世界のほとんどは、欧州連合の足跡をたどり、GDPRのような規制を実施しています。タイも例外ではありません。彼らの新しい個人データ保護法（PDPA）は、2022年6月1日に発効します。

これは、ユーザーのデバイスに収集および保存されるCookieの処理を対象としており、明示的な同意を得る必要があります。PDPAタイとCookieの同意について知る必要があるすべてを学ぶために読み続けてください！

PDPAの歴史

タイのPDPA、つまり個人データ保護法は、2019年5月に最初に導入されました。これは、個人情報と個人データの処理要件を導入したヨーロッパのGDPRと非常によく似ています。

PDPAの目的は、企業、ウェブサイト、およびアプリケーションがユーザーデータを収集および処理する方法を管理するフレームワークを作成することです。法律ではCookieに直接対応していませんが、Cookieは、オンラインでデータを収集および送信するために使用される最も一般的なツールです。

つまり、Cookieを直接規制していなくても、PDPAはCookieが収集して保存するデータの処理に対応します。

PDPAタイランドは個人情報の商用利用にのみ適用されることに注意することが重要です。管轄は、州の安全を維持するために、連邦政府または州政府、あるいは公共部門にまでは及びません。

PDPAが発行されたとき、規制対象の組織が準備できるように1年間の猶予期間を設けることが目的であり、法律は2020年5月から施行されます。

ご想像のとおり、世界的なCOVID-19の大流行により、多少の遅れが生じました。タイ政府は、パンデミックの経済的影響を緩和し、企業が準備する時間を増やすために、PDPAの施行をさらに1年間延期することに合意しました。

しかし、2021年5月、内閣はPDPAのさらに1年間の延期を承認しました。目標は、パンデミックの長引く影響を考慮して、法律に関連するプロセスを適切に解決できるようにすることです。

したがって、現時点では、PDPAは2022年6月1日に完全に有効になります。

データプライバシーは、PDPAが個人データを取得して処理する前に、ユーザーの同意を必要とするように機能します。

PDPAの8つの主要な特性

8つの主要な特性がPDPAの基盤を形成します。これらのそれぞれについて詳しく見ていきましょう。そうすれば、この新しい規制があなたのビジネスにとって何を意味するのかをよりよく理解することができます。

1.国家データ保護局

この法律の最初の特徴は、個人データ保護委員会を設立することです。彼らは、組織がPDPAに準拠することを保証する執行機関として機能します。

2.治外法権

PDPAには、治外法権と治外法権の両方の効果があります。これは、PDPAの法的適用は、タイ国民が海外にいる間に州または組織が管轄権を持っている場合に適用されることを意味します。

言い換えれば、市民に関するデータを使用、収集、または開示するエンティティ、企業、ウェブサイト、またはその他の組織は、この規制に準拠する必要があります。同様に、個人データをタイ国外に転送することも禁止されています。

3.運用条件

PDPAの3番目の特徴は、法律の核となる側面を定義する運用条件です。以下を含め、用語の多くはGDPRを反映しています。

• データ管理者：個人データの収集、使用、または開示について決定を下す権限を持つ自然人または法人
• データ処理者：データ管理者ごとに個人データを収集、使用、または開示するエンティティ
• 個人データ：個人に関連し、直接的または間接的に識別可能な情報

4.同意

PDPAでは、データを収集したり、Cookieやトラッカーを使用したり、個人情報を開示したりする前に、タイのユーザーに明示的な同意を求め、取得する必要があります。この同意は、書面で受け取るか、電子的に提出する必要があります。

5.機密性の高い個人データ

PDPAには、健康データ、性的指向、障害情報、民族性、政治的意見、宗教的信念などを含む、機密性の高い個人データの明確なカテゴリがあります。

新しい法律では、法律または救急医療で情報が要求されない限り、個人の明示的な同意なしに機密データを収集することは禁止されています。

6.データ主体の権利

PDPAの下では、データ主体は自分の個人情報にアクセスして修正する権利を有します。同様に、彼らはいつでも同意を撤回することができます。そのためには、データを収集した組織が、マーケティングやその他のビジネス目的で情報の処理を停止する必要があります。

7.個人データの転送

データ管理者は、個人データをサードパーティに転送することを禁じられています。ただし、データ主体が明示的な同意を与えた場合は続行できます。

8.民事および刑事責任

個人データ保護法の最後の特徴は、民事および刑事責任に対処します。PDPAに準拠していない規制対象の事業体は、罰金や懲罰的損害賠償から最大500万バーツまでの民事責任に直面する可能性があります。

犯罪によっては、加害者は最大1年の懲役に直面することもあります。

PDPAコンプライアンス要件とは何ですか？

では、PDPAタイに準拠するために何をする必要がありますか？

最も重要な要素は、個人情報を処理する前に、明示的なエンドユーザーの同意を取得することです。同様に、データをどのように処理するかをユーザーに伝える必要があります。これには、どのような情報がどのような目的で収集され、誰とデータが共有されるかが含まれます。

言い換えれば、この新しい規制では、黙示の同意は受け入れられません。ウェブサイトまたはアプリケーションの一部としてCookieまたはトラッカーを引き続き使用する場合は、明示的な同意を得る必要があります。

すべてのウェブサイトコンプライアンス要件を確実に満たすには、必要なアクセス許可を取得できるCookie同意プロセスを実装する必要があります。同意の要求も、誤解のリスクがないように、わかりやすい言葉で明確に提示する必要があります。

例えば、Cookieの同意を求めるときに、ユーザーがデータ追跡を拒否できるようにするボタンをバナーに配置する必要があります。これを適切に行わないと、最高500万バーツまたは最高1年の懲役が科せられる可能性があるため、法律が完全に施行される前に準備する必要があります。