(タイ、2019年6月25-28日)
1. デジタル規制の状況:個人情報保護法の運用規則に関心
【保護主義志向は見られず】
タイでは近年軍事政権による政治体制が敷かれていたことから、国家安全保障や治安維持を理由に、軍事機密のほか国家機密情報に該当するような情報・データを政府の管理下とする方向性や可能性が指摘されている。2019年3月の総選挙を経て、親軍派が勝利し、同年7月にはプラユット第2次政権が成立した中、政府がこれまで通りデジタル保護主義的なスタンスを志向する見方は拭えない。しかし、実態としては中国やベトナムのように明確に保護主義の方向性を打ち出すことはなく、むしろ国際的な地位向上を意識したグローバルスタンダードに準じた関連法規制の導入を進めようというスタンスが感じられる。従い、デジタル関連法制の今後の運用面での懸念は残るものの、現状、中国のようにデータの越境移転規制や政府による介入等の保護主義をタイ政府が志向しているわけではない。
【法制度の強化を進める】
デジタル政策推進を目的に、タイ政府は2016年に情報通信技術省(Ministry of Information and Communication Technology)をデジタル経済社会省(Ministry of Digital Economy and Society)に改名し、関連庁(DEPAとEDTA)を新設。2019年はASEAN議長国としてのイニシアティブを示す意向もあったことから、同体制を中心に、ASEAN地域で合意されたデジタル化構想や電子商取引合意枠組みに即し、国全体のデジタル化や電子商取引計画の策定を進めると同時に、個人情報保護法やサイバーセキュリティ法の整備など法制度の強化を進めてきた。
【個人情報保護法の運用規則に注目】
個人情報保護法(PDPA)は2019年2月末に国会での可決を経て同年5月末に施行された。ただし、対象となる個人情報の定義や取扱い規定のほか具体的な罰則規定等は記載されていないため、原則が中心の大綱としての意味合いが強い上、同法が適用されるまでに1年の猶予期間が設けられている。また、この大綱を補足する細則は設置予定の個人情報保護委員会(PDPC)下で草稿され、施行後2年以内に公表される計画になっているものの、委員会の構成や有する権限など具体的な概要は明確になっていない。同法はGDPRがベースとなっているものの、数年間に及んだ草稿過程での議論や関連法の改訂を経て現在の形になったことから、罰則規定等、タイ固有の内容になっているという専門家の指摘がある。
また、PDPAと同時期に制定されたサイバーセキュリティ法もこれまでのところ実ビジネスへの影響が軽微であるという認識の下、社会・民間企業による関心は高まってはいるものの、実際の法対応などの浸透は緩やかである。その背景として、法を順守するための政府側の監督(enforcement)体制・機能の脆弱さが指摘されており、民間企業の間では「どのような対策を施さなければならないのか」についての理解が進まないのが現状のようである。
タイでは従来から商慣習として企業間・人と人の「信用力」を大切にしてきたことから、ディスクレーマーやファイルの暗号化などグローバルで採用される情報保護対応を実践することは、これまで培った信用をかえって損ねる可能性が懸念され、実践に消極的とする声も少なくない。民間企業を代表する業界団体はロビイング活動にあまり積極的ではなく、必ずしも民間セクターからの要望や政府側による啓蒙が機能していないようである。政府による新しい法律の目的や背景など公式な説明が目立たないことから、今のところ企業は自助努力による対応を余儀なくされている。
2. 産業・企業への影響
【個人情報保護法(PDPA)に対する反応】
法律が起草される過程では有識者や業界団体を通じて産業界の意見も収集される機会が与えられたものの、タイ政府は法律制定を2019年春の選挙前に急いだことから、産業界の意見が反映されず内容が十分に吟味されなかったという不満の声も少なくない。政府機関、業界団体、企業(日系含む)からは下記のような意見が聞かれた。
⟨肯定的意見⟩
• GDPRに準拠しているのはASEANでも先進的であり、議長国としてASEANをけん引する意思表
示にもなっている。(政府機関、業界団体、有識者)
• GDPRを採用したのは対欧州向けのビジネス交流増大の機会として歓迎。これを機にGDPRについてもっと勉強したい。(政府機関、業界団体、地場企業)
• 従来の「信用」に依拠するだけではグローバルな競争下で生き残れない(政府機関、業界団体)
• スマホアプリなどを通じて益々個人情報が流用・漏洩されているため、個人情報保護法の制定は待ったなしである。(有識者、業界団体、地場企業)
• 日系企業を含めグローバル企業のうち既にGDPRに準拠した個人情報保護の対応をしている企業がほとんどであり、特にPDPAによる影響は感じていない。(日系企業、外資系企業)
• 同法と並んで新たに制定されたサイバーセキュリティ法の新法については各方面で関心が高まっており、勉強会やセミナーなど学ぶ機会が増えている。(業界団体、地場企業)
⟨否定的意見⟩
• 長期間にわたって法律が起草されてきたが、政府と産業界との意見交換の機会は必ずしも多くなく、意見が反映されるほど十分に議論が尽くされたとは思えない。(有識者、地場企業)
• 選挙前に駆け込みで制定してしまった印象が拭えない。(有識者、地場企業、日系企業)
• PDPAはあくまでも大綱であり、企業としてどのように準備すれば良いかはその後に発表される細則を見てみないと分からない。(地場企業、日系企業)
• 細則については今後設立される個人情報保護委員会が関係省庁や有識者と共に策定していくらしいが、具体的な構成や権限が確定していない中、草案内容や期限内に策定されるか不安要素が多い。また、取り締まりなど実際の運用面で課題が出てくるものと想像する。(業界団体、地場企業、日系企業、外資系企業)
• タイ固有の条文として刑事罰が記載されているのは問題である。規定通りに厳罰化が進めば企業側は何らかの影響があると考える。(業界団体、地場企業)
