【Cookiebot】2021年5月の個人情報保護法(PDPA)施行 自社サイトで準備するべきことについて

【Cookiebot】タイ王国で2021年5月から施行される個人情報保護法(PDPA:พ.ร.บ.)について、準備すべきことを紹介します。WebサイトのCookieを使う場合、ユーザーの同意が必要になります。日本語・タイ語・英語の3ヶ国語に対応の「Cookiebot」についてご紹介します。
2020.11.19

タイの個人情報保護法(PDPA)が、2021年5月に施行されます。 日本における個人情報保護法は、多くの方にとって身近な法律であると思います。 ですが、タイでは外国人である私たちにとって、新しい法律が施行されるというのは、少し不安なものです。特に、タイ在住の経営者の方や、会社員の方は、顧客の個人情報を扱うことも多く、「日本の個人情報保護法とどう違うの?」「罰則はあるの?」「具体的に何をすれば良いの?」と、たくさんの疑問を抱いていることでしょう。

そこで、この記事では、2021年5月のタイの個人情報保護法(PDPA)施行に向けて、私たちタイ在中の日本人が知っておくべきことを以下の項目に分けて解説していきます。

特に、「在タイ日系企業が自社サイトで準備すべきこと」のセクションでは、PDPAに備えるための、具体的なツールも紹介いたします。日本語・タイ語・英語に対応したツールですので、是非、ご覧いただけたらと思います。

タイの個人情報保護法(PDPA)について

タイの個人情報保護法(PDPA:Personal Data Protection Act)は、タイで初めて個人情報の取り扱いを包括的に定めた法律です。2019年5月27日に政府官報に掲載され、翌日5月28日から、一部の地域で機構設立が始まるなど、その一部が施行されてきました。 2020年に完全施行の予定でしたが、コロナウイルスの発生・拡大により、各企業・団体の対応が困難となったことから、個人情報保護法(PDPA)の完全施行を、2020年5月27日から2021年5月27日へと、1年間延期させることとなりました。

タイの個人情報保護法(PDPA)は、GDPR(General Data Protection Regulation:EU 一般データ保護規則)とほぼ同じ基準を採用しています。つまり、タイのPDPAの規制のほとんどは、欧州のGDPRと同様の規定となっているのです。

GDPRでは、「個人情報」とは、「直接または間接を問わず、生存する個人を識別することができる情報」と定義されています。具体的には、氏名、生年月日、住所、電話番号、メールアドレス、タイ国民識別番号等です。もちろん、職業や本人の写った写真なども個人情報に含まれます。

さらに、GDPRでは、「思想、宗教、医療情報、民族・人種」といった情報は、センシティブデータとして扱われます。 センシティブデータに関する個人情報利用の違反があった場合、通常の個人情報利用違反よりも、罰則が重くなる可能性が高く、より取り扱いには注意が必要です。

PDPAの対象者

PDPAの適用を受ける対象は、個人情報の「管理者」と「処理者」です。

まず、「管理者」とは、個人情報の処理の目的や手段を決定する者です。一方、「処理者」とは、管理者に代わって個人情報を処理する者です。

例えば、ECサイトを運営するA社が、サービスに関連して顧客から情報を取得し、その管理の一部をB社に委託する場合、顧客は「データ主体(Data Subject)」、A社が「管理者」、B社が「処理者」となります。

「管理者」と「処理者」は「データ主体(Data Subject)」の許可なく、個人情報を利用・収集したり、第三者に渡すことはできません。 また、「管理者」と「処理者」に対して情報の利用の許可を出したとしても、「データ主体(Data Subject)」はいつでも個人情報利用の許可を撤回することができます。

つまり、「データ主体(Data Subject)」から個人情報を収集し、利用する際には、同意の範囲内で個人情報を取り扱うとともに、」個人情報の使用中止の要求にいつでも応えられるように備えておく必要があります。

Cookie(クッキー)とは

Cookie(クッキー)とは、Webサーバーからユーザーのwebブラウザに送られる、ユーザーのデータを保存しておくためのファイルのことです。例えば、ショッピングサイトなどでは、ユーザーの情報等をCookieに保存することで、ユーザーが再度サイトを訪問した際にも、毎回名前を入力したり、商品をカートに入れたりする必要がなくなります。

GDPR基準では、Cookieも個人情報の対象として扱われます。Cookieを利用して、氏名などの情報を扱う場合はもちろん、Cookie単体を扱う場合も、個人情報保護の対象となるため注意が必要です。

事業者が、自社サイトでCookieを使用する際は、ユーザーの同意が必要です。そのため、Webサイトには、Cookieの利用の同意を得るためのメッセージを表示することが求められます。

違反した場合の罰則の例

  • 民事責任 実際の被害額及び、追加の保証を支払う場合もある。追加の保証は、実際の損害額の最大2倍まで請求が可能である。(77、78章)
  • 刑事責任 最長1年間の投獄、100万バーツ以下の罰金、またはその両方(79、80章)
  • 行政処分 最大500万バーツの罰金(82-90章)

在タイ日系企業が自社サイトで準備すべき2つのこと

PDPA施行に向けて、在タイ日系企業が自社サイトで準備すべきことは主に2つあります。 それは、「Cookie利用の同意を得る」ことと「GDPR基準のプライバシーポリシー制定」です。

Cookie利用の同意を得る

GDPRでは、Cookie単体でも個人情報として扱われます。 したがって、顧客(データ主体)の、Cookie利用に対する明確な合意が必要となります。 (特に、お問い合わせフォームやショッピング機能があるWebサイトには必須です。)

そして、単にCookie利用の同意を得るだけでは不十分で、顧客がいつでも自由に個人情報の取り扱いを変更できるよう、以下のような機能が必要です。

  1. サイトにアクセスした、ユーザーに、合意文書の通知メッセージを表示する。
  2. ユーザーがサイトのプライバシーポリシーやCookieポリシーを確認できるようにする
  3. ユーザーが、個人情報の扱い方について、選択できるようにする。
  4. ユーザーがいつでも、Cookie利用を停止できるようにする。

なお、Cookie利用を有効にすることをオプトイン、利用を無効にすることをオプトアウトと言います。 初めてサイトを訪れた際は、Cookie利用の通知メッセージを表示します。ユーザーの合意が得られ、オプトインすれば、以後、Cookie利用のメッセージは表示する必要はありません。しかし、ユーザーはいつでも個人情報の提供を撤回することができるため、Cookie利用をオプトアウトする機能を実装する必要があります。

しかし、上記のような通知メッセージ機能を自社で開発することは、コストがかかったり、困難だったりするケースも多いでしょう。 さらに、日本語・タイ語・英語と、3カ国語で合意メッセージを表示することは、ハードルが高いと言えます。

このような課題を解決するため、Cookiebotをご紹介いたします。

Cookiebotの紹介

Cookiebotは、Cookie利用の合意文書を自動生成するツールです。

GDPRおよびePrivacy規則に完全対応しているので、そのままタイのPDPAでも使用が可能です。

Cookieの明確で選択的な合意文書を自動生成し、サイト訪問者に提供することで、GDPRのスタンダードに完全に準拠することができます。

Cookiebotを導入すると、サイトにアクセスしたユーザーに対し、以下のように、Cookie利用の合意メッセージを表示します。

ユーザーは合意文書を見て、同意する個人情報の利用目的を選択したり、プライバシーポリシーの詳細を確認したりすることができます。そして、コンプライアンスを遵守した上で、ユーザーの同意を得ることができます。 勿論、ユーザーが個人情報の利用を撤回したい場合は、Cookie利用のオプトアウトも可能です。

さらに、ユーザーのPCの言語環境に合わせて、日本語・タイ語・英語の3ヶ国語で、メッセージを自動生成することができます。

このように、日本語・タイ語・英語の3ヶ国語に対応したメッセージで合意を得ることで、柔軟にコンプライアンスを遵守することができます。

そして、Cookiebotは、EU GDPRおよびePrivacyの要件に準拠するために必要なすべて機能を用意しており、他のGDPR準拠法令(タイのPDPA)の要件も満たしているため、Webサイトユーザーとの信頼関係を構築し、法令違反の違反のリスクを回避することができます。

無料プランもございますので、是非一度、クラスメソッド タイランドののWebサイトにてCookiebotの詳細ページをご覧いただけき、製品についてお問い合わせいただければと思います。

クラスメソッド タイランド:Cookiebot 紹介ページ

(無料プランの場合、合意メッセージの多言語対応など、機能に制限がございますのでご了承ください。)

GDPR基準のプライバシーポリシー制定

そして、Cookie利用の同意を得る機能の他に、準備するべきこととして、「GDPR基準のプライバシーポリシーの制定」が挙げられます。

プライバシーポリシーはGDPR(EU一般データ保護規則)基準に則ったものである必要があります。 2021年5月のPDPA施行までに、社内の個人情報の取り扱い基準を見直し、自社サイトで、GDPR基準のプライバシーポリシーを表示できるように準備しておきましょう。

参考までに、クラスメソッド タイランドのプライバシーポリシーのページをご覧いただけたらと思います。

クラスメソッド タイランド:プライバシーポリシー

GDPR基準に合わせ、プライバシーポリシーのメインの部分は、英語にて表記しております。

一方、プライバシーポリシーのページの、クッキーポリシーの部分については、Cookiebotにより自動生成されたものを使用しております。

Cookiebotを使用することで、クッキーポリシーも自動生成や多言語化対応が可能となっております。

終わりに

最後に余談ですが、タイの個人情報保護法は、タイ語で、พ.ร.บ.(ポー・ロー・ボー)と言います。職場や知り合いのタイ人の方に、「พ.ร.บ.(ポー・ロー・ボー)って知ってる?」など聞いて、情報収集してみるのも面白いかもしれません。

2021年5月のタイの個人情報保護法(PDPA)に向けて、その準備・対応に追われている各企業や団体は多いかと思います。ですが、高いコンプライアンス基準を明示することで、顧客からの信頼を得る機会になるとも言えます。

クラスメソッド タイランドも、是非、タイの事業者の方々のコンプライアンス基準向上に貢献できればと思います。 Cookiebotについて、ご質問等がございましたら、以下のページからお気軽にお問い合わせください。

クラスメソッド タイランド:Cookiebot 紹介ページ

※あくまで、1つの意見として記事を書いています。本記事では執筆時点での正確な事実を書くように注意しているものの、正確性について保証することはできません。タイの法律についての詳しい内容確認や解釈等は弁護士に相談することをオススメします。

【参考】
GDPR準拠の個人情報保護法施行、1年間の移行期間中に十分な準備を(タイ) | ビジネス短信 - ジェトロ
タイ個人情報保護法、完全施行を1年延期へ(タイ) | ビジネス短信 - ジェトロ
個人情報保護法 〜対応に苦慮する事業者への手引き〜 - タイ・ASEANの今がわかるビジネス・経済情報誌ArayZ アレイズマガジン GDM(Thailand)