カイプロの西川です。月5,500THBで会計士・弁護士・社労士などの日本人専門家にいつでも気軽に相談できる顧問サービス「カイプロ」を運営しています。(詳細はこちら

本サービスへご相談のあった内容から、広く皆様に知っていただきたい内容を共有いたします。
本内容が皆様の会社運営の一助となれば幸いです。

回答者:TNY Legal 永田(弁護士・弁理士)

永田弁護士の写真

※本内容は執筆時点(23年8月)のものです。
※本内容は顧問サービス「カイプロ」ご契約者様へ提供した内容のうち、一定期間経過したものを利用しています。

全般事項

ご質問の要約

個人情報保護法について、現在何も対応をしておりません。何かしらの対応をすべきと思いますが、最低限どのような対応をすれば問題にはならないのか、アドバイスをお願いいたします。

カイプロ専門家の回答

「最低限対応するべき点」とのことですが、法的にはPDPAが要求する事項は全て対応しておくべきということになります。仮に個人情報の漏洩が起こった場合など、PDPAの対応をしていなかったために刑事罰、行政罰、民事上の責任を負うリスクがあります。

実務上重要なのは、①個人情報の漏洩をしないように、個人情報の管理体制の構築、②PDPAが明確に要求している事項への対応(プライバシーポリシーの作成・公表、顧客・従業員や取引先からの同意書の取得など)でしょう。

今後個人情報の漏洩については時が経つにつれ見方が厳しくなると思いますので、最低限上記①②は行われることをお勧めします。

カイプロ注:
以下、カイプロの顧問契約サービスのお客様向けに公開をしています個人情報保護法セミナーの内容から、少々抜粋をしてご案内いたします。

 【対従業員】
社会保険関係などで個人情報を取得・利用するため、プライバシーポリシーの通知と同意の取得が必要となります。

【対取引先】
よく生じる個人情報の取得として、名刺情報が挙げられるかと存じます。これについても、原則としてプライバシーポリシーの通知と同意の取得が必要ですが、その対応として以下が考えられます。

  • プライバシーポリシーについて

プライバシーポリシーについては、名刺取得時に毎回通知をすることは現実的でないため、HPにプライバシーポリシーを公開することで代えることが一般的です。

  • 同意取得について

また、情報に利用にかかる同意取得についても、名刺取得時に毎回同意を取得することは現実的ではありません。

ここで、同意が不要となる条件である「データ主体が当事者である契約を遵守するため、又は当該契約を締結する前にデータ主体の要望に対応するために必要な場合」、または「情報管理者又は第三者の「正当な利益」のために必要な場合」のいずれかに該当する場合には同意の取得は不要となりますが、名刺情報の取得についてはこれに該当すると理解し、同意の取得はせずプライバシーポリシーのHP公開までに止めているケースが一般的です。

その他、データ記録・管理など社内的な対応、また情報の国外移転(従業員情報や取引先情報を本社サーバーで保管するなど)や健康情報などセンシティブ情報を取得する場合などには別途留意点などございますが、対外的に必ず必要なものとしては上記が挙げられます。

プライバシーポリシーのHP掲載が必要な背景

ご質問の要約

得意先から確認を受けましたが、ホームページにプライバシーポリシーを掲載することは必須でしょうか。

カイプロ専門家の回答

会社が個人情報を取得する際(取得前を含む)には、必ずプライバシー通知を行う必要があります(PDPA23条)。通常はこの通知としてプライバシーポリシーをHPに掲載しています。

貴社が個人情報を取得するのであれば、その取得する個人情報に合わせたプライバシー通知を個別に行っていない限り、HPへプライバシーポリシーの掲載を行う必要があると考えます。

中小企業における記録の保管義務免除

ご質問の要約

PDPAについて、中小企業にあたる企業は記録の保管義務が免除されていると聞きました。概要を教えていただけますでしょうか。

また、記録の保管以外の作業(プライバシーポリシー、ノーティス、同意書の取得など)については引き続き必要という理解で良いでしょうか。

カイプロ専門家の回答

個人情報保護法39条1項では、収集した個人情報について記録すべき事項が定められていますが、ガイドラインにおいて、同項(7号(本人が要求・異議を拒否した場合のその旨)を除く)の適用が免除される小規模事業者(ネットカフェのサービスプロバイダー以外のコンピュータ関連犯罪法に基づくコンピュータ・トラフィック・データの保存義務を負うサービスプロバイダーは除く)が以下のとおり規定されています。

(1)中小企業振興法に基づく中小企業
(2)コミュニティ企業振興法に基づくコミュニティ企業またはコミュニティ企業ネットワーク
(3)社会的企業振興法に基づく社会的企業または社会的企業グループ
(4)協同組合法に基づく協同組合、協同組合コミュニティまたは農業組合
(5)財産法人、社団法人、宗教法人または特定非営利活動法人
(6)家内事業その他これに類する事業

もっとも、これに該当する場合であっても、①本人の権利および自由に影響を与える危険性のある個人情報の収集等、②一時的ではない個人情報の収集等、③センシティブデータの収集等は、免除の対象になりません(39条3項)。

上記の中小企業の定義は、以下のとおりです。

  • 物品製造業では従業員数 200 人以下又は年間収益 5 億バーツ以下
  • サービス業や小売・卸売業では従業員数 100 人以下又は年間収益 3 億バーツ以下

なお、記録の保管以外の作業(プライバシーポリシー、ノーティス、同意書の取得など)については引き続き必要となります。

個人情報を国外移転する場合の運用

ご質問の要約

以下のように国外サーバーに顧客情報を保管するにあたり、タイ個人情報保護法に基づくどのような対応が必要でしょうか?

  • タイ現法が取得したタイ顧客情報(社名、住所、役職、氏名、携帯番号、メールアドレス)を日本本社が日本で契約したマーケティングオートメーションツール(MAツール)内に保存する。
  • MAツールのデータサーバは米国所在
  • MAツールを介し、タイ顧客へDM(製品紹介、イベント案内)を発信する。

カイプロ専門家の回答

顧客情報を日本側で契約したMAツール内に保存されるとのことで、これへのアクセスは契約者である日本側からも行えるかと思いますので、日本とアメリカに対する国外移転になると考えます。

そのため、海外移転については28条に規定がありますが、開示先の保護基準が不十分であることを告知して同意を取得しておくことが必要です。

またデータの利用方法としてDM送付・日本からのアクセスを行うため、個人データ取得の際に23条に定める事項をすべて満たしたプライバシー通知を行い、また19条の要件を満たした形で利用方法についても上記と併せて同意を取得しておく必要があります。

(類似質問)

質問の要約:
日本の本社より、社員情報の一元管理を検討しており、社員名に加え、部署、役職、メールアドレス、給与、賞与情報を提出して欲しいとの連絡を受けています。対応方法についてアドバイスをいただけますでしょうか。

回答の要約:
対応方法としては、従業員向けにプライバシーポリシーの作成と公表、そして同意書の取り付けを行う形が一般的かと思います。その同意においては、日本という外国へのデータ移転なので、28条の要件を満たした同意(開示先の保護基準が不十分であることを告知したうえでの同意)を取得するようにご留意ください。

罰則

ご質問の要約

PDPAに違反した場合の罰則をご教示ください。

カイプロ専門家の回答

PDPAに違反した場合は、その違反により異なりますが、以下のようなものです。

刑事罰(79条~81条)として1年以下の懲役、100万THB以下の罰金またはその併科。取締役・マネージャーも責任を負うケースもあります。

行政罰(82条~89条)として最高500万THBの罰金。

民事責任(77条、78条)として損害賠償責任(実損の2倍を上限とする懲罰的損害賠償も)。

Q&A事例:同意を得られない従業員への対応

ご質問の要約

タイPDPAに関し従業員の同意取得を進めていますが、一部同意しない者についてはどのように対応すればよいでしょうか。

カイプロ専門家の回答

対象者がどのような点で同意をしないのかにもよりますが、本人にとり不利益がないことや(もちろん、個人情報の利用方法などによりますが)、会社にとっての必要性などを丁寧にご説明いただくしかないかと思います。

なお、同意の強制はできず、また同意はいつでも撤回可能なので、同意を得られない場合や、将来の撤回が予想されるのであれば、同意不要な除外事由に該当するかをご検討いただき、該当するのであれば同意を取得せずに進めることも選択肢となります。

カイプロ注:同意不要な除外事由
以下の場合を除き、個人データの収集にはデータ主体の「同意」が必要(24条)。

  • 調査・統計ベース|公益上の要請や統計調査を目的とする場合であって、委員会が規定する権利保護措置が取られている場合
  • 生命保護の利益ベース|個人の生命、身体、健康に対する危険防止を目的とする場合
  • 契約ベース|本人が当事者である契約の義務履行のために必要な場合
  • 公的権限ベース|公共の利益又はデータ管理者に与えられた公的権限を行使するために必要な場合
  • 正当な利益ベース|データ管理者又は第三者によって追求される正当な利益のために必要な場合
  • 法的義務ベース|データ管理者が従うべき法的義務の履行のために必要な場合

※センシティブデータの場合は、認められるケースがより限定的(26条)

Q&A事例:従業員名刺への個人情報の記載

ご質問の要約

従業員の名刺にその従業員(私物)の携帯電話番号を記載することは個人情報保護法の観点で可能でしょうか。

カイプロ専門家の回答

当該従業員に対し、その携帯番号について名刺にも記載する旨を含めたプライバシー通知を行い、その旨についての同意を得ていれば、対応可能かと思います。

ただし、その場合、同意の撤回や不同意自体は可能ですので、そのような不同意・同意の撤回があった場合は当該従業員の携帯番号の記載を中止する必要があります。

Q&A事例:懲戒処分における従業員名公表の可否

ご質問の要約

タイでは懲戒処分の内容を個人名含め社内公表することは可能でしょうか?可の場合、条件(処分対象者との同意等)をご教示ください。

(氏名を含む公表に関して処分対象者との同意が必要となると、同意の可能性は低いため現実的ではないと感じています。)

カイプロ専門家の回答

懲戒対象者としての名前その他の情報で個人情報に該当するものがある場合、名前の公表などの同意がない場合には個人情報を含む形での公表は避けるべきと考えます。

一方、他の従業員の同様の行為を防ぐ目的で、個人情報を含まない形ででの公表は可能と考えます。

なお、どうしても会社として個人情報を含めて公表したい場合に、個人情報保護法24条5項における「正当な利益のための必要」ということで同意なく公表するという選択肢も考えられますが、紛争になった場合に裁判所等がどのように判断するか現状判断が難しいため、同意無しでの公表は望ましくないと考えます。

Q&A事例:人材紹介会社からの情報の取扱い

ご質問の要約

当社の採用プロセスにおいて、履歴書など面接に至る以前の情報はあくまで人材紹介会社から提供された情報に限ることから、面接以前の段階では直接応募者本人に同意を取るのではなく、人材紹介会社と同意をしていれば問題ないでしょうか。

カイプロ専門家の回答

人材紹介会社との間については、人材紹介会社が候補者から第三者提供の同意などを取得している前提で、貴社と人材紹介会社の契約に基づき処理しておくことで問題ないかと思います。

以上となります。

カイプロでは、月5,500THBで会計士・弁護士・社労士など複数の専門家に相談可能な顧問サービス「カイプロ」を提供しています。(詳細はこちら

本記事のような個人情報保護法に関する実務上の確認事項も、疑問が生じる都度、日本人専門家へ直ぐにご相談いただけます。

海外ビジネス現場ではリソースが限られています。
支援部隊が揃っている日本と異なり、何でも自分でやらなければなりません。

そんな時、ぜひ我々専門家を頼っていただきたいと思っています。

調べものの時間が削減できれば限られた時間を有効活用いただけます。また、専門家の見解を元により安全に事業を進めていただけます

タイでの会計税務、労務、法務のルール・実務に関し、

  • タイ人スタッフからの報告の妥当性を確認したい
  • トラブルが発生したのでやるべき初期対応について意見を聞きたい
  • 判断が必要なケースで他の日系企業で一般的にどのように進めているか知りたい

こうしたケースで、厳選された日本人専門家へ低価格で気軽にご相談いただけます。

この価格で複数の日本人専門家に相談できるサービスは当地では他にありません。
ご興味のある方は下記リンク先のサービス詳細ページから、または当サイトのお問合せフォームからご連絡をいただけますと幸いです。

>>5,500THB会計士弁護士社労士など日本人専門家いつでも気軽相談できる顧問サービス「カイプロ」の詳細ページはこちら<<