ブログ
本人通知に関するタイ個人情報保護法ガイドライン
2022.11.15
タイ個人情報保護委員会(以下「PDPC」)が、Personal Data Protection Act B.E.2562(以下「PDPA」)に基づくデータ主体への通知に関する新しいガイドライン(以下「通知ガイドライン」)を公表しました。通知ガイドラインは、2022年9月7日よりデジタル経済社会省のウェブサイト上に掲載されています。なお通知ガイドラインは、タイ政府官報に掲載されておらず、データコントローラーおよびデータプロセッサーを法的に拘束する性質はありませんが、PDPAに基づく通知の方法について公的に言及している点で有用な資料であるということができます。通知ガイドラインの原文はこちらから入手可能です。
通知ガイドラインは、データコントローラーが、個人情報の取扱いの詳細をデータ主体に対して適切に通知することに関して、PDPAに基づく通知義務を補足するものです。
具体的には、別個の法律や監督官庁によって独自の通知様式を用いることが求められている場合を除き、データコントローラーはデータ主体に対して、以下の表に示す項目を通知することが求められています。列挙されている項目の多くは、従前よりPDPAにおいてデータ主体に通知するよう規定されていたものですが、項目「(ix)個人データの国外移転に関する詳細」は、必ずしもPDPAにおいて通知が義務付けられていた項目ではありませんでした。PDPA28条は、データコントローラーが、データ主体の同意に依拠して個人情報を国外移転する場合にのみ当該通知を求めていました(PDPA28条(2))。データ主体の同意以外の手法を利用して個人情報を国外移転する場合に、当該通知が必要であることかどうか明らかではありませんでした。個人情報の国外移転を行っている場合で、プライバシーポリシーに当該項目が明記されていない場合には、通知ガイドラインに基づき当該プライバシーポリシーを更新することが求められます。
通知ガイドラインによる要求事項 |
PDPA要求事項 |
(i) 個人情報の収集、利用、開示の目的 |
23条(1) |
(ii) データ主体が、法律、契約、または契約締結のために個人情報を締結しなければならない場合にはその旨(個人情報を提供しない場合の影響を含む) |
23条(2) |
(iii) 収集される個人情報の種類 |
23条(3) |
(iv) 個人情報の保存期間 |
23条(3) |
(v) 個人情報の第三者提供先の類型 |
23条(4) |
(vi) データコントローラーの名称、住所、連絡先 |
23条(5) |
(vii) (選任している場合)タイ代理人の名称、住所、連絡先 |
23条(5) |
(viii) (選任している場合)データ保護オフィサーの名称、住所、連絡先 |
41条 |
(ix) 個人情報の国外移転の詳細 |
28条(2) |
(xi) データ主体が有する権利 |
23条(6) |
データ主体への通知は明示的に行なわれることが求められますが、通知の方法自体は様々な態様によって行うことが認められており、通知ガイドラインにおいては、書面、口頭、SMS テキスト、電子メール等の電子メディア、URLのリンク、QR コード等の電子的手段等が例示されています。
通知ガイドラインには、上記のほかにも、(1)データ主体に対する通知に関して公平性と透明性を保つことによってデータ主体の利益を保護すべきこと、および(2)個人情報をデータ主体から直接取得するのではなく、他の情報源から取得する場合における、通知義務の免除についても規定されています。
執筆者:
Monchai Varatthan
杉浦 翔太
Pongsacha Chayapong (Sharth)
Marin Viriyapongpanich (Lin)