個人情報保護法(PDPA)完全施行の再延期について

タイでは、個人情報保護法(Personal Data Protection Act, PDPA)が2019年5月28日に施行され、1年後から完全適用されるとされていましたが、法律全体の完全施行は2020年5月19日の閣議で1年間延長され、2021年5月5日の閣議でさらに1年間延長されました。

2022年6月1日には完全適用予定ですので遅滞なくご準備ください。
タイ国外の企業も対象となります。

個人情報保護法(Personal Data Protection Act, PDPA)における「個人情報」と「センシティブな個人情報」

タイPDPAで保護対象となる情報は次の通りです。

  • 個人情報(Personal Data)とは、直接・間接を問わず個人を特定し得るあらゆる情報を指します(ただし故人に関するものを除きます)。
  • このうち、人種、民族、政治思想、信教、性的指向、犯罪歴、健康、障害、労働組合、遺伝子、生体情報などに関する情報は、「センシティブな個人情報」とされ、より厳格な保護の対象となり、違反すると刑事罰の対象となる場合があります。

適用対象

  • 情報管理者
    個人情報を収集、使用、開示する個人または団体
  • 情報処理者
    情報管理者に代わって、または情報管理者の指示に従って、個人情報を収集、使用、開示する個人または団体

地理的適用範囲

  1. タイ国内に所在する情報管理者・情報処理者
    • タイ国内外を問わず、個人情報を収集、使用、開示する場合
  2. タイ国外に所在する情報管理者・情報処理者
    • タイ所在者にサービスや商品を提供する場合
    • タイ所在者の行動を監視する場合

本人への通知義務

  1. 取得目的
  2. 法的な個人情報提供の必要性と、提供しなかった場合の本人への影響
  3. 取得される情報と保存期間
  4. 開示先情報
  5. 情報管理者の連絡先を含む情報
  6. 本人の権利

(参考)JETROビジネス短信