個人情報保護法とは?
最近メディアで目にする機会が増えた言葉の一つに個人情報保護法という言葉があります。これは簡単に言ってしまえば、名称通り個人情報保護の観点から個人情報の取り扱いを規制する法律です。普段自分には法律は縁遠いと思われている方も多いと思いますが、多くの企業では個人情報を取り扱ってビジネスをしており、また社員も含めて誰しも個人情報の情報源でもありますので、実は身近なテーマと言えるかもしれません。奇しくも本年4月には日本では改正個人情報保護法が施行され、本年6月にはタイでもPersonal Data Protection Act(日本語訳だとやはり個人情報保護法)が施行されました。実際の適用、運用はこれからの推移をみていく必要があるものの、今、多くのビジネスパーソンにとって注意を払わなければいけない法律と言えます。
タイと日本の違いの例
詳細は字数の制約もあるので割愛しますが、例えば日本法では個人を特定する個人情報(氏名、生年月日、住所、指紋等)と個人関連情報(購買履歴等、それ単体では個人を特定できない情報)が区別され、個人情報の取得自体に本人の同意が原則として必要とされないなど、個人情報の取り扱いは原則として認められるもの、その利用には規制をかけるという建付けになっています。一方タイ法では、日本法のような個人情報と個人関連情報との区別はなく、個人に関する情報は巾広に個人情報とみなされ、個人情報の取得自体も本人の同意を原則として必要としているなど、全般的に日本法より個人情報の取得と取り扱いに厳格さを求められる内容になっています。
国外移転規制
また、タイ法はEUのGDPR(一般データ保護規制)をベースとしており、個人情報の取り扱いを厳格に規制することで知られています。GDPRが2018年に施行された際、適用対象がEU域内に拠点を有する企業のみではなく、EU域内に拠点がなくてもEU加盟国国民の個人情報を取り扱い企業にも適用範囲が及ぶことが大きな波紋を呼びました。同様にタイの個人情報保護法もGDPRの骨子が色濃く反映され、タイ国内に拠点がある企業のみが対象となるのではなく、タイ国民の個人情報を取り扱う外国企業も同法の適用対象になることに注意が必要となります。例えば日本の本社内のサーバーでタイ現地法人が取得したタイ国民の個人情報を一元管理しているようなケースは同法の適用対象になります。
企業の取るべき対応
タイでは、個人情報保護法の下位法や施行規則が現在も整備進行中のため、まずは同法に関する情報の収集と整理を法務部門が中心となって行う必要があります。同時に、社内のどの部門でどのような個人情報を取得、保持し、どのように取り扱っているのか現状の確認を進めておく必要があります。その上で自社で必要とされる現実的な対応、具体的には個人情報の取り扱いに関する業務プロセスの見直し、規定の整備、セキュリティーレベルを含めたシステムの見直し、取引先との契約内容の見直し等を検討、計画することが求められます。
企業は社員も含めて様々な個人情報を取り扱って事業を行っている存在と言え、個人情報保護法への対応は各社各様に異なるため、社内リソースだけでは対応が難しい場合には弁護士事務所等の外部専門家の活用を視野に入れたほうがいいかもしれません。いずれにせよ個人情報保護法はまだ判例等も少ない新しい法律であり、コストと便益のバランスをとりながら実務的な対応をとっていく必要があります。個人情報含むデータはヒト・モノ・カネに続く第四の経営資源とも言われており、個人情報の保護と積極的な活用の両立が企業には求められます。今後も同法関連の情報には常にアンテナをはっておくことをお勧めしたいと考えております。
| 今回コラムを執筆頂いた方のプロフィール | |
|---|---|
 |
鎌倉 俊太郎 (ペンネーム) 某大手コンサルティングファーム 監査役 日本公認会計士。慶応義塾大学卒。大手ITベンダー、コンサルティングファームにて、IT、会計分野における企業のコンサルティングに多数従事。(ご本人の希望により、仮名で記載しております。ご了承ください。) |
その他のタイ会計コラムはこちら