タイ:個人情報保護法
~日本の個人情報保護法との比較~(下)
長島・大野・常松法律事務所
弁護士 奥 村 友 宏
前回に引き続き、タイにおける個人情報保護法につき解説する。
2. 概要(日本の個人情報保護法との比較)
(4) 第三国移転に関する規制
タイ:個人情報の第三国移転に関しては、原則として、当該第三国において十分な個人情報保護が図られていることが必要である。但し、本人の同意を取得している場合には、当該第三国において十分な個人情報保護が図られていなくとも第三国移転が可能である。
日本:個人情報取扱事業者は、外国にある第三者に個人データ(個人情報がデータベース化されたもの)を提供する場合には、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。但し、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国である場合には、当該同意の取得は不要であるという例外も存在する。
両者の規制はややその構成が異なる。すなわち、タイの個人情報保護法においては、対象となる個人情報がタイ国外に移転するか否かに着目をしており、それが別法人への移転ではなく、同一の法人内の移転であっても上記「当該第三国において十分な個人情報保護が図られていること」が必要となる。他方で、日本の個人情報保護法の場合、その規制は「外国にある第三者」への提供か否かに着目しており、それが外国にある同一法人(外国の支店等)の場合には、この「外国にある第三者」への個人データの提供には該当しないとされている。以上を整理すると以下の表のようになる。
「第三国移転」に関する同意の要否
| 「第三国において十分な個人情報保護が図られている」又は「我が国と同等の水準」の外国にある | 左記以外の外国にある | |||
| 別法人*1 | 同一法人*2 | 別法人*1 | 同一法人*2 | |
| タイ | 同意不要*3 | 同意不要 | 同意必要*3 | 同意必要 |
| 日本 | 同意不要*4 | 同意不要 | 同意必要 | 同意不要 |
*1 外国にある別法人への移転とは外国に所在する第三者への移転を意味する。
*2 外国にある同一法人への移転とは外国に所在する支店への移転や自社が管理する外国所在のサーバーへの移転等を意味する。
*3 別途、第三者提供に関する同意が必要となると考えられる。
*4 別途、第三者提供に関する同意は必要となる。
第三国移転に当たって検討すべき事項は、タイの個人情報保護法も日本の個人情報保護法においても、当該第三国における個人情報保護制度となる。EUのGeneral Date Protection Regulation(いわゆるGDPR)でも同様の考え方がとられているところであり、グローバルスタンダードになりつつあるともいえよう。日本においては、この「我が国と同等の水準」を持つ国を、イタリア、英国、スペイン、ドイツ等具体的な国名を個人情報保護委員会告示(平成31年個人情報保護委員会告示第一号)にて公表しているが、タイにおいてはまだ「十分な個人情報保護」が図られているということがどういうことを意味するのか、具体的にはどの国なのかということは明らかではないため、この点の運用・下位規則の制定について、今後の動向には要注意である。
(5) 域外適用
タイ:収集、利用又は開示がタイ国外で行われる場合であっても、それらの行為がタイに所在する情報管理者又は情報処理者により行われる場合は、適用対象となる。または、外国の海外の情報管理者又は情報処理者であっても、タイ国内の者に対して商品や役務の提供を行う場合等には、個人情報の収集、利用又は開示については、同法の適用対象となる。
日本:国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報を取り扱う場合についても適用対象となる。
タイの個人情報保護法については、情報管理者、情報処理者又は本人がタイ国内に所在するか否かという点に着目しているため、その範囲は広範であるといえる。他方で、日本の個人情報保護法については、本人が日本国内にいるかという点に着目しているため、タイの個人情報保護法と比べてその適用範囲は限定的といえる。
(6) 損害賠償・刑事罰・行政罰
タイ:情報管理者は、タイの個人情報保護法違反により本人又は情報処理者に損害が生じた場合、故意又は過失に関わりなく、不可抗力である等の事情がない限り、その損害を賠償しなければならず、実際の損害の2倍を超えない金額の範囲での懲罰的損害賠償が認められている。刑事罰として、情報管理者が目的外使用や第三国移転に関する規制違反をした場合、1年以下の懲役若しくは100万バーツを超えない罰金又はその併科等が定められている。また、行政罰として、情報管理者による個人情報収集の際の目的未通知等に関して100万バーツを超えない過料、目的外使用に関して500万バーツを超えない過料等、違反の内容により過料が定められている。
日本:個人情報保護法について、損害賠償に関する特別の規定は定められていない。刑事罰としては、個人情報取扱事業者による個人情報データベース等の不正提供罪として1年以下の懲役又は50万円以下の罰金、是正勧告命令違反の場合6月以下の懲役又は30万円以下の罰金等が定められている。また、行政罰として、個人情報取扱事業者に個人データを提供する第三者による虚偽に関して当該第三者に対する10万円以下の過料等が定められている。
タイの個人情報保護法違反について、懲罰的損害賠償の規定が設けられていることは特徴的である。また、損害賠償を認める際に、一定の免責事由が定められているものの「故意又は過失にかかわらず」と規定されている点(厳格責任としている点)も特徴であり、個人情報の保護に手厚い規定となっている。
3. 今後の展望
上記で、両国の個人情報保護法の一部について比較してきたとおり、類似する部分もあるが、一言で個人情報保護法といっても、国毎に内容は様々である。そのため、日本の会社であっても、タイで事業を行っている場合やタイに子会社を有する場合等の場合には、日本での個人情報保護法の遵守のみではなく、タイの個人情報保護法にも注意しなければならない。また、タイの個人情報保護法は本稿脱稿時点では施行されていないものの、経過規定により施行前に収集済みの個人情報についても、本法案が適用される場合があることとされているため、今後タイの個人情報保護法が適用される個人情報だけではなく、既に収集している個人情報についてもその取り扱いを検討しなければならない。
また、タイの個人情報保護法では、その詳細な運営などを下位規則で定めることとするとされている部分も多々存在する。そのため、現段階では、実際の対応を決めていくことは難しい場面も多々あることが想定される。今後の下位規則の制定状況など、実際の運用に関する部分をカバーするために、今後の動向に注目していきたい。
以上