タイ法務改正動向 : 個人情報保護法 (PDPA) の侵害に関する通達

まず、個人情報の侵害とは、故意または不注意等による個人情報への不法なアクセスにより、個人情報が不正に使用や改竄等が行われることをさしています。

当該通達では、データ主体の個人情報管理に対して責任を有するデータコントローラーは、侵害の発生を認識した場合、以下のような基準により手続きをとることが求められています。

1. 侵害の通告を受け取った場合

• 当該通告が真正なものかを確認するとともに、個人情報の侵害に関して組織体制・技術的側面等を考慮して調査を行う。
• 侵害が発生していると確証するに足る証拠を調査する。
• データ主体の権利や自由に対して発生する可能性のあるリスクを検討する。
• データ侵害を防ぐ対策を講じる。

2. 侵害がデータ主体の権利や自由に対してリスクを及ぼす場合

• 侵害発生を認識後72時間以内に個人情報保護委員会に報告を行う。

3. 侵害がデータ主体の権利や自由に対して高いリスクを及ぼす場合。

• データ主体に対して即時通知を行うとともに侵害への対策を速やかに行う。
• 同様の侵害が発生しないような対策を早急に導入する。

もし、データコントローラーが上記の基準に沿って個人情報保護委員会に報告ができなかった場合、侵害発生認識から15日の間であれば、十分な理由を説明してペナルティー等の免除を申請することができます。

他のニュースレターはこちらからご覧いただけます 

（2023年2月作成）

免責事項

本記事は、作成日時点でのタイの法律等改正動向や一般的な解釈に関する情報提供を目的としております。内容については、正確性を期しておりますが、正確性を保証するものではなく、また作成後の法律改正等により最新の情報でない場合もあります。本記事の利用は、利用者の自身の判断責任となり、利用により生じたいかなるトラブルおよび損失、損害に対してMazarsは一切責任を負いません。個別の具体的な案件を進める場合には、事前に専門家へご相談頂きます様、お願い申し上げます。