Q：タイにおいても遅れていた個人情報保護法の施行が近づいていると聞きましたが、どのようなものでしょうか？

A：今年の2月28日、長らく審議がされていた個人情報保護法（Personal Data Protection Act：PDPA）が、国家立法議会で承認されました。今後、国王による署名の後、官報に掲載され、法律として施行される予定です。 この法律は最近、グローバルデータ企業（いわゆるGAFA＝Google、Amazon、Facebook、Appleが有名です）による個人情報やデータの収集、それを通じてのビッグデータ分析等が世界的に隆盛を極めているなかで、そうしたグローバル企業に対する人権の保護という点や、データに関する国家主権の対峙の仕方といった点からも、興味深いものですが、一方でヨーロッパで施行されたEUのGDPR（General Data Protection Regulation）への対応といった側面もあり、個人データに関する意識が必ずしも高いとはいえない（と思われる）タイ社会の中で、どういった形で浸透・実施されていくのかが注目されます。 その上で、まずは今回承認されたPDPAについて、その概要を以下説明させていただきます。

【個人情報の定義】

故人の情報を除き、個人を直接または間接的に特定できる情報を指すとされています。この定義自体は基本的なものであるのですが、EUのGDPRにおいては、よりインターネットを通じた個人情報データ収集への対抗という意味が強く、例えばIPアドレスや閲覧履歴データ収集についても対象としている点から考えると、どちらかといえばPDPAはあまり厳格な規制ではないという印象があります。

【個人情報の収集と同意】

個人情報の収集に関しては「明示の同意」が必要とされ、また、収集の目的や適法性等の開示が要求されています。明示の同意がどういった内容を具体的に指すのかについては、今後の具体的な細則や運用を見る必要がありますが、個人情報の登録時（例：HPの会員登録等）において同意を求めることが必要になる可能性があります（GDPRに対応したサイトを閲覧時に閲覧データ利用の同意を求められる経験をされた方もあるかと思います）。したがって、日本の企業においてもタイでネットを通じた会員登録制のビジネスを行うような場合には、対応が必要になってくると思われます。

【適用範囲】

まず、個人情報を収集・利用する法人・自然人（これは個人情報管理者・個人情報取扱者と呼ばれています）がタイに所在する場合において当該法律の対象となることは自明ですが、タイ国外にあるこうした個人情報管理者・個人情報取扱者も、タイに所在する個人情報保有者に対してサービスを行う場合や、個人の行動把握等によるマーケティングのためなどで個人情報の収集を行う場合には、当該法律の対象となるとされています。したがって、日本本社を利用してタイにおける個人情報収集を行った場合においても（この場合は、日本の個人情報保護法の対象になりますが）当該法律の対象となる可能性があります。 　今後、この法律の施行細則が発表されてくると思いますが、タイにおいて事業を行う場合には十分に注意をしていかなければならないものの一つかと思います。

なお、本文書は一般的な検討を行ったものであり、個別のケースで問題が発生した場合には、多くの場合関連法規の検討や専門家のアドバイスが必要となります。そのため、本文書の著者及び所属先は、本文書の掲載内容に基づいて実施された行為の結果、並びに誤情報及び不備については責任を負いかねますのでご了承ください。

小出　達也 (Tatsuya Koide)

Mazars（Thailand）Ltd.　ジャパンデスク　パートナー

1987年京都大学法学部卒業。旧東京銀行入行。中小企業事業団　国際部、東京三菱銀行　マニラ支店（1997年12月から2001年3月）、同行国際業務部勤務（国際財務戦略業務）を経て、2005年4月に公認会計士資格取得。2008年からMazarsタイにおけるJapan Desk責任者に就任。国際財務戦略に関する豊富な実務経験をもとに、総合的な視点からタイにある日系企業の指導にあたって、現在に至る。公認会計士（米国）、公認金融監査人。

連絡先：02-670-1100; Email: Tatsuya.Koide@mazars.co.th

ホームページ：http://www.mazars.co.th/Home/Our-services/Japanese-Desk　

2019年5月号掲載