タイ個人データ保護法(PDPA)の執行が、いよいよ「本格段階」に入りました。2024年から2025年にかけて、個人データのセキュリティ管理が不十分だった企業に対して数百万〜数千万バーツ規模の行政罰が科され、監督機関であるPDPCは「Eagle Eye」と呼ばれる24時間自動監視システムを稼働させています。「PDPAのことは聞いたことがあるが、まだ様子見でいいか」——そう考えている日系企業の方は、今すぐ対応を見直す必要があります。
PDPAとは何か — 「タイ版GDPR」の全体像
基本情報
PDPA(Personal Data Protection Act、タイ語:พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล)は、2019年5月に制定され、2022年6月1日に全面施行された包括的な個人データ保護法です。COVID-19の影響で2度延期された末の施行でしたが、現在は完全に法的義務として機能しています。
所管機関はPDPC(個人データ保護委員会:Personal Data Protection Committee)で、監督・執行・ガイドライン策定を一手に担っています。
日本法・GDPRとの3法比較
| 項目 | 日本(個人情報保護法) | タイ(PDPA) | EU(GDPR) |
|---|---|---|---|
| 全面施行 | 2005年(2022年改正施行) | 2022年6月 | 2018年5月 |
| 域外適用 | あり | あり | あり |
| 法的根拠 | 利用目的の特定+同意 | 6つの根拠(GDPR型) | 6つの根拠 |
| DPO設置 | 義務なし | 大規模処理は義務 | 一定条件で義務 |
| 漏洩通知期限 | 速やかに(明確な時間制限なし) | 72時間以内 | 72時間以内 |
| 最大行政罰 | 1億円 | 500万バーツ(約2,000万円) | 全世界売上の4% |
ポイント:PDPAは日本の個人情報保護法より、GDPRに近い設計です。 日本法への対応だけでは不十分な領域が多く存在します。
主要概念の整理
PDPAを理解するうえで、まず3つの概念を押さえておきましょう。
データコントローラー(管理者):個人データの利用目的・方法を自分で決定する組織・個人。日本の「個人情報取扱事業者」に相当します。タイに現地法人を持つ日系企業は、通常このコントローラーに該当します。
データプロセッサー(処理者):コントローラーの指示に基づいてデータを処理する組織・個人。ITシステム会社、クラウドサービス、給与計算委託先などが典型例です。GDPRから導入された概念で、日本法には明確な対応概念がありません。重要なのは、後述する罰金事例で、プロセッサーがコントローラーより高額の罰金を科されたケースがあるという点です。
センシティブデータ:人種・民族、政治的意見、宗教・信仰、犯罪歴、健康情報、生体認証データ(指紋・虹彩等)、性的行動・指向などが含まれます。原則として収集が禁止されており、例外的に明示的同意や法令上の根拠がある場合のみ処理できます。
執行が本格化した — 大型罰金事例から学ぶ
2024年:初の大型罰金(700万バーツ)
2024年、PDPCはタイ国内の大手テクノロジー小売企業に対し、行政罰700万バーツ(約2,800万円)を科しました。これはPDPA史上最大規模の制裁となりました。
主な違反内容は次の3点です。
- 大規模な個人データ処理を行っているにもかかわらず、DPO(データ保護責任者)を設置していなかった
- セキュリティ措置が不十分で、個人データの外部漏洩を招いた
- 漏洩を把握した後も、72時間以内にPDPCへ報告しなかった
「DPOを置いていない」「漏洩したら報告しなかった」——いずれも「知らなかった」では済まされない基本的な義務違反です。
2025年8月:5事案・8命令の一斉発表
2025年8月、PDPCはまとめて5件の制裁事案(計8件の行政命令)を発表しました。業種・規模を問わず広範な対象に及ぶ点が注目されます。
| 事案 | 対象 | 罰金額 | 主な違反内容 |
|---|---|---|---|
| 事案1 | 政府機関 | 153,120バーツ | 不適切なデータ処理委託、セキュリティ不備、約20万件の個人データ漏洩 |
| 事案1 | 委託業者(プロセッサー) | 153,120バーツ | 同上(共同制裁) |
| 事案2 | 民間病院 | 121万バーツ | 書類廃棄プロセスの不備、1,000件超の患者医療記録が外部漏洩 |
| 事案2 | 廃棄業者(個人) | 16,940バーツ | 医療記録の不適切な廃棄 |
| 事案3 | テクノロジー小売業者 | 700万バーツ | DPO未設置、セキュリティ措置の不備、漏洩未報告 |
| 事案4 | 化粧品会社 | 250万バーツ | セキュリティ措置の不備+漏洩未報告 |
| 事案5 | 玩具小売業者(コントローラー) | 50万バーツ | 委託先のセキュリティ不備による漏洩 |
| 事案5 | 予約システム会社(プロセッサー) | 300万バーツ | セキュリティ措置が不十分な状態で大量データを処理 |
(出典:DLA Piper Privacy Matters, 2025年9月)
2つの重要な教訓
教訓①:プロセッサーの方がコントローラーより高額の罰金を科された
事案5では、コントローラー(玩具小売業者)の50万バーツに対し、プロセッサー(予約システム会社)には300万バーツと、6倍の罰金が科されました。「委託先だから責任が軽い」は通用しません。むしろ、大量データを直接扱うプロセッサーには重い義務が課されます。
教訓②:業種・規模を問わず摘発対象になる
病院、化粧品会社、玩具小売業者、政府機関——2025年の事案は多様な業種にまたがっています。「IT会社でもないし、大量データは扱っていない」という認識は危険です。顧客・従業員の個人データを処理しているすべての組織が対象となります。
PDPC Eagle Eye — AIが24時間監視する時代
「待ちの姿勢」から「能動的摘発」へ
従来の監督機関は主に「被害者からの苦情を受けて調査する」という事後対応型でした。しかしPDPCはEagle Eye(鷹の目)部門を設置し、姿勢を一変させました。
Eagle Eye Crawlerは、ウェブサイト・アプリのURLを24時間自動でスキャンし、データ漏洩の兆候を検知するシステムです。対象には検索エンジンだけでなく、ダークウェブも含まれます。当局が自ら見つけに来る——これが2026年のデータ保護執行の実態です。
日系企業にとっての意味
Eagle Eye Crawlerが特に注目するのは次の点です。
- プライバシーポリシーの不備・不掲載
- 不適切な個人データの公開(設定ミスによるアクセス制限の欠如など)
- 漏洩した個人データのウェブ上への流出
「うちのウェブサイトは日本語だから大丈夫」は通用しません。タイ国内でサービスを提供している限り、タイ語・英語・日本語を問わずPDPAの適用対象です。
苦情件数の増加
PDPCのPDPA Centerへの苦情件数は**2,672件(2026年1月時点)**に達しています(Data Privacy Day 2026発表)。最多の違反類型は①データ最小化原則の不遵守、②法的根拠のないデータ収集、③法的根拠のないデータ利用・開示です。
AI×PDPA — 最も身近な落とし穴
「AIを使っている企業はコントローラーの義務を負う」
PDPCは2025〜2026年にかけて、「AI開発・利用における個人データ保護ガイドライン(草案)」を公表し、基本的な立場を明確にしました。
AIを利用する企業 = データコントローラーとしてPDPAの全義務を負う
ChatGPT等の生成AIに顧客情報や従業員情報を入力している場合、その企業はAIに「個人データを処理させている」コントローラーとして位置づけられます。「AIがやったことだから…」という言い訳は通用しません。
AIベンダーの位置づけ
AIベンダーは原則として「データプロセッサー」ですが、顧客データを独自目的(モデルの再学習・訓練等)に利用する場合は「コントローラー」に転化し得ます。契約上、AIベンダーが顧客データをどう扱うかを明確にするDPA(データ処理契約)の整備が必須です。
タイのAI規制の全体像については、タイAI規制フレームワーク2026の解説記事もあわせてご覧ください。
越境データ移転 — 日本本社へのデータ送信は大丈夫?
PDPAの越境移転ルール
PDPAは、タイ国外への個人データ移転について原則的な制限を設けています。移転先の国が「十分な保護水準」を備えていることが必要で、その基準はPDPCが設定します。
現時点(2026年3月)で、PDPCは正式な「十分性認定国リスト」を公表していません。 日本が認定されるかどうかも確定していない状態です。
実務的な対応策
現実的な対応として、次の3つが考えられます。
- SCC(標準契約条項)の締結:送信元・送信先の間でPDPC認定の条項を含む契約を結ぶ方法。最も実務的。
- BCR(拘束的企業準則):グループ会社間のデータ移転に適した内部規則。承認手続きが複雑。
- 明示的同意:データ主体(本人)から明示的な同意を得る方法。毎回取得が必要で大規模には不向き。
日系企業が気づいていないリスク
多くの日系企業が見落としているのが、従業員データの日本本社への送信です。給与データ・人事評価・勤怠情報などを本社の人事システムで一元管理している場合、これもPDPAの越境移転規制の対象となります。SCCの締結など、法的根拠の確保が必要です。
eコマース事業者の顧客データ管理については、タイde minimis廃止とEC事業への影響も参照してください。
日系企業が今やるべき7つのこと
① プライバシーノーティスの作成・公開
顧客向け・従業員向けそれぞれに、「どのデータを・なぜ・どのような法的根拠で・どこに移転するか」を明記したプライバシーノーティスを作成し、ウェブサイトやアプリに掲載します。タイ語版の作成も検討が必要です。
② ROPA(処理活動記録)の作成
ROPA(Records of Processing Activities)は、自社がどのような個人データを・なぜ・どのように処理しているかを文書化したものです。PDPAは大規模な処理を行う組織にROPAの作成・維持を義務づけています。内部統制の基盤としても有効です。
③ DPO(データ保護責任者)の設置要否を確認
次のいずれかに該当する場合、DPOの設置が義務となります(PDPA Section 41)。
- 大規模な個人データを継続的に処理する場合
- センシティブデータを大規模に処理する場合
- 個人の行動を系統的に監視する場合
外部委託によるDPOも可能です。ただし、独立性の確保とPDPCへの届出が必要です。
④ データ漏洩対応計画(インシデントレスポンスプラン)の策定
PDPAは、データ漏洩を把握した場合の72時間以内のPDPC通知を義務づけています(PDPA Section 37(4))。「発見から72時間以内に誰が何をするか」を事前に文書化しておかなければ、漏洩発生時に間に合いません。
⑤ AIツール利用のPDPA影響評価
ChatGPT、Microsoft Copilot、CRM自動化ツールなど、業務で使用しているAIツールにPDPAの観点からリスク評価を行います。顧客の個人情報・従業員情報をAIに入力していないか、AIベンダーとのDPAを締結しているかを確認します。
⑥ データ処理契約(DPA)の整備
IT委託先、クラウドサービス、給与計算会社、物流会社など、個人データを処理させているすべての委託先とDPAを締結します。前述の罰金事例では、DPAなしに委託していた組織が制裁を受けています。
⑦ 越境データ移転の法的根拠の確保
日本本社へのデータ送信(従業員情報・顧客情報・営業データ等)について、SCC等の法的根拠を整備します。既存の業務フローを棚卸しし、どのデータがどこに流れているかをマッピングすることから始めると良いでしょう。
よくある質問
Q:従業員20名の小規模な会社でも、PDPAは適用されますか?
はい、適用されます。PDPAには日本の個人情報保護法(5,000件未満の除外規定)のような規模要件はなく、個人データを取り扱うすべての事業者が対象です。
Q:日本の個人情報保護法に対応していれば、PDPAも大丈夫ですか?
いいえ。PDPAはGDPRに近い設計であり、日本法より厳格な要件が複数あります。特に「DPO設置義務」「72時間漏洩通知」「法的根拠の明示(同意だけでなく6つの根拠から選択)」は、日本法にはない(または日本法より厳しい)要件です。
Q:DPOは社外の人間に委託できますか?
委託可能です。外部のコンプライアンス専門家や法律事務所が担う形態も許容されています。ただし、DPOが独立した立場でデータ保護業務を遂行できる体制と、PDPCへの届出が必要です。
Q:タイの現地法人データを日本本社で管理していますが、問題ですか?
越境データ移転に該当します。2026年3月現在、PDPCは十分性認定国リストを公表していないため、SCC(標準契約条項)の締結など代替手段による法的根拠の確保が必要です。
Q:PDPAの罰金は行政罰の500万バーツだけですか?
いいえ。行政罰(最大500万バーツ)に加え、刑事罰(最大100万バーツの罰金および/または1年以下の懲役)、民事賠償(実損害の最大2倍の懲罰的賠償)、さらに集団訴訟のリスクもあります。複数の責任が重なる可能性があります。
まとめ:「様子見」の時代は終わった
PDPCは2024〜2025年の一連の大型罰金事例と、Eagle Eye Crawlerによる能動的監視によって、明確なメッセージを発しています——「対応していない組織は摘発対象になる」と。
日系企業にとって特に急ぎの対応が必要なのは、①プライバシーノーティスの公開、②ROPAの整備、③データ漏洩対応計画(72時間ルール)、④越境データ移転の法的根拠確保、の4点です。全項目を一度に整備するのが難しければ、リスクの高いものから優先的に取り組むことが重要です。
タイPDPAへの対応、プライバシーノーティスの作成、DPO設置の要否確認、越境データ移転の法的整備、AIツール利用のPDPA影響評価など、日本法・タイ法の両面からアドバイスいたします。お気軽にお問い合わせください。
本記事はタイの法制度に関する一般的な情報提供を目的としており、タイ法に基づく法的助言を構成するものではありません。具体的な案件については、タイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。