Ｑ：タイにおける個人情報保護法（Personal Data Protection Act. 以下、PDPA）が施行に関して、具体的にどのように対応していけば良いでしょうか？

Ａ：4月の本稿で第1回を解説させていただいたPDPAの続きで、今回は具体的な対応について概要を解説させていただきます（なお、本稿執筆時点では2020年5月末施行となっております。時期の変更もあるかもしれませんが、いずれは施行されるかと思います）。 　まず対応にあたっては、①個人情報データの所在と種類の確認（データマッピングとも呼ばれています）、②管理方法と文書化の状況の確認と改善点の抽出、③同意書等の関係者間文書の整理、という大きく分けて3つのステップがあり、それぞれについてイメージを持っていただけるように以下で述べさせていただきます。

①のデータマッピングは、まずは「現在どこに対象となる個人情報があり、どのような目的で保有され、誰が管理しているか」ということを、社内で把握するプロセスです。 　この作業では、本来は費用が許すようなら外部専門家による「第三者的視点」からのレビューを行うことが望ましいと思われます。というのは、社内の方だけで行うと先入観により取り扱っているデータの中には対象となる情報がないと判断してしまうケースもあるからです。ただ、組織が大きくなく、個人情報を業務として取り扱わない会社様では、内部での確認でも足りる場合もあります。また、近い将来新しい事業を始めるような場合には、想定される業務における「予想データマッピング」も必要になるかもしれません。

②の管理方法と文書化の状況というのは、このような個人情報をどのように管理しているかを、データマッピングで所在を明らかにした対象データに対して、明確にする作業で同時に改善点も盛り込んでいくものです。 　イメージとしては、生産におけるISO対応や、会計における内部統制文書化に近いもので、管理業務の内容（新規取得、保管、他者への開示等々）を文書として明確化すると共に、必要であれば従業員規定、危機管理対応マニュアル、情報管理規定、IT規定等と関連して、個人情報保護に必要な対応の文書化と実践を行うことになります。単純に個人情報保護規定だけを作成すれば対応可能なのか、それともIT規定の整備等も必要なのかは、会社ごとに異なりますが、少なくとも、個人情報保護は幅広い分野に影響を及ぼす可能性があるという視点で、業務規定全般を見直すことが必要ではないかと考えます。

③同意書等の関係者間文書の整理とは、個人とデータ管理者間における対象となるデータの伝達や、同意書、データ引き渡し依頼書（含む電子的手段での記録等）、データ管理者とデータ処理社間での業務委託契約書等の整備保管を指します。 　このような書類は法的な書類として締結され保管されるとともに、必要に応じてアップデート等の管理がされなくてならず、取り扱う個人データが多い場合には、十分な対応が必要となってきます。 　ここまで、導入にむけての概要を説明させていただきましたが、個人向けの事業を行っている規模の小さい企業では、対応が重荷になる可能性があります。詳細通達はまだ出ていないもののPDPAへの対応は経営上の検討課題として留意しておく必要があります。

小出　達也 (Tatsuya Koide)

Mazars（Thailand）Ltd.　ジャパンデスク　パートナー

1987年京都大学法学部卒業。旧東京銀行入行。中小企業事業団　国際部、東京三菱銀行　マニラ支店（1997年12月から2001年3月）、同行国際業務部勤務（国際財務戦略業務）を経て、2005年4月に公認会計士資格取得。2008年からMazarsタイにおけるJapan Desk責任者に就任。国際財務戦略に関する豊富な実務経験をもとに、総合的な視点からタイにある日系企業の指導にあたって、現在に至る。公認会計士（米国）、公認金融監査人。

連絡先：02-670-1100; Email: Tatsuya.Koide@mazars.co.th

ホームページ：http://www.mazars.co.th/Home/Our-services/Japanese-Desk

20年6月1日掲載