2022年6月1日、タイ(Thailand)で初めてとなる「個人情報保護法」(PDPA:Personal Data Protection Act)が全面施行されました。
これまで個人情報保護に関する法律が存在しなかった同国においては、個人情報関連における不法行為等について、既存の民商法(CCC:Civil and Commercial Code)や営業秘密法(Trade Secret Act B.E.2558)と呼ばれる法制の規定が適用されてきました。一方でグローバル市場に目を向けると、2018年5月に施行された欧州GDPRを皮切りに世界的な個人データ保護法制強化の流れが加速しており、昨今の急速な社会活動のデジタル化の流れも相まって、先進国のみならず新興国においても個人情報保護にまつわる動きが活発化しています。タイでも、過去複数回の提出・廃案を経て、2019年5月に初めて具体的かつ独立した法律が制定されることになったわけです。
タイ国内では、そもそも個人情報に対してどのような意識を国民が持っていて、今回の法制をどのように受け止め、経済界はどのような対応を迫られているのか。また、私たち日系企業は具体的にどのような対応を取れば良いのか。今回は、タイ現地を拠点の一つとして活動されているGVA国際法律事務所 弁護士 代表の藤江 大輔氏に詳しくお話を伺いました。
インタビュイー情報
藤江 大輔
GVA国際法律事務所(大阪) / GVA Law Office (Thailand) Co., Ltd.
弁護士 代表
2008年 京都大学法学部 卒業
2011年 京都大学法科大学院 修了
2011年 最高裁判所司法研修所 入所
2012年 GVA法律事務所 入所
2015年 株式会社マナボ 執行役員就任(退任済)
2015年 and factory株式会社 社外監査役就任(退任済)
2016年 GVA法律事務所 パートナー就任
2017年 GVA Law Office (Thailand) Co., Ltd.設立・代表就任
2021年 GVA国際法律事務所 設立・代表就任(弁護士法人GVA法律事務所から移籍)
2022年 株式会社WHOM 社外取締役就任(現任)
7歳以上の常時携行が義務付けられている国民IDカード「バット・プラチャーチョン」
画像出典元: タイ ブリーラム市 ホームページ
タイの個人情報関連を考える際に、日本との環境面の違いで注目すべきことの一つは国民IDカードの存在でしょう。「バット・プラチャーチョン」(正式名称:バット・プラチャムトゥワバットプラチャーチョン(บัตรประจำตัวบัตรประชาชน))と呼ばれるもので、1983年制定の改正国民身分証法によって常時携行が義務付けられているICチップ付きの物理カードとなります(2011年以降は7歳以上が常時携行の対象)。
日本のマイナンバーカードが主に行政手続等の効率的な情報管理およびオペレーションの実現を目指してプロジェクトが進んでいるのに対して、この国民IDカード誕生の背景は国民の出生・死亡情報等の管理にあります。よって、公式な統計は存在しないようですが、誕生から40年以上経過しているインフラとして、この国民IDカードの使用はかなり一般的になっていると藤江氏は説明します。
「タイの医療保険制度は原則として国民IDに紐付けられて管理されているので、多くの国民は自分のIDカードを利用して保険の登録を行うといいます。現在は、全国民(6,617万人 ※2021年データ)の9割以上が何らかの医療保険制度に加入しているとされており、そこから推察すれば国民IDカードの普及率は極めて高いと推察できるかと思います。また、金融取引(銀行口座開設、投資など)や電話のSIMカード購入、建物へ入館する際などでもIDカードによる本人確認が必要ですので、かなり一般的にIDカードによる本人確認が行われていると思います」
また2021年には、コロナ禍での経済的困窮を支援するためのプログラムを政府が打ち出したのですが、そのサービスを享受するにも国民IDカードの活用が前提になると藤江氏は続けます。
「昨年、コロナ禍での経済的困窮を支援するために、政府が“Kon La Krueng”(通称:ハーフ&ハーフ)という経済支援プログラムを打ち出しました。このプログラムは所定のアプリケーションを通じて商品を購入した場合に、政府がその半額を負担するというものでしたが、応募する人は、クルンタイ銀行のeKYCシステムで国民IDカードによる本人確認が必要というルールになっていました。このプログラムに応募した人の総数は、2,500〜2,600万人だとされています。ここから推察すると、IDカードによる本人確認は少なく見積もっても4,000万人以上のタイ人にアクティブに利用されているでしょう。このように、『持っていないとこれらの便益を享受できないもの』として、国民IDカードは人々の生活に浸透している存在だと言えます」
※タイの国民IDカードの詳細については以下の記事で詳しく解説しているので、ぜひ併せてご覧ください。
▶︎タイの本人確認事情を解説。7歳から携行する国民IDカードと、官民連携で進むeKYCの社会実装
タイと日本の、個人情報に関する国民意識の違い
藤江 大輔氏(奥)とGVA Law Officeメンバーの皆さま、およびTRUSTDOCKグローバル責任者 Jeff Bates(手前)
そんなタイ国民において、個人情報に対する意識はどうなのでしょうか。藤江氏によると、「PDPAが施行されて以来、タイの人々の個人情報の重要性に対する意識は高まっている」としつつ、「日本と比較すると、個人情報の安全性に関する意識は相対的に低いと考えられる」と言います。
2020年の総務省の統計によると、日本の場合、個人情報の利活用に関して、約半数の人が、安心や安全性を重視するという考えを示しており、個人情報に関する国民の意識が高いことが伺えます。
プライバシーやデータ保護に関する規制やルールに関する消費者の考え方(画像出典:総務省「令和2年 情報通信白書」)
たとえば日本で個人情報の漏えいが発生した場合、深刻なセキュリティインシデントとしてニュースで報道され発生元の企業等は厳格な対応を求められることになります。一方でタイの場合は、相対的に受け止められる深刻さの度合いが低く、「場合によっては迷惑な問題程度に認識されているように感じる」と、藤江氏は現地居住者ならではの感覚を述べます。
「例えばタイでは、個人情報の漏洩又は転売によって個人の携帯電話番号が日々流出しており、タイ人は頻繁に詐欺的な内容の迷惑電話に悩まされています。おそらくタイに住む方だったら、何回かそういう電話を経験しているのではないでしょうか。こういう問題に対して、国民が受け入れているとは言いませんが、それほど深刻な問題として捉えられているようには思いません。統計上のデータによると、『インターネット上の行動による問題』というテーマについて、個人情報流出を問題だと考えるタイ人はわずか1割強に過ぎないとの指摘もあるようです」
そのような個人情報への意識は、行政や企業の個人情報管理の甘さにもつながっているようです。英調査会社コンパリテックが2021年9月20日に発表したところによると、タイに2011年以降に入国した外国人1億600万人以上の個人情報が、Webサイトで誰でも閲覧可能な状態になっていたとのことです。またこの他にも、航空会社や医療機関、小売店、メディア企業などで個人情報の流出事件が多発していると言います。
「タイの人々もこのような大規模なセキュリティインシデントになると、さすがに組織のデータセキュリティの欠如に衝撃を受けている方が多く、この問題に対する苦情も多く寄せられたようです。しかしPDPA施行前であったことも影響してか、これらに関して訴訟などの法的手法による問題提起はされていないようです。
今回のPDPAの施行によって、現在では官民を問わず多くの組織が個人情報の重要性を訴えており、今後、個人情報に対するタイ人の意識は徐々に高まっていくものと思われます」
PDPAでは、より「本人のコントロール」を重視している
次に、今回の本テーマであるPDPAのあらましについて解説していただきました。日本でも2022年4月に令和2年改正個人情報保護法が施行され、これまでの中でも最も抜本的な改正がなされたばかりですが、日本のそれとタイのPDPAとでは制度的なベースが異なるが故に「個人情報という言葉の範囲が日本よりも広い」と、藤江氏は説明します。
「日本では、個人情報と個人関連情報が概念として区別されており、それぞれの扱いに関して異なるルールが定められていますが、タイの個人情報の概念は、日本法でいう個人情報と個人関連情報を含む射程を持っていると考えられます」
日本の個人情報保護法における個人情報の定義は、法第2条第1項にて、「特定の生きた個人を識別できる情報(他の情報と容易に照合して識別できる場合を含む)」もしくは「個人識別符号を含むもの」であるとしています。例えば本人の氏名については、特定の個人を識別可能な情報といえるので個人情報になります。他方、個人関連情報とは2022年4月の改正法施行によって新設された概念で、個人に関連する情報ではあるものの、個人を識別できる個人情報(及び匿名加工情報)には該当しないもの、例えばWebサイト上の行動履歴情報などを指します。タイのPDPAでは、このように日本では分かれている個人情報と個人関連情報が「個人情報」という形で集約されて扱われることになります。
個人情報を保有しているB社と、ネット上の様々な情報を管理するDMP(Data Management Platform)事業者であるA社の2社間によるデータの授受ケースを想定した場合、まずDMP側であるA社は個人データを取得しない形でブラウザの閲覧履歴などのユーザー行動情報を取得し、B社からのCookie・ID等の情報に紐付ける。その紐付けた状態で、A社からB社へと行動情報を渡すとすると、B社はCookie・ID等の情報をキーにして行動情報と個人情報を突合することで、個人データではないはずの行動データが個人データになる。よって、ここでいうCookie・ID等の情報は個人関連情報という位置付けになる(画像出典:個人情報保護委員会「令和2年改正個人情報保護法概要リーフレット(令和4年2月)」※可読性向上のため一部箇所をTRUSTDOCKで加工)
またタイのPDPAは、制度的に欧州のGDPRをベースとして作られていることもあり、日本と比較すると、個人情報に本人のコントロールが及んでいることを重視する内容になっていると藤江氏は続けます。
「日本法の場合は、個人情報を取得する際には本人の同意は必要としておらず、例えば第三者へ開示する場合などに同意を必要とする設計になっています。一方でPDPAは、個人情報を扱うにあたって取得時であっても原則として同意を要するという設計になっており、これも大きな違いだと考えています。大雑把なイメージとしては、日本法は個人情報を扱うことは原則OKとしつつ、不当な取扱いを規制するという考え方に基づいており、PDPAは、個人情報を扱うこと自体について、原則として正当な根拠がなければNGとする思想に基づいていると言えます。
PDPAは、まだ施行直後で運用面が見えていないので、その意味で『規制の厳しさ』は不明と言わざるを得ませんが、日本法よりも厳しいと言われるGDPRをベースにしているため、日本法よりも法律が要求する基準は高いと考えて良いでしょう」
PDPAが適用されるか否かの判断ポイントと対応要件
タイの企業、およびタイの企業と取引をしている/予定している企業は、このPDPAに準拠するために何をしなければならないのでしょうか。藤江氏は「まず自社にPDPAが適用されるか否かについて検討する必要がある」と説明します。
「タイ国内に拠点がある場合には、まずPDPAが適用されると考えて頂いて良いかと思います。またPDPA第5条第2項によると、タイ国内に拠点を持たない企業であっても、以下の2つのどちらかに関する個人情報の取扱いには、PDPAの適用があるとされています」
- タイ国内の個人に対するサービスや商品を提供する場合(有償無償を問わない)
- タイ国内の個人の行動の監視を行う場合
「PDPAが適用されると判断される場合は、次にPDPAの遵守体制を整える必要があります。PDPAは、大雑把に言えば、個人情報を取扱うにあたって、適正な法的根拠を備えることを求める法律です。事業者には、プライバシーポリシーを明示するなどして個人情報を取扱う趣旨・目的を本人に説明した上で、原則として本人からの同意を得て個人情報を処理することが求められています。ですので、個人情報の取得時についての運用を見直す必要があるでしょう。
そして、PDPAは、それらの同意や処理を記録化することを義務付けるとともに、情報保護体制として、相応のセキュリティ措置の実施や、漏洩時の報告等を求めていますので、社内での情報管理対応も必要となります」
準備すべき事項と注意点
義務 | 準備事項 | |
①取得前/取得時 | ・プライバシー通知 | ・データ主体に対応したプライバシーポリシー |
②取得時 | ・取得/処理の適法化 | ・同意書(必要な場合) |
③管理 |
・安全/正確な保管 |
・適切なセキュリティ |
④対応 |
・開示/訂正/消去 |
・開示等の請求を受けたときの対応マニュアル |
タイ国民向け越境ECサービス展開の場合
例えば越境Eコマース等によってタイ国内個人向けにサービスを展開するケースを考えると、これは「タイ国内の個人に対するサービスや商品を提供する場合」に該当するので、PDPAが適用されることを前提にサービスを運用する必要があります。
「タイ国内のユーザーの個人情報を取得する前に、原則として個人情報の取得について同意を取っておく必要があるので、プライバシーポリシーやプライバシーノーティスなどによって必要な情報をあらかじめ提供した上で、ユーザーの同意を取得して情報を取り扱います。取得したユーザーの個人情報は、社内で安全な環境下で保存されるとともに、情報処理の記録を作成する必要があります。必要な記録の項目は以下のとおりです」
- 収集した個人データ
- 各カテゴリーにおける個人データの収集目的
- データ管理者の詳細
- 個人データの保存期間
- 個人データにアクセスする権利を有する者に関する条件および当該個人データにアクセスするための条件を含む、個人データにアクセスするための権利および方法
- 同意のない個人データの利用及び開示
- 本人からの請求又は異議申立ての拒否
- 個人データの適切なセキュリティ措置の説明
下位規則は現在進行で整備が進んでいる
一方で、タイ国内初となる個人情報保護法の全面施行に伴って、国内の経済界はある程度混乱しているのも事実のようです。
「PDPAをめぐる状況について整理しておくと、PDPAは、今から二年前の2019年5月27日に公布され、当初は2020年5月27日に全面施行予定でした。しかし、新型コロナウイルスのパンデミックの影響等で施行が延期され、2022年6月1日からの全面施行になったという経緯があります。この延期は、施行予定日の直前で発表されていたため、2022年6月の施行直前でも『再度の延期になるのでは?』という混乱が多く見られました。実際、経済界からは施行の再延期を求める声明も出され、大きく報じられました」
結局、再度の延期はなされず、PDPAは6月1日から施行に至ったわけですが、現在も下位法令等の整備が十分になされていないことから、実務対応上の混乱が続いていると藤江氏は続けます。
「PDPAの一部には、詳細を下位規則で具体化することを想定した規定が存在します。しかし、それらの下位規則が完全には制定されないままに、6月の全面施行に至ったわけです。たとえば先ほど『ユーザーの個人情報は社内で安全な環境下で保存される必要がある』とお伝えしましたが、その具体的なセキュリティ要件は全面施行のタイミングでは明示されていませんでした。この他にも、域外適用の場合の代理人選任義務やデータ保護責任者選任義務、越境移転を可能とする「データ主体の権利行使を可能とする適切な保護措置」の内容など、複数の内容の詳細が明示されていない状態だったので、タイ国内でも対応状況や対応姿勢にバラツキが生じている状況でした」
そもそも、タイでは下位法令等を施行後に整備するケースは珍しくなく、日本と比較すると当局側の裁量が高くなる傾向があると言います。ただし、今回のPDPAでは特に、施行後の対応も急ピッチで進んでいるようです。
「現在では、それらの下位規則やガイドラインが次々と制定されており、その内容に応じた対応が求められている状況です。先日も6月20日に、先ほどお伝えしたセキュリティ要件や個人データ処理記録義務が免除される小規模事業者の定義など、4つの下位規則が公布されています」
このようにスピード感をもった当局の動きに対して、日本の企業はどのような姿勢で対応するべきなのか。最後に、藤江氏よりアドバイスがなされました。
「まだ施行直後なので何とも言えないところですが、PDPAの施行により、現在では官民を問わず多くの組織が個人情報の重要性を訴えています。今後、個人情報に対するタイ人の意識は徐々に高まっていくものと思われますので、日本企業においてもPDPAの適用範囲となる事業を展開している場合には、ぜひ当局の動きを注視しながらも、過度に左右されずに対応を進めていただければと思います」
▶︎GVA法律事務所のサイトはこちらから
https://gvalaw.jp/
藤江 大輔氏(写真左)、TRUSTDOCKグローバル/タイオフィスのメンバー(左から2・3番目)、GVA Law Officeメンバーの皆さま(右から1・2番目)
TRUSTDOCKでは“本人確認のプロ”として、国内はもとより、海外でも積極的にKYC事業を展開しています。2020年6月には、初となる海外現地法人をタイに設立し、国家をあげてのeKYCトレンドに対応すべく、現地当局や現地企業等とのコミュニケーションを重ねています。今回のテーマとなったタイのPDPAについてはもちろん、本人確認まわりについてご不明点がある場合は、どうぞお気軽にご相談ください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
eKYCの詳細については以下の記事でも詳しく説明しているので、併せてご覧ください。
▶︎ eKYCとは?オンライン本人確認を徹底解説!メリット、事例、選定ポイント、最新トレンド等
また、国内の個人情報保護法と開示請求については以下の記事で詳しく説明しているので、こちらも併せてご覧ください。
▶︎改正個人情報保護法で開示請求のオンライン化。企業が用意すべき手続きフローや対応要件、本人確認、事例を解説
(文・長岡武司)