いつもWIKI-INVESTMENTの記事をお読みいただきありがとうございます！

今回は
【タイ国個人情報保護法（PDPA）の適用再延長が決定！④】というテーマで、お話していこうと思います。

タイ国個人情報保護法（PDPA）の適用再延長が決定！④

個人情報保護法の条文を説明させて頂きましたが、その中で、データ管理者が対応しなければならない内容がありました。

19条の同意の作成については、適法根拠に該当しない場合に準備が必要となり、同意取得については、①書面、または②電子的手段、のいずれかとなります。

また、データ主体から同意を得る際に気を付けるべきポイントがいくつかありましたが、作成の際には、このポイントを考慮しましょう。

23条のプライバシーノーティスは、個人情報を収集する際に通知する必要があります。

こちらも、通知が必要な内容が6項目ありましたので、作成の際には、内容が明記されているか確認を行いましょう。

37条の個人情報の侵害に関する通知については、データ管理者の義務の一つになります。

情報漏洩等の発生があった際には、発覚を確認後、72時間以内に当局に通知する義務がありますが、72時間以内に対応できるように規定を作成し、

担当者が対応の流れや方法を理解できていることが望ましいです。

また、37条では、『データ管理者が開示した第三者が、データ主体の個人情報を、
違法に（または許可なく）使用、開示することを防ぐ義務』というのがデータ管理者に課せられています。

第三者（＝データ処理者）が存在する場合には、管理のためにデータ処理契約書を作成し、データ処理者との間で当該契約書の締結をしておきましょう。

39条では、取扱活動の記録があります。こちらも必要な記録内容項目がありますので、作成の際には、抜け漏れがないか確認しましょう。

実務対応の流れとしては、
①現状把握
②適法根拠項目の確認
③内容の記載
④見直し・修正
というのが一般的です。

現状把握では、データマッピング等を行い、会社内での個人情報の取扱活動を洗い出しを行っていきます。

例えば、採用の際に、候補者からレジメやIDカード情報、住居登録証、学歴証明書等を受け取る企業様も多いかと思いますが、

このような活動ごとに、個人情報の取り扱い（収集、保管、開示・使用、削除）の流れを把握していきます。

現状把握後、個人情報の収集目的が、どの適法根拠に該当するのかを確認し、必要であれば同意書の作成を行います。

なお、データ主体との同意に関して、19条に『同意の撤回は、法律による制限やデータ主体にとって利益のある契約がない限り、

同意を与えるのと同じくらい簡単なものでなければならない』とあるため、可能な限り、同意の取得ではなく適法根拠項目を見つけることを推奨しています。

現状把握と適法根拠項目の確認が終わった後は、いよいよ資料作成となります。作成には、法律に明記されているそれぞれのポイント

（例：プライバシーノーティスなら、６つのポイントの記載等）を確認しましょう。

現時点ではまだ政府非公式ではあるものの、600ページにわたるガイドライン等も発表されていますので、そちらを参考にされるのもいいかもしれません。

個人情報の越境移転に関する内容等は、今後当局からの発表によって対応する必要が出てくる可能性もありますが、１年後の完全施行へ向けて、可能な範囲での準備を進めていきましょう。

この記事に対するご質問・その他タイに関する情報へのご質問等がございましたらお気軽にお問い合わせください。

最後までお読みいただきありがとうございました。