ニュースレター : 2019年11月

個人情報保護法 2019
個人のプライバシーを侵害するケースが多数あり、個人や経済にマイナス効果や損害を引き起 こしている。そのため政府は個人情報保護法(PDPA)を発布した。PDPA は、2019 年 5 月 27 日の官報で公布された。PDPA の大部分(2−3、5、7 条 95-96 項)は、公布日から 1 年後(2020 年 5 月)に施行される。但し、個人情報保護委員会とその事務局に関する条項(1、4 条、経過 規定)については、2019 年 5 月 28 日に効力を発する。この PDPA は、公共、民間の両方のセ クターに適用されるが、主に国家安全保障、公共財や法制度への対応に一定の例外がある。
重要な定義
 個人情報とは、直接的または間接的に個人を特定する情報であるが、死亡者の情報は 含まれない。個人情報は、個人のあらゆる情報、特に顧客、従業員、サプライヤーなど に属する情報、及び企業がその事業の過程で保有する情報を網羅する非常に広義の 用語である。センシティブな個人情報(例えば、人種、民族的背景、政治的信条、宗教 思想、遺伝的特徴、性生活の情報、生体認証、健康、労働組合加入、刑事上の有罪判 決や犯罪行為)についても PDPA により規制される。

 情報管理者とは、個人情報の収集、利用及び開示について決定を下す個人または法 人を云う。

 情報加工者とは、情報管理者の命令または代理で、個人情報を収集、利用または開示 する個人または法人を云う。

情報の収集及び利用に関する重要な制限についての要約
1) 情報管理者は、所有者の同意なく、個人情報を収集、利用または開示してはならない。その 同意は、明確でなくてはならず、書面または電子的方法で行う。(19 条)
2) 情報は、必要に応じてのみ収集され、情報収集の過程の前またはその間に、所有者からの 同意を得るものとする。(24 条)
3) 人種、民族的背景、政治的信条、宗教思想、遺伝的特徴、性生活の情報、生体認証、健康、 労働組合加入、刑事上の有罪判決や犯罪行為などのセンシティブな個人情報は、情報の所 有者から同意を得なくてはならない。(26 条)
4) 個人情報の利用及び開示は、情報所有者の同意を得なくてはならない。但し、公開された 情報源から取得できる情報は、同意を必要とせずに取得できる。(27 条)
5)情報所有者は、所定の個人情報にアクセスする権利及び情報管理者に写しを要求する権利 を有し、所有者の同意なく取得された情報の発信源を要求することができる。(30 条)
6)情報所有者は、同意を必要とせずに取得できる、公開された情報源から収集された情報や ダイレクト・マーケティングや科学的調査、歴史、統計目的で収集された情報で、公共の利益に 利用される情報を除き、個人情報の収集、利用または開示する同意を自由に撤回することがで きる。
7) 情報所有者は、情報管理者または情報加工者が違反した場合、情報保護委員会に提訴す ることができる。
違反と罰則
PDPA は、条項の違反について民事責任、刑罰、課徴金の3種類の罰則を規定している。違反 の罰則は、厳しく、5百万バーツ以下の過料、1 年以下の禁錮または1百万バーツ以下の罰金 若しくはその両方の刑罰を課すことができる。懲罰的民事損害賠償は、実際の損害額の2倍迄 できる。
準備の仕方
事業運営者は、十分に準備し、従業員やスタッフの間で認識を高めるべきである。またオンライ ンとオフラインの両方で現在保有する情報の部類を理解するためにそのシステムを見直して分 析法遵守の現行レベルを特定すべきである。そして、各活動に内在する、PDPA でのリスクの 評価及び軽減、個人情報に関する社内方針、契約、慣例、その他の証書を検証して課題の解 決、従業員とスタッフの研修の手配、社内の情報保護チームの指名を行うべきである。これらの 準備をすれば、会社が保有する個人情報が適正に収集、維持、加工されていることをまずは保 証することができる。