PDPA適用が免除される個人情報管理者が講じるべきセキュリティ対策について定めたもの

2023年12月08日、個人情報保護委員会（PDPC,Personal Data Protection Committee）は「仏暦2562年（西暦2019年）個人情報保護法」の適用が免除される個人情報管理者の情報セキュリティ対策のための基準に関する告示を官報公布しました。この告示は官報公布日から90日の猶予期間を経て発効されます。

個人情報保護委員会（PDPC)とは

　タイにおける個人情報保護法は「仏暦2562年（西暦2019年）個人情報保護法（PDPA, Personal Data Protection Act)」として2022年06月01日に全面的に施行されました。このPDPA第8条に基づき選出、任命されるのが委員長1名、副委員長1名、職権委員5名、有識者委員9名、全16名から成る個人情報保護委員会(PDPC)で、主に下記の任務と権利を有しています。
　▪国家戦略および関連の国家計画に適合した個人情報の保護と利活用の推進に関するマスタープランの作成
　▪マスタープランの実行における政府および民間機関に対する支援と評価
　▪個人情報措置の施策と指針の策定
　▪少なくとも5年毎の、PDPAの適切性の検討と提言
　▪PDPAに則った措置を取るための下位法令（告示や規則）の発出
　▪タイ国外に送信もしくは移す個人情報の保護に関する規定の策定
　▪個人情報の管理者および処理者に対するガイドラインの策定
　▪PDPAの使用により問題が生じた際の解釈と調査
　▪国民の個人情報保護に関するスキルや意識向上の支援および促進
　▪個人情報保護に関する技術発展のための研究に対する支援および促進

この告示の内容

■この告示の対象となる”個人情報管理者”とは、下記に記すPDPA 第4条 第1段で定められているPDPA適用が免除される者、もしくはPDPA 第4条 第2段で定められているPDPAの一部、もしくはPDPAの全ての要件が免除される者のことを指します。
　PDPA適用の免除
　　▪国家財政の安定、国民の安全維持、マネーロンダリングからの防衛、科学捜査技術、サイバーセキュリティの維持などを含む国家安全の維持を担う政府機関の取り組み
　　▪職業倫理に則り、公益性のあるマスメディア、美術作品、文学作品において収集した個人情報を使用、もしくは開示する個人、もしくは法人
　　▪その役割と権限に則り個人情報を収集、使用、もしくは開示する下院、上院、国会、もしくはこれら議会が任命した委員会
　　▪裁判所における判決の審議、刑事司法手続きも含む、刑の審議プロセスなどにおける担当官の業務
　　▪信用情報会社、または信用情報事業に関する法に基づく会員が行うデータ処理
　PDPAの一部、もしくは全法規を免除
　　▪勅令により規定する、個人情報を管理する者、事業もしくは公的機関

■この告示における”セキュリティ”とは、権限に無い者による、もしくは不正による個人情報の紛失、アクセス、使用、変更、訂正や開示などから個人情報を保護するための個人情報の機密保持（confidentiality)、完全性(integrity)、そして可用性（abailability)のことを指します。

■個人情報保護法が適用外となる個人情報管理者が義務付けられている情報セキュリティ対策の実施に関し、その基準が下記2項目をはじめとして、8項目に渡り規定されています。
　　▪文書、電子データ、もしくは他の形式など、どのような形式かを問わず、全ての個人情報の収集、使用、開示においてセキュリティ対策が講じられなければなりません。
　　▪セキュリティ対策のため、適性な組織的措置（organizational measures)、技術的措置（technical measures)を講じなければなりません。また、個人情報の侵害による影響、個人情報侵害の可能性までを含み、個人情報の収集、使用、開示の性質や目的による危険性のレベルを考慮した物理的な措置（physical measures)を講じる必要がある場合があります。

■個人情報管理者は技術面の変更が生じた時や必要性に応じ、適切なセキュリティ対策を維持するためにその見直しをすることが求められます。また、個人情報の侵害があった場合にもセキュリティ対策の見直しを行う必要があります。（その侵害が個人の権利と自由に影響を及ぼす危険性が無い場合を除く）

参考情報

「個人情報保護委員会告示　「仏暦2562年（西暦2019年）個人情報保護法」の適用が免除される個人データ管理者における個人情報のセキュリティ対策のための基準」2023年12月08日官報公布、90日後発効（2023年12月01日発出）

「仏暦2562年（西暦2019年）個人情報保護法」