タイ版 会計・税務・法務
第131回 今回のテーマは、 タイにおける個人情報保護法の施行について(その1)です。
Q:この5月からタイにおける個人情報保護法(Personal Data Protection Act.: 以下PDPA)が施行されると聞きましたが、具体的にどのように対応していけば良いでしょうか?
A: 昨年5月の本稿でも簡単に解説させていただいたPDPAが、今年の5月から施行実施されることになります(本稿執筆時点)。そこで今月と来月は、同法について少し解説させていただきたいと思いますが、今回は、ヨーロッパの個人情報保護法であるGDPR(General Data Protection Regulation)の影響を強く受けているタイのPDPAにおいて、定められているデータ管理者(Data Controller)とデータ処理者(Data Processor)について述べさせていただきます。 さて、日本の個人情報保護法においては、個人データを取り扱う事業者は「個人情報取扱事業者」として一括して定義されていますが、タイのPDPAにおいては個人情報を取得し管理する決定権限を持つデータ管理者としての役割と、このデータの加工や処理を行う「データ処理者」の役割を区別し、それぞれの責任を明確化しています。ただ、データ管理者とデータ処理者は同一の者となるケースもあり、また場合によってその役割が変わることがありますので、こうした区別は個々のケースにおいて判断することが重要です。 まず、データ管理者ですが、個人情報の対象となる人(提供者と呼びます)から、一次的にデータを取得する人であり、かつ、そのデータをどの様に使用するかの決定権を持っています。 データ管理者は、データの取扱についてPDPAに沿った、①使用目的等に関する提供者への説明と同意の取得、②同意内容に沿ったデータの使用、保管、管理、③外部のデータ処理者を利用する場合には当該データ処理者選定における安全性の確保、④場合によってはデータ保護管理者(Data Protection Officer)の選任届け出、等の責任があります。 一方、データ処理者は、データ管理者からの指示に基づき、個人情報の処理等を行う者であり、データ管理者から指示された範囲においてのみ、個人情報の取扱いを行うことになります。 データ処理者は、①適法なデータ処理者からの指示の範囲での取り扱い、②個人情報データの保護、③処理おける適切なプロセスの構築、④場合によってはデータ保護管理者(Data Protection Officer)の選任届け出、等の責任があります。 PDPAの対応を考えるにあたっては、会社において、a) データ管理者としての業務、b) データ処理者としての業務・部署の明確化を行って、対応事項を整理することが必要となってきます。もっともデータ処理を行う事業を行っている会社以外は、ほとんどの場合は「データ管理者」として位置付けられると思われます。 その場合、社内において、個人情報に該当して管理の対象となるようなデータがどこに存在しているかを把握し、そのデータの種類(取得先、取得方法、管理方法、処理方法等)についての、リスト化を進めることが「データ管理者」としての責任を果たす第一歩となります。
小出 達也 (Tatsuya Koide)
Mazars(Thailand)Ltd. ジャパンデスク パートナー
1987年京都大学法学部卒業。旧東京銀行入行。中小企業事業団 国際部、東京三菱銀行 マニラ支店(1997年12月から2001年3月)、同行国際業務部勤務(国際財務戦略業務)を経て、2005年4月に公認会計士資格取得。2008年からMazarsタイにおけるJapan Desk責任者に就任。国際財務戦略に関する豊富な実務経験をもとに、総合的な視点からタイにある日系企業の指導にあたって、現在に至る。公認会計士(米国)、公認金融監査人。
連絡先:02-670-1100; Email: Tatsuya.Koide@mazars.co.th
ホームページ:http://www.mazars.co.th/Home/Our-services/Japanese-Desk
20年4月1日掲載