個人情報保護法（以下「PDPA」）が2022年6月に施行されて数か月を経て、個人情報保護委員会（以下「PDPC」）は、法律解釈の曖昧さを解消することを目的として、PDPA遵守に関するいくつかのガイドラインを発表しています。新しく公表されたガイドラインの1つが、2022年9月7日付「The Guidelines for Requesting Consent from Data Subjects According to the Personal Data Protection Act B.E. 2562」（以下「同意ガイドライン」）です。同意ガイドラインは、個人情報を収集、使用、開示するに際して、データコントローラーが遵守すべき同意に関する要求事項を細部にわたって規定しています。同意ガイドラインの原文はこちらでご覧いただけます。

同意ガイドラインにおいては、データコントローラーが個人情報の収集、使用、開示を行う際に、同意以外の法的根拠に依拠できる場合には、同意以外の例外事由を根拠として個人情報の収集、使用、開示を行うべきことを示しています。より具体的には、公共の利益のため、データ主体における重要な利益のため、契約の履行のため、データコントローラーに与えられた公的権限の行使のため、データコントローラーの正当な利益のため、または法律の遵守のため（PDPA24条）に個人情報を取扱うことができる場合にはこれらの法的根拠に従い、同意以外の法的根拠に依拠することができない場合の最終的な手段として、データ主体に同意を求めるべきことを明記しています。

同意ガイドラインにおいて、データ主体から同意を取得する場合に遵守すべきとされる条件は以下の通りです。

1. データ主体の同意は、個人情報の収集、使用、開示より以前または当該時点において得られる必要がある。
2. データコントローラーは、同意を取得するよりも前に、データ主体に対して同意を要求する目的およびその詳細を通知しなければならない。
3. 同意の要求は、他の記述と明確に区別され、データ主体を欺いたり誤解させたりしないよう、読みやすい言語を使用するなど、容易にアクセスでき、理解しやすい形式または記述としなければならない。
4. 詐欺、欺瞞、脅迫、不実表示なく、データ主体が自由意志に基づいて同意した場合のみ、当該同意は有効である。
5. 個人情報の収集、使用、または開示を提供するサービスを含む契約を締結する際において、データ主体が同意することを必須または強制の条件としてはならず、また当該契約締結に必要でない、または関係ないものであってはならない。

同意ガイドラインはさらに、同意取得は一般的な目的のためではなく、特定の目的のために求められなければならないことをさらに強調しています。また、一つの同意要求において、多様な目的のために個人情報の収集、使用、または開示を求めることも禁じられています。

同意の明示性について、同意ガイドラインはPDPAの要求をさらに拡張しています。すなわち、同意の要求は法的契約または物品購入やサービス提供の条件の一部であってはならず、さらに同意の要求は他の条項または権利義務を知らせる通知・条件・方針等の関連文書から明確に分離されていなければなりません。したがって、サービス利用規約内において同意を求める際には正当な同意でないと判断される場合があり、注意を要します。

データコントローラーは、データ主体に対して同意を求める際に、以下の内容を通知しなければなりません。

(1) データコントローラーに関する情報
(2) 個人情報の使用または開示のための収集目的
(3) 収集される個人情報のカテゴリー
(4) データ主体が同意を撤回する権利および撤回の方法

書面または電子的方法による同意を求める際には、同意を撤回する方法、条件、および形式を目立つ場所に提示しなければならないとされており、データ主体が同意をする場合以上の負担、コスト、手続きを生じさせてはなりません。

執筆者:
Monchai Varatthan
杉浦 翔太
Pongsacha Chayapong (Sharth)
Marin Viriyapongpanich (Lin)