2023年11月中旬、タイ個人情報保護委員会（Personal Data Protection Committee、以下「PDPC」）は、「法律に基づき権限を与えられた公的機関の管理下で行われない、犯罪歴に関する個人情報の収集に関する、個人情報保護措置の基準に関するPDPC告示（案）」（以下「本告示案」）を公表した。

タイ国内で事業を行う会社においては、人材採用プロセスの過程で、履歴書の提出、面接の実施、雇用契約締結といった情報収集の中で、採用応募者や従業員の犯罪記録（賞罰情報）に関する個人情報の提供を求めることがある。犯罪記録は個人情報保護法（Personal Data Protection Act B.E.2562、以下「PDPA」）第26条におけるセンシティブ個人情報にあたるため、取扱いに際して特段の注意を要するから、本告示案に準拠して犯罪記録に関する個人情報の取扱いを行うべきである。

本通知案の主要な内容は以下の通りである。

１．定義

「犯罪記録関連個人情報」とは、犯罪捜査、刑事手続または刑事責任に関する個人情報であって、本告示案において、当該処分の確定・未確定を問わず、当該処分に関する公的情報または法的権限を有する官公署が証明したものをいうとされている。本定義上、あくまでも公的な書類やその写しのみが犯罪記録関連個人情報とされているため、履歴書に本人が記載した（自己申告の）犯罪歴等はこれに該当しない。

2．適用範囲

本通知案は、PDPA第26条第3項に基づき、法律に基づいて権限を与えられた公的機関の管理下で行われない、犯罪記録関連個人情報の収集に適用される。

３．犯罪記録収集にかかる法的根拠

データ管理者は、以下の場合に限って、(i)雇用の検討、(ii)資格および欠格事由の確認、または(iii)あらゆる職種における雇用適性の評価を目的として、犯罪記録関連個人情報を収集することができる。

(1) 犯罪歴の確認または犯罪行為もしくは刑事責任に関する資格または欠格事由に関する確認を必要とする法律の規定がある場合。
(2) データ主体から明示的な同意を得た場合。

４．犯罪記録に関する通知

4-1. 犯罪記録関連個人情報の収集が、データ主体の職務または地位の役割に照らして不可欠かつ必要である場合、データ管理者は、当該職務または地位の応募、採用、または選任に関する発表または公表の過程から、犯罪歴記録関連個人情報を収集する必要性があることを通知しなければならない。

4-2. データ管理者は、データ主体から犯罪記録関連個人情報を収集することに同意を求める場合、同意しない場合または同意を撤回する場合に生じる結果を通知しなければならない。

５．保存期間および破棄

5-1. データ管理者は、個人情報保護法上の必要性がある場合または法令に特別の定めがある場合を除き、犯罪記録関連個人情報を、その処理の目的および必要性に応じて、雇用の検討、資格および欠格事由の確認または雇用適性の評価が完了した日から6ヶ月を超えない期間保存しなければならない。

5-2. データ管理者は、保存期間が終了した場合、または当該個人情報の処理目的との関係で保存する必要がなくなった場合、当該個人情報を消去、破棄、または匿名化することにより、データ主体を識別できないようにしなければならない。

執筆者:
Monchai Varatthan
杉浦翔太
Marin Viriyapongpanich (Lin)