ブログ
タイ個人情報保護法(PDPA)違反に基づく初の制裁事例
2024.08.30
2024年8月21日、タイのデジタル経済社会省と個人情報保護委員会事務局によれば、タイの個人情報保護法(Personal Data Protection Act B.E.2562)違反に基づく、初めての行政罰が課されました。
罰金が科された事業者の名称は明らかにされていないものの、公式リリースによれば、コールセンター詐欺組織に対して重大なデータ漏えいを行った商取引オンラインサービスのプロバイダーに対して、700万バーツ(約3,000万円)の罰金が課されたとのことです。違反事由としては、データ保護責任者(Data Protection Officer)を任命しなかったこと(100万バーツの罰金)、データ漏えいを防ぐための適切な安全管理措置を講じなかったこと(300万バーツの罰金)、被害を受けた個人からの苦情に対して対応せず、当該漏えいを個人情報保護委員会(Personal Data Protection Commission)に対して適時に報告しなかったこと(300万バーツの罰金)が挙げられています。
また個人情報保護委員会は同社に対して、上記罰金に加えて、さらなるデータ漏えいの発生を防ぐためのセキュリティ体制の強化を命じ、技術革新に対応するための必要なセキュリティ対策の強化、スタッフへの研修実施、および改善状況の報告を7日以内に行うことを求めています。
タイで事業を展開する日本企業においても、データ漏えいを生じさせないための強固なセキュリティ体制を構築することや、万が一データ漏えいが発生した場合において速やかに個人情報保護委員会に報告できる体制を整備することが重要です。また、その他にもタイ個人情報保護法には、プライバシーポリシーの策定、データ主体からの同意取得義務、個人情報記録簿の整備、データ主体からの権利行使への対応、データ保護責任者やタイ国内代理人の選任といった義務が課されています。今回の制裁事例を皮切りに、今後当局による執行が活発になることが予想され、本件を機にタイ個人情報保護法へのコンプライアンス体制をあらためて見直すことが求められます。
執筆者:
Monchai Varatthan
杉浦翔太
Marin Viriyapongpanich (Lin)
Member
PROFILE
PROFILE