PDPA(個人情報保護法)通報・同意取得メール

タイ語

PDPA通報・同意取得メールはタイ独自の個人情報保護法対応の核心スキルです。

本記事は2019年制定・2022年施行のPDPA対応、72時間ルール、Opt-in必須化を体系化します。

本記事はメール作法に集中し、法解釈は専門家相談を促す実務ガイドです。

同意撤回対応・データ主体の権利説明・国際データ移転の特殊性も具体例で示します。

  1. タイPDPAの概要
    1. 2019年制定、2022年施行
    2. 個人情報保護委員会(PDPC)
    3. 違反罰則(最大500万バーツ・5年禁固)
  2. PDPA違反通報義務
    1. 第37条 72時間以内通報
    2. PDPCへの報告
    3. 顧客への通知義務
  3. 通報メールの基本構造
    1. 「แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล」
    2. 事実・影響・対応の3点
    3. 客観的記述
  4. PDPC通報メールの記載項目
    1. 違反発覚日時
    2. 違反内容・影響範囲
    3. 対応措置
  5. 顧客向け通知メール
    1. 「แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลส่วนบุคคล」
    2. 謝罪・補償・再発防止
    3. 顧客の権利説明
  6. 同意取得メール(Opt-in)
    1. 「ขอความยินยอมในการรับข้อมูล」
    2. 同意項目の明示
    3. 撤回権の説明
  7. 同意撤回(Opt-out)対応
    1. 「การยกเลิกการรับข้อมูล」
    2. 即時対応必須
    3. 確認メール
  8. 個人情報処理目的の説明
    1. Purpose Limitation
    2. 処理目的の明示
    3. 目的外使用の禁止
  9. 第三者提供時の同意
    1. Third-party Sharing
    2. 共有先の明示
    3. 個別同意
  10. データ主体の権利説明
    1. アクセス権
    2. 訂正権
    3. 削除権(忘れられる権利)
    4. ポータビリティ権
  11. マーケティングメール送信前の同意
    1. タイPDPA下のOpt-in必須化
    2. 既存顧客の暫定対応
    3. 配信停止リンク必須
  12. 内部研修メール
    1. 「PDPA Training」案内
    2. 違反防止策
    3. 定期更新
  13. DPO(Data Protection Officer)の連絡
    1. 社内DPO設置
    2. 外部DPO委任
    3. 連絡窓口
  14. 国際データ移転
    1. Cross-border Transfer
    2. 適切性認定
    3. 標準契約条項
  15. 個人情報含むメールの取扱い
    1. 暗号化必須
    2. 第三者送信のリスク
    3. 削除タイミング
  16. 仏教祝日・王室記念日への配慮
    1. 祝日中の72時間ルール
    2. 当日の業務メール送信NG
  17. 日本人がやりがちなPDPA NG
    1. 72時間ルール無視
    2. Opt-in怠り
    3. 個人情報のチャット送信
    4. DPO設置怠り
  18. 例文集:3パターンテンプレ
    1. PDPC通報テンプレ
    2. 顧客通知テンプレ
    3. 同意取得テンプレ
  19. 関連リンク

タイPDPAの概要

タイPDPAは2019年制定・2022年施行の個人情報保護法です。

3つの主要要素を整理します。

2019年制定、2022年施行

「Personal Data Protection Act, B.E. 2562 (2019)」が正式名称です。

「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」と呼ばれます。

EUのGDPRを参考にしています。

個人情報保護委員会(PDPC)

「Personal Data Protection Committee」(PDPC)が監督機関です。

「คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล」と書きます。

違反通報・調査・罰則実施を担います。

違反罰則(最大500万バーツ・5年禁固)

違反罰則は最大500万バーツの罰金または5年禁固です。

「ค่าปรับสูงสุด 5 ล้านบาท」と書きます。

個人責任も問われます。

PDPA違反通報義務

PDPA違反通報は72時間ルールが核心です。

3つの主要要素を整理します。

第37条 72時間以内通報

PDPA第37条で「重大なリスクのある侵害」は72時間以内通報が義務です。

「ภายใน 72 ชั่วโมง」と書きます。

(1) 72 ชั่วโมง

(2) chet sip song chua-mong

(3) 72時間

PDPCへの報告

PDPC(個人情報保護委員会)への報告が必須です。

「แจ้ง PDPC」(PDPC通報)と書きます。

オンラインフォームまたは公式メールで提出します。

顧客への通知義務

「重大な影響」がある場合、顧客への通知義務もあります。

「แจ้งลูกค้าโดยไม่ชักช้า」(遅滞なく顧客に通知)が原則です。

個別通知が標準です。

通報メールの基本構造

通報メールは「事実・影響・対応」の3点で構成します。

3つの主要要素を整理します。

「แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล」

「แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล」(個人情報侵害事象の通報)と書きます。

件名で深刻度を明示します。

「Urgent: Personal Data Breach Notification」と英語併記します。

事実・影響・対応の3点

「Fact・Impact・Action」の3点で構成します。

FIA構造はトラブル対応で標準的です。

関連は遅延エスカレーションメールを参照してください。

客観的記述

客観的事実のみを記述します。

主観的評価は避けます。

調査中の事項は「調査中」と明示します。

PDPC通報メールの記載項目

PDPC通報メールは記載項目が指定されています。

3つの主要項目を整理します。

違反発覚日時

違反発覚日時を正確に記載します。

「วันที่และเวลาที่พบเหตุการณ์」と書きます。

72時間ルールの起算点になります。

違反内容・影響範囲

違反の具体内容と影響範囲を明示します。

「ข้อมูลส่วนบุคคลที่ได้รับผลกระทบ」(影響を受けた個人情報)と書きます。

影響受けた人数・データ種別を記録します。

対応措置

「มาตรการดำเนินการ」(実施した対応措置)を記載します。

暫定対応と恒久対策を区分します。

関連は誤送信訂正メールを参照してください。

顧客向け通知メール

顧客向け通知メールは「謝罪・補償・再発防止」の3点で構成します。

3つの主要要素を整理します。

「แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลส่วนบุคคล」

「แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลส่วนบุคคล」(個人情報事象の顧客通知)と書きます。

件名で深刻度を明示します。

「Important: Personal Data Incident Notification」と英語併記します。

謝罪・補償・再発防止

「謝罪・補償・再発防止」の3点で構成します。

「ขออภัย・ค่าชดเชย・มาตรการป้องกัน」と整理します。

具体性が信頼回復の核心です。

顧客の権利説明

影響を受けた顧客の権利を説明します。

「Access」「Rectification」「Erasure」「Portability」の4権利を明示します。

連絡窓口(DPO)も併記します。

同意取得メール(Opt-in)

同意取得メールはPDPA下のOpt-in必須化に対応します。

3つの主要要素を整理します。

「ขอความยินยอมในการรับข้อมูล」

「ขอความยินยอมในการรับข้อมูล」(情報受領のご同意をお願いします)と書きます。

(1) ขอความยินยอม

(2) khor khwaam yin yom

(3) 同意をお願いします

同意項目の明示

同意項目を箇条書きで明示します。

「Marketing Email」「Newsletter」「Product Update」のように区分します。

包括同意ではなく個別同意が標準です。

撤回権の説明

「Right to Withdraw」(撤回権)を必ず説明します。

「สิทธิในการเพิกถอนความยินยอม」と書きます。

撤回手続きの簡便性も説明します。

同意撤回(Opt-out)対応

同意撤回対応は即時性が要ります。

3つの主要要素を整理します。

「การยกเลิกการรับข้อมูล」

「การยกเลิกการรับข้อมูล」(情報受領の取消)と書きます。

(1) ยกเลิก

(2) yok lerk

(3) 取消

即時対応必須

同意撤回は即時対応が必須です。

「ดำเนินการทันที」(即時対応)が原則です。

遅延はPDPA違反該当のリスクです。

確認メール

撤回処理完了後、確認メールを送ります。

「ยืนยันการยกเลิกเรียบร้อย」(取消完了確認)と書きます。

記録性確保が要ります。

個人情報処理目的の説明

個人情報処理目的の説明はPDPA下で必須です。

3つの主要要素を整理します。

Purpose Limitation

「Purpose Limitation」(目的限定)はPDPA原則です。

「การจำกัดวัตถุประสงค์」と書きます。

目的明示なしの処理は違反該当です。

処理目的の明示

処理目的を具体的に明示します。

「Marketing」「Service Provision」「Analytics」のように区分します。

包括目的「業務上必要」だけでは不十分です。

目的外使用の禁止

同意取得目的外の使用は禁止です。

新目的での使用は新規同意取得が要ります。

違反該当時は罰則対象です。

第三者提供時の同意

第三者提供時は別途同意取得が必要です。

3つの主要要素を整理します。

Third-party Sharing

「Third-party Sharing」(第三者提供)はPDPA下で別途同意必要です。

「การแบ่งปันข้อมูลกับบุคคลที่สาม」と書きます。

包括同意では不十分です。

共有先の明示

共有先を具体的に明示します。

「会社A・会社B」のように個別列挙します。

カテゴリ「ビジネスパートナー」は不十分です。

個別同意

「個別同意」が原則です。

「ความยินยอมเฉพาะเจาะจง」と書きます。

包括同意は法的に弱いです。

データ主体の権利説明

データ主体の4権利を説明します。

各権利の概要を整理します。

アクセス権

「Right of Access」(アクセス権)はデータ主体が自分の情報にアクセスする権利です。

「สิทธิในการเข้าถึงข้อมูล」と書きます。

30日以内に提供が標準です。

訂正権

「Right to Rectification」(訂正権)は誤情報の訂正を求める権利です。

「สิทธิในการแก้ไขข้อมูล」と書きます。

即時対応が標準です。

削除権(忘れられる権利)

「Right to Erasure」(削除権)は情報削除を求める権利です。

「สิทธิในการลบข้อมูล」と書きます。

「Right to be Forgotten」とも呼ばれます。

ポータビリティ権

「Right to Data Portability」(ポータビリティ権)は他社への移転権利です。

「สิทธิในการโอนย้ายข้อมูล」と書きます。

標準フォーマットでの提供が要ります。

マーケティングメール送信前の同意

マーケティングメールは送信前同意必須です。

3つの主要要素を整理します。

タイPDPA下のOpt-in必須化

マーケティングメールは「Opt-in」必須です。

「Opt-out」運用は違反該当です。

事前同意取得を徹底します。

既存顧客の暫定対応

PDPA施行前からの顧客は「Grandfather Clause」(既得権条項)で暫定対応が認められました。

ただし新規追加機能は別途同意が要ります。

定期的な同意更新を推奨します。

配信停止リンク必須

マーケティングメールは「Unsubscribe Link」必須です。

「ลิงก์ยกเลิกการรับข้อมูล」と書きます。

1クリック撤回が標準です。

内部研修メール

内部研修メールはPDPA違反予防の核心です。

3つの主要要素を整理します。

「PDPA Training」案内

「การฝึกอบรม PDPA」(PDPA研修)の案内を送ります。

新入社員向け必須プログラム化が標準です。

年1回のリフレッシャーも必要です。

違反防止策

違反防止策を具体的に教育します。

「メール送信前のBCC確認」「機密情報のチャット送信禁止」のような実務ルールを示します。

関連は誤送信訂正メールを参照してください。

定期更新

研修内容は法改正に応じて定期更新します。

PDPA改正・PDPC指針改定に合わせます。

最新動向の社内共有が要ります。

DPO(Data Protection Officer)の連絡

DPO(Data Protection Officer)はPDPA下で重要役割です。

3つの主要要素を整理します。

社内DPO設置

「Data Protection Officer」(DPO)を社内設置します。

「เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล」と呼ばれます。

大企業は専任、中小企業は兼任が標準です。

外部DPO委任

外部DPO委任も認められています。

法律事務所のDPOサービス利用が増えています。

コスト最適化に有効です。

連絡窓口

DPO連絡窓口を社外に公開します。

「dpo@company.com」のような専用アドレスが標準です。

顧客からの権利行使依頼の受付窓口になります。

国際データ移転

国際データ移転はPDPA下で論点が増えています。

3つの主要要素を整理します。

Cross-border Transfer

「Cross-border Transfer」(国境を越えるデータ移転)はPDPA下で別途要件があります。

「การโอนย้ายข้อมูลข้ามพรมแดน」と書きます。

適切性認定または標準契約条項が要ります。

適切性認定

「Adequacy Decision」(適切性認定)はPDPA同等水準の国への移転を認める仕組みです。

EUは適切性認定対象です。

日本も認定が進んでいます。

標準契約条項

「Standard Contractual Clauses」(標準契約条項)は適切性認定がない国への移転で活用されます。

「SCC」と略されます。

関連はNDA・契約書レビュー依頼メールを参照してください。

個人情報含むメールの取扱い

個人情報含むメールの取扱いは慎重さが要ります。

3つの主要要素を整理します。

暗号化必須

個人情報含むメールは暗号化必須です。

「การเข้ารหัส」(暗号化)が標準です。

PDF暗号化・S/MIME暗号化が選択肢です。

第三者送信のリスク

第三者送信時のリスクを管理します。

BCC運用・個別送信の徹底が要ります。

関連は誤送信訂正メールを参照してください。

削除タイミング

個人情報含むメールの削除タイミングを明文化します。

「Data Retention Policy」が要ります。

業務終了後の自動削除も検討します。

仏教祝日・王室記念日への配慮

PDPA通報も祝日タイミングへの配慮が要ります。

送信時期の調整が信頼維持の核心です。

祝日中の72時間ルール

祝日中も72時間ルールは適用されます。

担当者ローテーションでバックアップ体制が要ります。

「วันหยุด」(祝日)でもPDPC通報は待ったなしです。

当日の業務メール送信NG

Royal記念日当日の通常業務メールはNGですが、PDPA通報は緊急性で例外扱いします。

関連は王室関連配慮メールを参照してください。

緊急性の判断が要ります。

日本人がやりがちなPDPA NG

72時間ルール無視・Opt-in怠り・チャット送信・DPO設置怠りが主要NGです。

4パターンを順に対策します。

72時間ルール無視

72時間ルール超過は最大500万バーツの罰金リスクです。

違反発覚時の即時通報体制を整備します。

関連は誤送信訂正メールを参照してください。

Opt-in怠り

マーケティングメールのOpt-in怠りは違反該当です。

事前同意取得を徹底します。

既存顧客もリフレッシュ同意を取得します。

個人情報のチャット送信

LINE・Slackで個人情報送信は最大リスクです。

暗号化チャネルを使います。

関連はLINE/Teams/Zoom選択ガイドを参照してください。

DPO設置怠り

DPO設置怠りは大企業で特に問題です。

必ず社内DPOまたは外部DPO委任を整備します。

連絡窓口公開も併行します。

例文集:3パターンテンプレ

PDPC通報・顧客通知・同意取得の3パターンを示します。

そのまま社内テンプレ化できる形式です。

PDPC通報テンプレ

「เรียน PDPC / แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล」と冒頭に置きます。

「วันที่และเวลาที่พบเหตุการณ์ + ข้อมูลที่ได้รับผลกระทบ + มาตรการดำเนินการ」と項目立てます。

「ขอแจ้งภายใน 72 ชั่วโมงตามกฎหมาย」と法的義務を明示します。

顧客通知テンプレ

「เรียน คุณ X / แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลส่วนบุคคล」と書きます。

「ขออภัยอย่างยิ่ง + รายละเอียดเหตุการณ์ + สิทธิของท่าน」と整理します。

「DPO Contact: dpo@company.com」と連絡窓口を明示します。

同意取得テンプレ

「เรียน คุณ X / ขอความยินยอมในการรับข้อมูล」と書きます。

「Marketing Email / Newsletter / Product Update」の3項目で個別同意を求めます。

「Right to Withdraw: Click here」と撤回権を案内します。

関連リンク

NDA・契約書レビューはNDA・契約書レビュー依頼メールで詳述します。

誤送信訂正は誤送信訂正メールを参照します。

e-Tax Invoiceはe-Tax Invoiceメールを併読してください。

基礎構造はタイ語ビジネスメール総論を確認してください。

タイトルとURLをコピーしました