タイPDPAプライバシーガイド:個人情報保護法に基づくあなたの権利
タイの個人情報保護法(PDPA)に関する個人向け実用ガイド。データの権利、削除要求の方法、企業の遵守義務について解説。
タイPDPAプライバシーガイド:個人情報保護法に基づくあなたの権利
タイの個人情報保護法(PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)は2022年6月に完全施行され、タイの居住者に個人データに対する大きなコントロール権を与えています。法律の施行から数年が経過しているにもかかわらず、タイの多くの人々は自分にどのような権利があるのか、またどのように行使するのかを知りません。
このガイドでは、PDPAが個人としてのあなたにとって何を意味し、個人データをどのように管理するかを分かりやすく解説します。
PDPAの対象範囲
PDPAは、タイにいる人々の個人データを収集・利用・開示するあらゆる組織(タイ国内外を問わず)に適用されます。対象:
- 銀行および金融機関
- 通信事業者(AIS、TRUE、DTAC)
- ECプラットフォーム(Shopee、Lazada)
- ソーシャルメディア企業
- 病院および医療提供者
- 政府機関
- 雇用主
- 利用するすべてのウェブサイトやアプリ
個人データに該当するもの
| データ種類 | 例 |
|---|---|
| 識別情報(ข้อมูลระบุตัวตน) | 氏名、国民ID番号、パスポート番号、ThaiDデータ |
| 連絡先情報 | 電話番号、メール、LINE ID、住所 |
| 金融データ(ข้อมูลการเงิน) | 銀行口座、クレジットカード番号、PromptPay ID |
| 生体データ | 指紋、顔認識データ、声紋 |
| 健康データ(ข้อมูลสุขภาพ) | 医療記録、処方箋、健康保険情報 |
| 位置データ | GPSデータ、チェックイン履歴、移動記録 |
| オンライン活動 | 閲覧履歴、検索履歴、Cookie |
| 雇用データ | 給与、職歴、勤務評価 |
PDPAに基づくあなたの権利
1. 知る権利(สิทธิในการรับทราบ)
データを収集する前に、組織は以下を通知する義務があります。
- どのデータを収集するか
- なぜ必要か
- どのくらいの期間保管するか
- 誰と共有するか
- そのデータに関するあなたの権利
実際には: サービス登録時に表示される同意フォームやプライバシーポリシーがこれに該当します。読みましょう — 重要です。
2. 同意の権利(สิทธิในการให้ความยินยอม)
データ収集前に明確な同意が必要です(法的義務、重要利益、公共利益、正当利益の限定的な場合を除く)。以下の権利もあります。
- いつでも同意を撤回できる
- オプションのデータ収集を拒否したからといって、コアサービスの提供を拒否されることはない(同意を拒否できる)
3. アクセス権(สิทธิในการเข้าถึง)
組織が保有するあなたの全個人データのコピーを要求できます。30日以内に回答する義務があります。
4. データポータビリティ権(สิทธิในการโอนย้ายข้อมูล)
一般的に使用される機械可読形式でデータを要求し、他のサービスプロバイダーに移行させることができます。
5. 訂正権(สิทธิในการแก้ไข)
データが不正確または不完全な場合、修正を要求できます。
6. 消去権(สิทธิในการลบ)
以下の場合、組織に個人データの削除を要求できます。
- 収集目的に対してデータが不要になった場合
- 同意を撤回した場合
- 処理に異議を申し立て、優先する正当な理由がない場合
- データが違法に収集された場合
7. 処理制限権(สิทธิในการระงับ)
紛争の解決中にデータの使用を停止するよう要求できます。
8. 異議申立権(สิทธิในการคัดค้าน)
ダイレクトマーケティング目的のデータ処理に対して、いつでも無条件で異議を申し立てることができます。
PDPA権利一覧表
| 権利 | いつ使うか | 回答期限 |
|---|---|---|
| アクセス(เข้าถึง) | 保有データを知りたい場合 | 30日 |
| 消去(ลบข้อมูล) | データ削除を望む場合 | 30日 |
| 訂正(แก้ไข) | データが不正確な場合 | 30日 |
| ポータビリティ(โอนย้าย) | 他サービスへの乗り換え | 30日 |
| 異議申立(คัดค้าน) | マーケティング・プロファイリングの停止 | マーケティングは即時 |
| 制限(ระงับ) | 紛争中の処理一時停止 | 30日 |
| 同意撤回(ถอนความยินยอม) | データ使用に関する同意変更 | 個別対応 |
PDPA権利の行使方法
ステップ1:データ保護担当者を見つける
ほとんどの組織はデータ保護責任者(DPO)またはデータ要求の窓口を設けることが義務付けられています。以下を探してください。
- ウェブサイトのプライバシーポリシーページ
- 利用規約内の「データ保護責任者」の連絡先
- カスタマーサービス部門(PDPA要求であることを明記)
ステップ2:書面で要求を提出
メールまたは書面で正式な要求を送付します。以下を含めてください。
- 氏名と連絡先情報
- 本人確認書類(マスキング済みIDカードのコピー)
- 行使する具体的な権利
- アクセス、削除、訂正するデータの説明
- PDPA第30〜36条への参照
ステップ3:回答を追跡
組織は30日以内に回答する義務があります。拒否する場合は書面で理由を説明しなければなりません。
ステップ4:必要に応じてエスカレート
組織が応じない場合は、以下に苦情を申し立てることができます。
- 個人情報保護委員会(PDPC) — pdpc.or.th
- 裁判所 — PDPA違反による損害賠償を請求可能
個人データの積極的な保護
データフットプリントを最小化
- サービスに本当に必要なデータのみを提供
- サービスごとに異なるメールアドレスを使用
- オプションのデータ収集は可能な限り拒否
- スマートフォンのアプリ権限を定期的に確認
共有する情報を保護
国民ID番号、銀行情報、医療記録などの機密性の高い個人情報を共有する必要がある場合、LINEやメールでの送信は避けてください。LOCK.PUBを使って、自動期限切れの暗号化・パスワード保護付きメモを作成しましょう。受信者がパスワードで情報を閲覧すると、期限後に自動消滅します。チャット履歴やメールアーカイブにデータが残りません。
定期的なデータ監査
- SNSのプライバシー設定を四半期ごとに確認
- LINEアカウントにアクセスできるアプリを確認
- GoogleおよびAppleアカウントの連携アプリを確認
- 使用していないサービスのアカウントを削除
企業が遵守すべき事項
PDPAの下、データ保護規則に違反した組織には以下の罰則が科されます。
| 違反内容 | 最大罰則 |
|---|---|
| 行政罰金 | 最大500万バーツ |
| 刑事罰 | 最大1年の懲役および/または100万バーツの罰金 |
| 民事責任 | 実損害額 + 懲罰的損害賠償(実損害の最大2倍) |
企業はまた以下の義務があります。
- データ保護責任者の任命(大規模な処理の場合)
- データ処理活動の記録を維持
- 適切なセキュリティ措置を実施
- データ侵害を72時間以内にPDPCに通知
- 国境を越えたデータ移転前に同意を取得(例外あり)
日常生活でのPDPAシナリオ
- オンラインショップが解除後もマーケティングメッセージを送り続ける — 異議申立権の侵害としてPDPA苦情を申し立て
- 元雇用主が給与情報を共有した — 消去を要求し苦情を申し立て
- 病院が同意なく医療記録を共有した — PDPAの機微情報保護に違反
- 通信会社がデータを広告主に売却した — データの受領者を確認するアクセス権を行使し、削除を要求
まとめ
PDPAはあなたの個人データに対する実質的な権限を与えています。これらの権利の行使は無料で、組織は30日以内に応じなければなりません。まず、どのサービスがあなたのデータを保有しているかを確認し、もう使用していないサービスに削除を要求しましょう。
必要な場合に機密性の高い個人情報を共有するには、LOCK.PUBで、データが必要以上に残らないよう自動消滅する無料の暗号化メモを作成できます。
キーワード
こちらもおすすめ
ブラウザフィンガープリント:Cookieなしで追跡される仕組みと対策
Googleが広告主にブラウザフィンガープリントを許可しました。99%の精度で個人を特定する仕組みとデジタルフィンガープリントを減らす実践的な方法を解説します。
メルカリ・ジモティーで個人情報を守る方法:安全取引ガイド
メルカリやジモティーで個人情報を保護しながら安全に取引する方法を解説。詐欺防止、プライバシー設定、安全な情報共有法を紹介します。
LINE OpenChatのプライバシーリスクと個人情報を守る方法
LINE OpenChatで個人情報が漏れるリスクと、プロフィール設定・プライバシー保護の方法を詳しく解説します。