6月施行、タイ個人情報保護法(PDPA)直前チェック! ブックマークが追加されました
ナレッジ
6月施行、タイ個人情報保護法(PDPA)直前チェック!
APリスクアドバイザリー ニュースレター(2021年4月26日)
2018年のEU一般データ保護規則(GDPR:General Data Protection Rules)の施行以来、グローバルレベルでプライバシー保護強化の流れが続いています。現にタイや東南アジアにおいても、情報漏洩インシデントが頻繁に報道されています。こうした潮流の中で、遂に2021年6月にはタイ国においても個人情報保護法(PDPA: Personal Data Protection Act 2019)の施行が見込まれており、多くの日系企業がプライバシー情報の取り扱いの見直しに迫られています。
日付 |
内容 |
|---|---|
2020/5 |
携帯通信事業大手企業にて、80億件ものユーザー情報が流出。グループ企業のサーバーが認証なしでインターネット上に公開 |
2020/10 |
飲食店予約サイト大手企業にて、280万人分の顧客情報(氏名、電話番号、メールアドレス、暗号化されたパスワード、性別、SNSのIDなど)が流出したと思われる |
2021/3 |
航空会社にてITベンダー経由で個人情報(氏名、生年月日、性別、連絡先等)が漏洩していたとの報告 |
本稿では、タイにおいて個人情報を収集および利用する可能性のある日系企業の皆様にとって留意すべきPDPA法案の特徴と、施行直前の今改めてチェックすべきポイントをご紹介します。
まずPDPA法案の概要は以下のとおり、基本的にはGDPRと同様の要件が規定されているものの、罰則に関してはより厳格な内容が含まれています。具体的には、刑事責任(Criminal Liability)として情報主体の同意を得ずに個人情報を第三者に開示した場合や、法の要件を満たさずに個人情報を国外に移転した場合等には、最大で1年以下の禁固もしくは100万バーツ以下の罰金またはその両方が課せられます。これらの刑事罰は、取締役等の個人も処罰の対象とされており、特に注意が必要です。また漏洩等に際して情報主体に対する通知を怠った場合等には、最大で500万バーツ以下の課徴金という行政責任(Administrative Liability)が課されるほか、故意または過失によって情報主体に損害を与えた場合には、実損害に加えて損害額の2倍以内の懲罰的民事損害賠償の義務(Civil Liability)を負うなど厳しい罰則が定められています。
<PDPAの概要>
このようなタイPDPAの特徴も踏まえた上で、企業は主要ステークホルダーごとに関連する個人データのマッピングおよび要件見直しの対応作業が進められています。
|
|---|
法律施行が目前に迫る中、企業が取り扱う全ての個人データに関して、以下の要請事項に準拠できているか改めてチェックし、自社におけるPDPA対応プロジェクトに重要な漏れが無いことを再点検することが強く望まれます。
<PDPAにおける主要な要請事項>
デロイト トーマツ グループでは、グローバルなネットワーク、GDPRおよび各国のプライバシー法制対応の経験や知見を活用し、法的手続、管理態勢、テクノロジーの観点から日系企業クライアントの現地規制対応を支援しています。
著者:畠山 多聞
※本ニュースレターは、2021年4月26日に投稿された内容です。
アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。
