集、利用又は開示について決定する権限及び義務を有する「情報管理者」と、情報管理者の指示により個人情報の収集、利用又は開示に関する活動を行う「情報取扱者」の二種類が規定されている。この「情報管理者」と「情報取扱者」の違いが少し理解しにくい点もあるが、具体例を挙げると、会社Aが自社の従業員の給与計算を第三者Bに委託するという場面では、「情報管理者」とは会社A、「情報取扱者」とは第三者Bを意味することになる。
日本:主に法規制の対象となる者として、個人情報データベース等(個人情報を含む情報の一定の集合物等)を事業の用に供している「個人情報取扱事業者」が規定されている。
タイ、日本のいずれの個人情報保護法についても、以前日本の個人情報保護法に存在した中小規模事業者等に対する適用除外は規定されておらず、管理する個人情報の多寡に拘わらず規制が適用されることとなっている。そのため、今後、タイでは、法人は従業員がいる以上、原則として従業員の個人情報に関する「情報管理者」に該当するものと考えられる。
(3) 個人情報収集時等の規制
タイ:情報管理者による、個人情報の収集、使用又は公開時には、原則として、本人から同意を取得し、かつ、本人に対して利用目的等を書面又は電磁的記録により通知しなければならない。本人は、当該同意を撤回することができる。
日本:個人情報取扱事業者は個人情報を取り扱うにあたり、その利用目的をできる限り特定しなければならならず、個人情報を取得した場合は原則として利用目的を本人に通知し又は公表しなければならない。また、個人情報取扱事業者は、あらかじめ本人の同意を得ないで当該利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
一番の大きな相違点は、個人情報の「取得」にあたり、日本の個人情報保護法では本人の同意が不要であるのに対して、タイの個人情報保護法では本人の同意が必要とされている点である。なお、日本の個人情報保護法上、利用目的を超える利用や第三者提供を行う場合には、本人の同意を取得する必要があるため、この点はタイの個人情報保護法と変わらない。また、本人への利用目的等の通知は、日本においてはウェブサイト等における公表で代替することが可能であるが、タイの個人情報保護法の文言上は通知が要求されているため、タイの個人情報保護法の方がこの点については厳格な手続が要求されている。
(下)に続く