2023年12月25日、タイの個人情報保護委員会（Personal Data Protection Committee、以下「PDPC」）は、個人情報保護法（Personal Data Protection Act B.E.2562、以下「PDPA」）に基づき、個人情報の越境移転に関する告示を2点公表しました。一つは「PDPA第28条に基づく個人情報の越境移転の原則に関するPDPC告示」（以下「第28条告示」）、もう1つは「PDPA第29条に基づく個人情報の越境移転の原則に関するPDPC告示」（以下「第29条告示」）です。いずれもタイにおいて長らく制定が待たれていた越境移転規制に関する重要な告示で、2024年3月24日から正式に発効することが予定されています。

PDPAにおいては、個人情報の越境移転にあたって取ることのできるクリアランス手法について、いくつかのオプションが示されています。今回PDPCが公表した第28条告知および第29条告知は、これらのオプションに関する詳細を定めるものであり、タイにおける個人情報の越境移転にかかる実務に対して、大きな影響を与えることが予想されます。

なお、いずれの告知においても、個人情報の越境移転とは次のように定義されています。
個人情報の越境移転：データ輸出者による個人情報の移転を指し、物理的に行われる移転のみでなく、コンピューターシステムまたはインターネットネットワークを介して行われる場合も含まれる。ただし、個人情報の授受が、コンピューターシステムまたはネットワークシステム間のデータ通信のために行われるデータ中継のみを目的とする場合や、データの（一次的または永続的な）保存のみを目的として行われる場合であって、かつ当該個人情報に対してデータ輸出者またはその従業員やスタッフ以外の第三者がアクセスを行わない場合は除かれます。

第28条告知について

(1) 個人情報に対する適切な保護基準

PDPA第28条は、個人情報を受領する国において、適切な個人情報の保護基準がなければならないと定めていますが、第28条告示においては「適切な個人情報の保護基準」であるか否かを評価する際に、以下の要素が考慮されるべきと規定されています。
(a) 当該国において、タイのPDPAよりも緩やかでない、個人情報保護に関する法的措置やメカニズムが存在すること
(b) 個人情報保護に関する法律が制定され、執行の義務と権限を有する機関または組織が存在しており、タイのPDPAよりも緩やかでないこと

(2) ホワイトリスト国

第28条告示によれば、PDPCは、PDPAに基づき、タイから個人情報の越境移転を行うことが許容される国リスト（ホワイトリスト）を公表することができるとされています。

第29条告知について

(1) 適切な安全管理措置について

前提として、PDPA第29条おいて、以下のような規定があります。

PDPA第29条第3項
第28条に基づくPDPCによる決定または第1項により規定される個人情報保護ポリシーが存在しない場合、データコントローラーまたはデータプロセッサーは、データ主体の権利の行使を可能にする適切な保護措置を提供することによって、第28条の制限を受けることなく、個人情報を外国に越境移転することができる。当該規則および方法には、PDPCにより公表された規則と方法に基づく法的措置が含まれる。

第29条告知においては、PDPA第29条第3項が言及する法的措置を、以下の方法で規定することができるとしています。

(a) 個人情報の越境移転に関する許容可能な契約条項。この契約条項は、データ輸出者とデータ輸入者とが、適切な個人情報保護措置を行うために、両当事者の義務と条件を決定するために用いられるもので、越境移転される個人情報の保護に関する契約条項でなければなりません。
(b) データコントローラーまたはデータプロセッサーが個人情報の収集、利用、開示に関して、適切な保護措置を行っており、これが許容可能な基準にしたがっていることを証明する認証を有している場合
(c) タイの政府機関と他の国の政府機関との間における越境移転の場合で、法的に拘束力がある、または強制執行可能な文書や合意に基づいて、個人情報保護措置が行われる場合

(2) PDPAおける許容可能な契約条項

前述の個人情報の越境移転に関する許容可能な契約条項とは、以下の要件のいずれかに合致するものを指します。 

(I) 以下の個人情報保護に関連する詳細を規定する条項が含まれていること
(a) 個人情報の収集、利用、開示、およびデータ輸入者に対する個人情報の越境移転が、PDPAに適合するものであること
(b) データ輸出者とデータ輸入者は、PDPAにしたがって最低水準を充足するセキュリティ措置を講じること
(c) データ輸入者がデータプロセッサーである場合には以下の条件を満たすこと
(c-1) データ輸入者は、データ輸出者の指示または代理としてデータ輸出者によって指定された目的にしたがってのみ個人情報を収集、利用、または開示すること
(c-2) データ輸出者がデータ輸入者に対して、データ主体がPDPAに基づいて権利を行使する要求を処理するように指示しない限り、データ輸入者はデータ主体がその権利を行使する際に、可能な限り速やかにデータ輸出者に連絡を取ること
(c-3) データ輸入者は、契約条項にしたがって個人情報をデータ輸出者に返却するか、データ輸出者が指定した基準と条件にしたがって適切な手段で個人情報を消去、破棄または匿名化すること。また、このような措置が取られた場合、データ輸入者は書面によりデータ輸出者に通知すること
(c-4) データ輸入者は、PDPAにしたがって個人情報のインシデントを認識した場合、遅滞なく（可能な限り72 時間以内に）データ輸出者に対して報告すること
(d) データ輸入者およびデータ輸出者がデータコントローラーである場合、データ輸入者は、個人情報のインシデントが発生した場合には、それが個人の権利や自由に対するリスクを引き起こす可能性がない場合を除き、遅滞なく（可能な限り72 時間以内に）データ輸出者に対して通知すること
(e) データ主体に対する法的救済またはデータ主体が効果的な法的救済を受ける権利が存在すること

(II) 当事者が、外国の法令または国際機関の規則に従い、個人情報保護に関連する詳細を含む契約条項を設立する場合、以下のいずれかのモデル契約条項を使用することができる。
(a) ASEANのModel Contractual Clauses for Cross-Border Data Flows（MCC）
(b) 欧州委員会の一般データ保護規則（GDPR）に基づく、個人情報の越境移転のための標準契約条項（SCC）
(c) PDPCによって規定された他の機関または国際機関の個人データ転送のための標準契約条項

(3) 契約条項の必要な詳細事項

上記(2)(II)に規定する契約条項においては以下の個人情報保護に関する詳細が含まれなければなりません。
(a) 個人情報の越境移転についてデータ主体に通知を行うこと
(b) 個人情報の越境移転を、個人情報の収集、利用、および開示と必要かつ関連のある範囲に限定すること
(c) データ主体が個人情報の第三者への越境移転を制限する権利や、利用目的の範囲外における個人情報の使用を制限するための措置
(d) 契約条項内において、個人情報の越境移転に関する責任を明確にし、第三者に対して提供した個人情報を保護することを含め、適切な個人情報保護措置をとること
(e) 個人情報の越境移転にかかる安全管理措置を講じ、個人情報インシデントを防止すること
(f) 個人情報へのアクセス権限の決定、個人情報が正確、最新かつ完全で誤解を招かないよう保つための措置、および個人情報の削除、破棄、データ主体を識別できないようにするための匿名化にかかる措置
(g) 効果的な法的救済、法の執行、および個人情報を誤って越境移転することに起因する責任の決定

(4) 契約条項の修正

上記(2)(II)に基づいて契約条項を使用する場合、以下のような修正を行うことは、前述の契約条項の主要な内容に反しないものであり、かつデータ主体の権利と自由に影響を及ぼさないものとして、受け入れられます。 

(a) 適用法令に言及すること
(b) 契約条項のその他の部分を修正すること
(c) 適切な個人情報保護措置を追加すること
(d) 本質的でない部分について修正や追加を行うこと

Authors:
Monchai Varatthan
杉浦翔太
Marin Viriyapongpanich (Lin)