皆さま、こんにちは。
東京コンサルティングファームタイ法人です。
2021年5月5日の閣議決定(及び5月8日の正式通知)にて、タイ国個人情報保護法(PDPA)の適用再延長が決定されました。
前回のブログでは、データ主体の権利や、データ管理者・データ処理者の義務についてお伝えさせて頂きましたが、今回は、いよいよPDPA対策について説明していきたいと思います。
過去のブログでは、個人情報保護法の条文を説明させて頂きましたが、その中で、データ管理者が対応しなければならない内容がありました。
19条の同意の作成については、適法根拠に該当しない場合に準備が必要となり、同意取得については、①書面、または②電子的手段、のいずれかとなります。
また、データ主体から同意を得る際に気を付けるべきポイントがいくつかありましたが、作成の際には、このポイントを考慮しましょう。
23条のプライバシーノーティスは、個人情報を収集する際に通知する必要があります。
こちらも、通知が必要な内容が6項目ありましたので、作成の際には、内容が明記されているか確認を行いましょう。
37条の個人情報の侵害に関する通知については、データ管理者の義務の一つになります。
情報漏洩等の発生があった際には、発覚を確認後、72時間以内に当局に通知する義務がありますが、72時間以内に対応できるように規定を作成し、
担当者が対応の流れや方法を理解できていることが望ましいです。
また、37条では、『データ管理者が開示した第三者が、データ主体の個人情報を、違法に(または許可なく)使用、開示することを防ぐ義務』というのがデータ管理者に課せられています。
第三者(=データ処理者)が存在する場合には、管理のためにデータ処理契約書を作成し、データ処理者との間で当該契約書の締結をしておきましょう。
39条では、取扱活動の記録があります。こちらも必要な記録内容項目がありますので、作成の際には、抜け漏れがないか確認しましょう。
実務対応の流れとしては、①現状把握、②適法根拠項目の確認、③内容の記載、④見直し・修正、というのが一般的です。
現状把握では、データマッピング等を行い、会社内での個人情報の取扱活動を洗い出しを行っていきます。
例えば、採用の際に、候補者からレジメやIDカード情報、住居登録証、学歴証明書等を受け取る企業様も多いかと思いますが、
このような活動ごとに、個人情報の取り扱い(収集、保管、開示・使用、削除)の流れを把握していきます。
現状把握後、個人情報の収集目的が、どの適法根拠に該当するのかを確認し、必要であれば同意書の作成を行います。
なお、データ主体との同意に関して、19条に『同意の撤回は、法律による制限やデータ主体にとって利益のある契約がない限り、
同意を与えるのと同じくらい簡単なものでなければならない』とあるため、可能な限り、同意の取得ではなく適法根拠項目を見つけることを推奨しています。
現状把握と適法根拠項目の確認が終わった後は、いよいよ資料作成となります。作成には、法律に明記されているそれぞれのポイント
(例:プライバシーノーティスなら、6つのポイントの記載等)を確認しましょう。
現時点ではまだ政府非公式ではあるものの、600ページにわたるガイドライン等も発表されていますので、そちらを参考にされるのもいいかもしれません。
個人情報の越境移転に関する内容等は、今後当局からの発表によって対応する必要が出てくる可能性もありますが、1年後の完全施行へ向けて、可能な範囲での準備を進めていきましょう。
弊社では、個人情報保護法セミナー(日本語、タイ語)の開催や、個人情報保護法に関するアドバイザリー等も行っております。
ご不明な点等ありましたら、お気軽にお問い合わせくださいませ。
転載元記事はこちら
弊社の他の記事はこちらから→【東京コンサルティングファーム】