タイ個人情報保護法（PDPA）が6月から完全施行！その詳細と注意すべき点

2022年5月31日 2022年5月31日

日本では2005年から全面施行されている「個人情報保護法」

タイでも2019年ごろから施行が話題になっていましたが、何度かの延長を経て今回2022年6月1日より完全施行されることとなりました。

今やインターネットを通して誰でも簡単に情報を発信できる時代ですので、ふとした時に個人情報を間違った仕方で扱ってしまうこともあり得ます。

では今回のタイ個人情報保護法施行に関して、その詳細や私たちが注意すべき点などをまとめておきましょう。

タイ個人情報保護法（PDPA）が6月から完全施行！その詳細と注意すべき点

タイ個人情報保護法

タイ個人情報保護法、通称「PDPA」は本来2019年から2020年にかけて施行がスタートされる予定だったと聞いています。

しかし世界的なコロナ蔓延の影響を受け延長となり、この度2022年6月1日より完全施行されることとなりました。

ちなみに「個人情報保護法」はタイ語では次のように表現されます。

「พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล：ポーローボークムクローンｇコームーンスワンブッコン」発音チェック

「พ.ร.บ. ：ポーローボー」は「พระราชบัญญัติ」の略語で、国王の制定した法律を意味する言葉です。

「คุ้มครอง：クムクローンｇ」は「保護する」、「ข้อมูลส่วนบุคคล：コームーンスワンブッコン」は「個人情報」という意味があり、すべて合わせて【個人情報保護法】となります。

どんな法律？内容は？

「個人情報保護法」という言葉はこれまで何度も聞いたことがあると思いますが、実際のところどんな内容の法律なのでしょうか？

例えば日本の個人情報保護法は次のように定義されています。

個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした個人情報の取扱いに関連する法律。略称は個人情報保護法。

この法律では個人情報の定義を「生存する個人に関する情報であって、この情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」としている。

人情報保護法および同施行令によって、取扱件数に関係なく個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。

引用元：Wikipedia

うーーん、難しい…

…言ってることは分からないでもないですが、ちょっと難しいですね。

要は特定の個人を識別できるような情報を、法律に沿った仕方で扱わなければならないということでしょうか。

タイのPDPAはヨーロッパの同法律「GDPR(一般データ保護規則)」を基としているようなので、日本のものとは幾らか違う点もあるようですが原則となる考えはおそらくそう大きく変わらないでしょう。

では今後タイで施行される「PDPA」にはどんな重要点/注意点があるのか、タイの信頼のできそうな幾つかのメディアを参考にして見ていきたいと思います。

「タイ個人情報保護法(PDPA)」の基本的指針

まず一つの大切な点として、この法律はタイ国内で起こる事象に限定されるのではなく、タイ国外においてもタイが関係する情報を取り扱う際に適用されるということです。

つまりタイで得た個人情報を日本に持ち帰って間違った仕方で使用してしまうと、罰則の対象となるということです。

個人情報と呼ばれるものには何が含まれるのか？という疑問については以下のYouTube動画を参考にできるかもしれません。

今回の法律改正に含まれる「個人情報」には以下に挙げる8つの種類が含まれます。

これにはオンライン上のデータに限らず、個人を特定できる全ての様式の情報が含まれます。

1.特定の個人を識別できる情報

2.連絡先情報

3.財務資料、金融取引に関するデータ

4.購買履歴などを含む市場データ

5.統計資料

6.ウェブサイトを通して収集されたデータ

7.健康情報

8.秘密情報

そしてこれら8種類の個人情報に関して、今回の新しい法律は次の7つの面での権利が保護されます。

1.個人情報へのアクセス、またはコピーの取得に関しての権利

2.同意を撤回する権利

3.別の個人情報管理者へデータを移植させる権利

4.データ使用に関して異議を申し立てる権利

5.データを削除する権利

6.データ使用を制限する権利

7.データを訂正する権利

これら8種類の個人情報が7つの権利面で保護されることになります。

もし個人情報の取り扱いに関して不安に感じる状況があれば、上記した基本的指針を当てはめて考えてみると良いでしょう。

どのような事が求められるか？

このPDPAの施行に関して、今後どのようなことが求められていくのでしょうか？

その点について詳しく述べているタイ語のサイトがありましたので、そちらから幾つか注意すべき情報をご紹介いたします。

引用元：https://pdpa.pro/blogs/in-summary-what-is-pdpa

① 個人情報を取得する際に、どんな情報を何のために使うかを含めて、その個人情報の持ち主から許可/承諾を得なければならない。

この点で対面で実際に話して本人から許可を得る場合もあれば、Webサービス全般のように「プライバシーポリシー」に記載することによってこの手順を踏む必要がある場合もあるでしょう。

➁ Webサイト上でcookieを取得する際にも、「cookie」保存の要求について前もって知らせる必要がある。

「cookie：クッキー」とは閲覧したWebサイトのＷebサーバーから発行される小さなテキストファイルのことで、ネット上での入力、検索した情報や位置情報が一時的に保存されたものを含みます。

少し前に検索した内容や今いる地域での情報が、その後なぜか自動表示されるネット広告に反映されているのはこの「cookie」によるものです。

インターネットを介してタイでビジネスや活動を行っている人はこの点を留意しておきましょう。

③ 顧客、従業員の個人情報取り扱いも当然含まれている

言わずもがな、顧客や自分の経営する事業で働いている従業員の情報の取り扱いも含まれます。

本人の許可なくそうした個人情報を外部に漏らすことは違法となります。

特定の会社にか伝えていない情報なのになぜか他の会社から電話やダイレクトメールが送られて来るということを、タイ生活の中で私自身も何度となく経験したことがあります。

上記した３点は主にタイが関係するビジネスを行っている人に関わってくるかもしれません。

日本にいるとどれも当然のことなんですが、これまでそこまで厳しくなかったタイでこの変更点を受ける人は注意が必要でしょう。

ではもっと身近な部分、例えばタイに旅行に来ている人たちも気を付けたほうが良い点にはどのようなものがあるでしょうか？

身近な注意すべき点

電話番号やLINEなどの個人情報の取扱いに気を付けよう

電話番号やLINEアカウントでのやり取りに関して、これまでタイでは日本より比較的オープンで寛容というイメージでした。

そこまで知らない人でも、用事なので「後で連絡するからLINE教えて」というと何の抵抗なく教えてくれる人が非常に多い気がします。

もちろん本人が許可していたり、一般公開されている情報なら問題ないのですが、そうではない個人情報を許可なく他の人に回したりするのは今後タイでもアウトになるでしょう。

長年タイで暮らしてきてそのサバーイな環境に萎えている人にとっては、この辺りの意識を変えるのは少し大変かもしれませんね。

当人の許可なく個人に関する情報をメモ書きに残すといったことも、この法律に抵触するかもしれません。

SNSでの情報発信には細心の注意を！

冒頭でも書きましたが、今やSNSでだれでも情報を発信する側に立てる時代です。

「せっかくタイに来たんだから映像に残してYouTubeにアップしよう！」

「珍しい情景を動画に撮ったからTwitterにアップ！」

「映えまくる観光地に来たからIGに投稿！」

どれも思い出残しとしては良いのですが、これからはその背後に映りこむ情報に気を付けなければならなくなりそうです。

今のところ個人で楽しむ目的の投稿ではこのPDPAに該当しないようですが、収益化目的でのものとなると該当する可能性はあるかもしれません。

今はどのSNSも収益化できるものがほとんどですので、特に顔など容易に個人が特定できる情報が写っている場合は注意が必要です。

例え収益が関係していなくても、その投稿によって個人の秘密情報が公に開示されてしまったり、名誉毀損になると訴えられる可能性も大いにあります。

いずれにせよ今回の法律改正を機に、個人情報の取り扱いに敏感になる人が増えてくることでしょう。

罰金と罰則

最後にこのPDPAに違反したと見なされた場合に受けるかもしれない「罰金と罰則」についても見ておきましょう。

政府公式の書類は見つけれなかったのですが、どの情報も以下のような罰金/罰則について述べています。

โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

6か月～1年未満の禁固刑か50万～100万バーツ以下の罰金　もしくはその両方