タイの個人情報保護法（PDPA）について

すごく久しぶりですが、あまり読まれることもないので放置気味でした笑
今回はタイの個人情報保護法について、タイ国内の日系企業が右往左往しているようなので、アドバイスになればと思い書きました。
なぶり書きでごめんなさい。重要な部分を自分の記録も兼ねて書いています。

PDPAとは

Personal Data Protection Actの略で、個人情報保護に対しての情報セキュリティや運用方法などをタイ国で定めたものです。具体的な施策の策定や情報の定義はTDPGというThailand Data Protection Guidelinesに定められており、現在はVersion 2.0。来年に3.0が公開されます。これらの対応に企業が求められることが何か、をチュラロンコン大学の法学部がセミナーをバシバシやっているので参加するのも正しい情報を仕入れるためには良いかもしれません。

ISO27001のアドオン的な認証ISO27701

ISMSやISO27001は皆さんも目にしたり聞いたりする機会は多かったと思います。2019年にはこの個人情報保護の観点に特化したISO27701が国際基準として設定されました。ISO27701はISO27001を取得しているか同時に取るかでないと認証取得は得られないので注意が必要です。
なぜこの話になるかなのですが、PDPA対応をするには何を基準に考えたら良いのか？と色々と疑問を持たれる方も少なくないと思います。
分からない場合は既にある国際基準をベースに考えて備えるしか方法がありません。

データはタイ国内で管理しなければいけないのか？

厳密に言えばそれはPDPAには明記されていません。タイの場合、利用規約で同意や承諾さえ得ればどこに保管をしても良いということになります。とは言え、参考にしているGDPRではヨーロッパの国で各国で入手した情報は国外に持ち出すことは許されていない（バックアップ含む）ので、タイもそうなる可能性が無いわけではないので、リスクを取るならタイ国内でデータは保管した方が良いでしょう。

誰が対象になるのか？

従業員の個人情報を取得している企業は全て対象となります。
よって、ほぼ100％のタイ国で登記をしている企業は対象になると思って下さい。飲食店でもクレカ情報を保持していたりする場合は、それが紙であっても対象となります。理由は、紙もデータに変換できるから。です。

どうしたら良いか？

はい。お金が無くてそんな認証取得なんかできるわけないでしょ！！って思う中小企業の方が多いと思います。弊社も同じです（笑）
そこで、個人情報にアクセスできる人を決め、アクセスした場合などのログは紙であれ記録をすること。できるだけ金庫で管理し、社長しか解錠できません！的な限定的な状況を作ることをオススメします。
そして、対象の個人から許可を得ていないデータの再利用はしないこと。
ITで対応することが全てではなく、物理的に対応できることもあるので、個人情報は従業員であっても扱わせないことをオススメします。

情報の保存期間について

これは財務会計に関係しない情報（購買や販売）であれば、税務署の定める保管期間とは違うので90日間保管するのか、30日なのか期間は会社の方針で設定しても大丈夫です。重要なのは利用者から承諾を得ることです。

対象となる情報

日本でも個人を特定可能な2つ以上の情報は個人情報に当たるという明確な規定があります。しかしタイは無いので、日本と同様に個人を特定しうる情報は対象になると考えておいた方が無難です。

まとめ

まだまだ策定途中なので、急に変更になるケースは多いと思いますが、情報の気密性、安全性、一貫性については意識をして担保する方が良さそうです。そして、この辺はISOにもある通りなので、基本的にはそれに従って扱う企業は特段慌てる必要はないと思います。ただ、政府の発表には少し敏感でいて下さい。相談先はISO認証取得支援をしているところが良いと思います。弁護士だと事例や判例が基準になるので、求めてる欲しい回答は得られませんでした。