タイの越境個人データ移転規制

You are using an outdated browser and your browsing experience will not be optimal. Please update to the latest version of Microsoft Edge, Google Chrome or Mozilla Firefox. Install Microsoft Edge

2月 19, 2024

タイの越境個人データ移転規制

2023年12月25日、タイの個人データ保護委員会 (PDPC: Personal Data Protection Committee) は、2019年個人データ保護法 (PDPA: Personal Data Protection Act) の第28条および第29条に基づき、個人データの越境移転に関する重要な側面と基準について言及した二つの通知を発行した。これらの通知は2024年3月24日に施行される予定である。

通知の要点は以下の通りである。

適切なデータ保護基準 (第28条)

PDPAによって別段の定めがない限り、移転された個人データを受け取る移転先の国または国際機関は、以下の要因によって決定される「適切なデータ保護基準」を有していなければならない。

法的措置と仕組み：移転先の国または国際機関は、タイの個人データ保護法に沿った法的措置または仕組みを有していなければならない。具体的には、データ管理者の義務には、適切なセキュリティ措置の提供、適切でデータ主体の権利の行使を可能にする個人データ保護措置の実施、効果的な法的救済措置の確立が含まれる必要がある。
規制当局：個人データ保護に関する法令を執行する義務と権限を委任された機関または組織の存在も重要な要素である。

さらに、この通知により、PDPC事務局(Office of the Personal Data Protection Committee)は、独自に特定された、またはデータ管理者によって提出された事件を、PDPCに付託して裁定を求める権限を与えることになる。PDPCは、事件ごとに決定を下したり、適切なデータ保護基準を有していると考えられる相手国または国際機関のリストを作成したりする裁量権を有することになる。

拘束力のある企業規則と適切な保護措置 (第29条)

グローバルなデータ交換の分野では、個人データの安全かつ準拠した転送を可能にする主要なメカニズムとして、次の2つが存在する。

拘束力のある企業規則 (BCR: Binding Corporate Rules) ：BCRの実施には、事業を共同で運営するために、関連事業間または同一企業グループ内で転送される個人データを保護するための承認されたポリシーの実施が含まれる。
適切な保護措置：適切な保護措置は、個人データを保護するだけでなく、データ主体の権利を行使し、効果的な法的救済措置を含めることも可能である。これらの保護措置は、標準的な契約条項など、さまざまな形式をとることができる。

データの越境移転のための効果的なメカニズムと見なされるためには、BCRと適切な保護措置の両方が次のことを行う必要がある。

個人データ保護法を遵守し、職員、従業員、スタッフ、個人データのその他の送信者/譲渡者および受信者にに関連するその他の者を拘束しながら、法人、自然人、データ処理者、送信者/譲渡者、個人データの受信者を含むすべての関係者に対して法的有効性と法的強制力を維持すること；
外国に送信または移転された個人データに関する個人データ保護、データ主体の権利、および苦情の申し立てを認識すること;および
個人データ保護法の下で制定された一連の下位規則に記述されているような、個人データ保護法および法律で規定された最低基準を遵守する個人データ保護対策とセキュリティ対策を提供すること「参考First Set of Subordinate Regulations Enacted for Thailand’s PDPA – Tilleke & Gibbins」

適切なデータ保護基準に関する決定がない場合、またはBCRが存在しない場合、適切な保護措置が実施されていれば、個人データの越境移転は許容される。この実施は、以下のいずれかの形式をとることができる。

標準契約条項 (SCC: Standard contractual clauses)、特にデータの越境移転の文脈において、法的合意を確立するための基本的な枠組みとして機能する標準契約条項

この点に関して、タイは現在、タイモデルと海外モデルという2つの異なるSCCモデルを受け入れている。それぞれのモデルの具体的な規定と適用 (必要に応じてどちらを採用してもよい) を以下の表に要約する。

PDPCによって決定される承認された基準に従った適切な保護措置の実施の証明

これには、通知に規定された個人データ保護の内容が含まれていなければならない。

タイの国家機関と、相互に個人データを移転する外国の国家機関との間で法的拘束力と執行力を持つ法令または協定

国境を越えた個人データの移転に関するタイの要件、またはPDPAの遵守に関するあらゆる側面の詳細については、Athistha (Nop) Chitranukroh ([email protected]) 、Nopparat Lalitkomon ([email protected]) 、Gvavalin Mahakunkitchareon ([email protected]) 、Thammapas Chanpanich ([email protected]) 、Punyavee Koaysomboon ([email protected]) までお問い合わせください。

備考：本和文は英文記事を翻訳したものです。原文については、以下のリンクをご参照ください。

Thailand Unveils Regulations for Cross-Border Personal Data Transfer

Related Professionals