近時、タイ個人情報保護当局（Personal Data Protection Committee、以下「PDPC」）は、個人情報保護法（Personal Data Protection Act B.E. 2562、以下「PDPA」）に基づく個人情報の越境移転に関連して、2つの告示案を公表した。一方は、PDPA28条に関する告示案（以下「28条告示案」）で、もう一方はPDPA29条に関する告示案（以下「29条告示案」）である。

タイにおける個人情報の越境移転規制は、PDPAにおいて本人同意取得をする以外のオプションも規定されているものの、下位規則が定まらないために実務上は同意取得以外に現実的に依拠できるオプションがない状態であった。このたびPDPCが公開した28条告示案および29条告示案は、越境移転規制の詳細を示すものであり、正式版が公表されればタイにおける個人情報の越境移転実務に大きな影響があると考えられる。

28条告示案について

(1) 十分な個人情報保護水準

PDPA28条は、個人情報を越境移転するにあたって、移転先国において十分な個人情報保護水準が定められていなければならないと規定している。ここにいう「十分な個人情報保護水準」を移転先国が満たしているかどうかの基準について、28条告示案は以下のように要件を定めた。

(a) 移転先国が、PDPAを下回らない個人情報保護に関する法的措置または仕組みを有していること。
(b) 移転先国に、PDPAを下回らない個人情報保護に関する法令を施行する義務と権限を有する機関または組織が存在すること。

(2) ホワイトリスト国について

28条告示案により、PDPCが、PDPAに基づく個人情報の越境移転を行うことが可能となるホワイトリスト国を指定することができる旨が規定された。

29条告示案について

(1) 越境移転の定義について

「越境移転」の定義は、データ輸出者が、コンピュータシステムまたはインターネットネットワークを介して、物理的または遠隔的にデータ輸入者に対して、個人情報を転送することである。ただし、コンピュータシステムまたはネットワークシステム間におけるデータ転送の仲介に過ぎない方法による個人情報の送受信または一時的もしくは恒久的な形式によるデータ保管であって、データ輸出者としてのデータ管理者もしくはデータ処理者またはその担当者、従業員、スタッフ以外の第三者が当該個人情報にアクセスできない場合は除く。

(2) 適切な安全管理措置について

PDPA29条第3段落には以下の規定が存在する。

第29条第3段落

データ管理者またはデータ処理者は、第28条に基づく委員会の決定または（第29条）第1項に規定される個人情報保護方針がない場合であっても、委員会が規定し公表する規則および方法に従って、データ主体の権利行使を可能にする適切な保護措置（効果的な法的救済措置を含む）を提供する場合には、第28条の義務が免除され、個人情報を外国に送信または移転することができる。

29条告示案によれば、上記第 29 条第 3 段落に従った適切な保護措置は、以下の形式で定めることができる。

 (1) データ輸出者およびデータ輸入者における契約条項。ただし、当該契約条項は、適切な個人情報保護措置を講じるために当事者の義務および条件を決定するためにPDPCが定める個人情報越境移転の契約条項に従わなければならない。
 (2) データ管理者またはデータ処理者が、越境移転に関連して個人情報を収集、使用、および開示することについて、許容される基準に従った適切な保護措置を講じていることの認証
 (3) タイの政府機関と他国の政府機関との間において個人情報の政府間移転が行われる場合において、法的拘束力または強制力を有する文書または協定における個人情報保護措置要件

(3) PDPAに基づく標準契約条項について

上記(2)に述べた個人情報の越境移転の契約条項は、以下(I)、(II)または(III)のいずれかの要件に合致するものでなければならない。

(I)当事者が定める契約条項には、個人情報保護に関する最低限以下の内容および条項が含まれていなければならない。
(a) 個人情報の収集、利用および開示（データ輸入者に対する個人情報の越境移転を含む）は、PDPAに従って行われなければならない。
(b)データ輸出者およびデータ輸入者は、PDPAの定める最低限の基準に従った安全管理措置を提供しなければならない。
(c) データ輸入者がデータ処理者である場合には以下C-1からC-4の条件を充足しなければならない。
(c-1) データ輸入者は、データ輸出者の指示に従い、またはデータ輸出者に代わって、データ輸出者が指定した目的においてのみ、個人情報を収集、利用、開示すること。
(c-2) データ輸入者は、データ主体からPDPA に従った権利の行使の要求を受けた場合、 データ輸出者がデータ輸入者に対して、データ輸出者の代わりにその要求を処理するよう指示したのでない限り、できるだけ早い機会に輸出者に対して通知しなければならない。
(c-3) データ輸入者は、契約条項に従って個人情報をデータ輸出者に返却するか、 またはデータ輸出者が指定した基準および条件に従って適切な手段によって個人情報を消去、破棄、または匿名化しなければならない。なおデータ輸入者は、そのような措置が取られたことを、データ輸出者に対して書面により保証しなければならない。
(c-4) データ輸入者は、PDPAに基づく個人情報漏えいを発見した場合、遅滞なく、また可能な場合には 72 時間以内に、データ輸出者に対して通知しなければならない。
(d) データ輸入者は、データ輸出者がデータ管理者である場合、PDPAに基づく個人情報漏えいを発見した場合、当該個人情報漏えいが本人の権利および自由に対するリスクをもたらす可能性が低い場合を除き、遅滞なく、また可能な場合には72時間以内に、データ輸出者に対して通知しなければならない。
(e) データ主体に対する法的救済措置またはデータ主体が効果的な法的救済措置を 受けるための権利が存在しなければならない。
(II) 契約条項に「ASEAN Model Contractual Clauses for Cross-Border Data Flows (以下「MCC」)」に規定されている条項が含まれていること。
(III) EU一般データ保護規則 (GDPR) の第三国への個人情報の移転に関する標準契約条項（Standard Contractual Clauses for the Transfer of Personal Data to Third Countries (以下「SCC」)）に規定された条項が含まれていること。

(4) ASEANモデル条項およびSCCの修正について

MCCおよびSCCの条項は、以下の場合に限り修正することができる。

(1) 参照される法または適用法に関連する部分のみを、PDPA、タイのその他の関連法、および本告示に従って修正すること
(2) 同じ意味のまま他の言語に翻訳すること
(3) データ輸出者とデータ輸入者の関係形態に応じて、関連モジュールを契約条項の一部とすること
(4) MCCのオプション条項を、契約条項の一部として使用するかどうか選択すること
(5) 別紙の内容を適切に修正すること
(6) MCC または SCC の条項を、元の条項と抵触することなく、他の契約または協定の 一部として使用すること
(7) 元の条項と矛盾することなく、契約条項に他の条項を追加したり、適切なセキュリティ対策を追加したりすること

執筆者:
Monchai Varatthan
杉浦翔太
Marin Viriyapongpanich (Lin)