ArayZ No.138 2023年6月発行ASEANシフトが進む昨今、新たなる舞台での変革 ベトナム市場のポテンシャル
この記事の掲載号をPDFでダウンロード
掲載号のページにて会員ログイン後、ダウンロードが可能になります。ダウンロードができない場合は、お手数ですが、[email protected] までご連絡ください。
カテゴリー: 会計・法務
連載: New*GVA / TNY法律事務所 – タイビジネス法務
公開日 2023.06.10
情報漏洩やその可能性が発覚した場合、状況を把握した時から可能な限り72時間以内にその漏洩状況についての通知をPDPCに対して行うことが、PDPA37条4項に規定されている。これを受けた通達では漏洩の事実もしくは可能性を確認した場合の対応として、まず初期的にその漏洩が発生したか否かの調査を行い、その上でPDPCに対する通知を行うものとされている。
もっとも、初期的な調査の結果、個人の自由及び権利に影響を与えるリスクがないといえる相当高度な可能性がある場合にはPDPCへの通知は不要とされている。
72時間以内に情報漏洩についての通知がPDPCに対して行えなかった場合、通知の期限を延長するため、情報漏洩を把握した時から15日以内に、通知が遅延することが不可避であったことを説明する書類をPDPCに提出する必要がある。
さらに通達では、漏洩により個人の自由及び権利に影響を与えるリスクが高い場合(ハイリスク)、個人本人に対し迅速に漏洩状況及び救済方針を通知する必要があるとしている。
通達では情報漏洩の状況に応じて類型分けがされている。
そしてマニュアルによれば、例えばランサムウェアの攻撃により個人情報管理者が保有するすべての個人情報がハッカーによって暗号化され、バックアップがないため個人情報にアクセスできず利用できなくなる場合には、秘密保持の侵害や可用性の侵害の類型であると考えられる。また「ハイリスク」の状況と評価され、個人情報管理者はPDPCおよび影響を受ける個人に情報漏洩を通知する必要がある、とされている。
PDPCへの通知方法としては、書面又は電子的方法、その他 PDPCが定める方法によるとされている。そして通知の内容としては、以下を記載する必要がある。
個人本人に対しても迅速に漏洩状況及び救済方針を告知する必要がある場合の通知方法は、原則として本人に対して個別に書面又は電子的方法で行うとされている。個人情報管理者が本人に対して個別に通知を行うことができない場合、個人情報管理者の会社ウェブサイトなどで、侵害を受けた個人本人または公衆がアクセス可能な方法によって、通知をすることができるとされている。
遅滞なく通知すべきとされている事項は以下のとおりである。
以上のとおり個人情報の漏洩が発覚した場合には、PDPCや状況に応じて個人本人への通知を行う必要がある。この通知義務に違反した場合の罰則規定もあるため(PDPA83条)、情報漏洩が発覚した場合、まずは通知が必要となることを前提に対応を進めるべきである。
TNY国際法律事務所
日本国弁護士
藤原 杯花
17年1月よりタイのTNY国際法律事務所にて執務。TNY国際法律事務所は、日本人弁護士2名が共同代表を務める法律事務所であり、会社設立から規制調査、契約書のリーガルチェック、商標登録申請、相続手続きなどのサービスを提供している。
Email : [email protected]
URL : http://www.tny-legal.com/
ArayZ No.138 2023年6月発行ASEANシフトが進む昨今、新たなる舞台での変革 ベトナム市場のポテンシャル
掲載号のページにて会員ログイン後、ダウンロードが可能になります。ダウンロードができない場合は、お手数ですが、[email protected] までご連絡ください。
THAIBIZ編集部
SHARE