GVA法律事務所・タイオフィス代表の藤江です。本コラムでは、タイの労務管理について、法的に解説していきます。今回は、従業員の個人データの取扱いについて解説します。
個人情報保護法の施行
タイでは、2019年5月28日から個人情報保護法(Personal Data Protection Act、以下「PDPA」といいます。)が施行されています。その主要な規定には効力発生日を1年後とする経過措置が設けられていますが、間もなく効力発生日が到来しますので、個人情報保護法の適用があることを念頭に置く必要があります。
なお、PDPAの下位規則やガイドライン等はいまだ公表されておらず、規制の詳細については明らかでないのが現状です。そのため、PDPAに違反するか否か等を実際に検討する場面では、PDPAの基礎となったと思われるGDPR(General Data Protection Regulation;EU一般データ保護規則)やそのガイドラインを参考にせざるを得ません。
従業員の個人データも保護の対象となる
PDPAでは、保護の対象となる個人データについて、直接・間接を問わず自然人を識別(特定)しうる情報であり、死者の情報を含まないと定義されています(6条)。
これ以上の詳細な解釈指針は現在のところ存在しませんが、GDPRに沿って制定された経緯に鑑みると、氏名、住所、連絡先等の情報のみならず、社内システムのID・パスワード、職位、人事評価、給与情報、位置情報、IPアドレス等、従業員に関するほとんどのデータが個人情報保護法による保護を受けることとなると考えられます。したがって、PDPA上は、従業員に関するある特定の情報が個人データに該当するかどうかという議論よりも、これらが個人データに該当するという前提で、どのようにPDPAのルールを遵守するか、という点が主な焦点となります。
従業員の個人データの取扱いにおいては、「収集」・「管理」・「移転」・「開示」の4つの場面で注意する必要があります。
収集時の注意点
個人データの収集に際しては、原則として、個人データの収集前又は収集時に、本人に対して、収集の目的、対象となる個人データの種類・保管期間など一定の事項を通知し、本人の同意を得る必要があります(23条)。ただし、これには、本人が当事者となる契約の締結・履行に必要な場合や、情報管理者や第三者の正当な利益のために必要な場合(ただし、その利益が本人の個人データに関する基本的権利より重要でない場合はこの限りではない)、管理者に適用される法令を遵守するために必要な場合等、本人の同意以外にも、適法に収集するための根拠となる事由がいくつかあります(24条1号〜6号)。
従業員の個人データについてみると、例えば、氏名、住所、連絡先、生年月日等の情報は、雇用契約という、従業員がその当事者となる契約の締結ないし履行に必要な情報といえます。一方、IPアドレスや位置情報等については、会社のセキュリティ対策や貸与PCや携帯電話その他のデバイス等の機器の管理のために必要な場合には、会社の正当な利益のために必要な場合といえるでしょう。
ただし、注意が必要なのは、人種や民族的出自、政治的意見、宗教的信条、また性的行動、健康データなどの情報は、センシティブ情報として、特に取扱に厳格な規制が設けられている点です(26条)。例えば、健康診断結果や持病等に関する情報などは、健康データに該当するため、原則として、従業員本人の明確な同意がない限り収集することはできません。
管理上の注意点
次に、個人情報保護法では、無権限者による個人データへのアクセス、改変、開示を防止するための適切なセキュリティ対策を施すこと(37条、40条)や一定の事項を記録すること(39条、40条)等が求められていますので、従業員のデータ管理に際しても、これらの措置を講じる必要があります。
国外移転時の注意点
また、タイで経済活動を行う企業の中には、タイで収集した従業員のデータを日本の親会社等に送り、日本で管理している企業もありますが、個人データを国外に移転する場合には、その移転先が十分な保護水準を満たしており、個人データ保護委員会の定める条件を満たすことが原則とされています(28条)。ところが、その具体的な条件はまだ明らかではありません。そのため、現時点では、本人の同意を得る等、例外規定(28条)に従って移転せざるを得ないのが実情です。なお、同一グループ間の移転であり、グループ内で適切な個人データ保護指針が確立され、かつ、その指針がタイ国の個人データ保護委員会によって認証されている場合にも移転が可能とされておりますが(29条)、やはりその具体的内容が明らかでないのが現状です。
開示時の注意点
会社が収集した従業員情報を外部に開示する場面は日常的にあるかと思います。例えば、会計事務所に給与計算を依頼している場合、自社のウェブサイトに従業員の紹介ページを掲載する場合、取引先に従業員を紹介するため氏名やメールアドレスを開示する場合などです。しかし、PDPAは、このような開示に際しても、原則として本人の同意を取得しなければならないとしています(19条1項、27条1項)。
PDPA第24条等で同意不要な場合として列挙されているケースに該当する場合には、開示についても例外的に同意不要とされていますので、給与計算業務を受託する会計会社への給与情報の開示等は、雇用主である会社が労働法上の義務を履行するために必要な場合として、同意なく開示できる場合に該当すると考えられます。一方、自社ウェブサイトに従業員の紹介ページを掲載する場合などは、雇用契約上の義務の履行に必要とまでいえるか判断が難しいところですので、従業員の同意を取得しておくのがベターと考えます。
従業員の同意についての注意点
以上のとおり、現時点での解釈としては、従業員の個人データを収集等する場合には、従業員本人の同意を得ることが重要となります。そのため、会社が収集・利用・開示する情報とその目的を明示した同意書により、個々の従業員から明確な同意を得る運用が望ましいでしょう。
しかしながら、この同意については、GDPRを踏まえると、従業員の自由な意思に基づいて行われる必要があると解釈される可能性が高いと考えられています。そして、使用者と従業員というパワーバランス下では、たとえ従業員が同意したとしても、自由な意思に基づくものとはいえないとして、無効とされるおそれもあります。
それゆえ、収集するデータごとに、従業員から同意を得るのみならず、同意以外に適法化できる根拠がないか事前に吟味しておくことが重要となりますし、前述のパワーバランス下に入る前、すなわち雇用前(採用時)にあらかじめ同意を得ておく等の工夫をすることが重要となります。
<本記事に関するお問い合わせはこちら>
GVA法律事務所パートナー
タイオフィス代表・日本国弁護士:藤江 大輔
Contact: info@gvathai.com
URL: https://gvalaw.jp/global/3361