2026年4月21日、Money 20/20 Asia 2026において、タイ中央銀行(BOT)のアシスタント・ガバナー Daranee Saeju 氏が「データ共有フレームワーク」の本格始動方針を公に強調しました。これは、BOTが2025年10月30日に公布した新規則を受けた実務運用宣言であり、2026年末から個人預金口座データの共有が解禁され、2027〜2028年に保険・税務・公共料金データへと段階的に拡張されるロードマップが確定したことを意味します。タイ版オープンバンキングはここから本格化するフェーズに入り、日系の金融機関・FinTech・非金融事業会社のいずれも、自社が規制対象かどうかを整理しなおす時期に来ました。
本記事では、①規則の全体像、②2026〜2028年のロードマップ、③日本の改正銀行法・金融サービス仲介業との比較、④タイPDPAとの交差、⑤日系企業の類型別アクションを、日本の弁護士の視点から整理します。BOTによる一連の金融規制強化の流れ(現金引出の高リスク取引指定等)とあわせて押さえておきたい論点です。
規則の基本構造 ― 何が、いつから、どこまで
根拠と対象事業者
根拠となるのは、BOTが2025年10月30日に公布した「Regulation on the Supervision of Mechanisms Enabling Consumers and Businesses to Exercise Their Right to Share Data」です。BOTはこの規則を2025年11月10日のプレスリリースで正式に発表しました。
法的な位置付けとしては、タイ中央銀行法 B.E. 2485 と金融機関事業法 B.E. 2551(Financial Institutions Business Act)、および決済システム法 B.E. 2560(Payment Systems Act)に基づくBOTの監督権限を使った下位規則です。対象事業者は、BOT監督下にある金融サービス事業者、すなわち預金取扱機関、ローン事業者、e-Money事業者、クレジットカード事業者、決済事業者などが広く含まれます。
対象データの4カテゴリ
規則が想定する共有対象データは、BOTのOpen Dataポータルを踏まえると概ね以下の4カテゴリに整理されます。
- 預金口座情報(account data)
- ローン情報(loan data)
- 決済データ(accounts・e-Money・クレジットカード)
- 金融ステータス・消費行動指標(financial status / spending behaviour indicators)
規則は単なる「事業者間連携の推進」ではなく、消費者・事業者(データ主体)の権利としてデータを共有できる仕組みを事業者に整備させる構造です。ここがEUのPSD2や英国Open Bankingと同じ「権利アプローチ」を取っている点で、日本の電代業制度(後述)とは発想が異なります。
事業者に課される4つの義務
規則は対象事業者に対し、概ね次の義務を課しています。
- 堅牢なリスク管理・データセキュリティ ― 共有チャネルの認証・暗号化・アクセス制御
- 消費者保護 ― 同意の取得・撤回プロセスの透明性、不正利用への対応
- 標準化されたデジタル共有チャネルの提供 ― 相互運用性を担保するAPI標準
- 条件・手数料の合理性 ― データ共有を実質的に妨げない料金設計
公式ロードマップ
BOT公式発表で確定している段取りは以下のとおりです。
| 時期 | マイルストーン |
|---|---|
| 2025年10月30日 | 規則公布 |
| 2025年11月10日 | BOT公式プレスリリース |
| 2026年末 | 第1フェーズ開始:個人預金口座情報の共有解禁 |
| 2027〜2028年 | 段階的拡張:ローン・決済・保険・税務・公共料金データ等 |
2026年4月21日発言の意味 ― 「Data Island」問題
Nation Thailand 2026年4月21日付記事によると、Daranee Saeju Assistant Governor はMoney 20/20 Asia 2026で次のような課題認識を示しました。
「Data Island」とは何か
タイではデジタル決済の普及率は非常に高いにもかかわらず、データが金融機関・サービスごとに分断されているため、デジタル活動が活発な個人でも与信判断の場面では「金融的に不可視(financially invisible)」になってしまう ― この状態を「Data Island」と呼んでいます。これは、取引履歴が金融機関のサイロに閉じ込められ、消費者が自らの意思で別の事業者に持ち出せない状況を指しています。
2つのギャップ
発言では、Data Islandが次の2つのギャップを生んでいると整理されました。
- インクルージョン・ギャップ:与信履歴がポータブルでないため、取引実績のある個人・中小企業でも金融アクセスが得られない
- セイフティ・ギャップ:データが分断されているため、AI主導の詐欺の検知・防止が遅れる
原則とイニシアチブ
発言の基調は「Data belongs to the people ― データは人々に属する」という原則です。具体的な推進イニシアチブとして、同意ベースの国家標準を整える「Your Data プログラム」と、検証済みの取引履歴が紙の書類に代替する「Digital Loan Document」構想が挙げられました。
タイPDPAとの接続 ― データポータビリティ権の金融分野での具体化
PDPA第31条との関係
BOTデータ共有規則は、個人データ保護法 PDPA B.E. 2562 第31条が定めるデータポータビリティ権(構造化・機械可読な形式で個人データの受領または他管理者への移転を求める権利)の金融分野における具体化と位置付けられます。PDPAが横断的権利を定め、BOT規則が金融分野の共有インフラを整える、という二層構造です。
同意要件の厳格さ
PDPA第19条が要求する同意は、**明示的(explicit)・特定的(specific)・十分情報に基づく(informed)・自由意思(freely given)**の4要件を満たす必要があります。日本の個人情報保護法が基本的に「本人の同意」を要件としつつ、黙示の同意やオプトアウト方式で足りる場面を相当程度許容しているのに対し、タイPDPAの同意UIは日本より一段厳格な設計が要求されます。本社のグローバル同意設計をそのまま持ち込むと違反リスクが顕在化しやすい領域です。
センシティブデータ該当性と越境移転
金融ステータスや与信に関するデータの一部は、PDPA第26条のセンシティブな個人データに該当する可能性があり、より厳格な同意が求められる場面があります。また、日本本社への共有など越境移転が絡む場合は、第28〜29条の追加要件(十分性認定・標準契約条項・拘束的企業準則等)を別途検討する必要があります。タイPDPAとPDPCの下位規則・金融分野ガイドラインは今後も整備が続く見込みなので、継続ウォッチが必要です。
日本法との比較 ― 何が違うか
制度の重心の違い
日本では2017年改正銀行法により電子決済等代行業(電代業)が制度化され、2020年成立・2021年施行の「金融サービス仲介業」により、銀行・証券・保険をまたぐ仲介モデルが整備されました。日本の金融庁による制度設計は、参加事業者側(仲介業者・電代業者)の登録制を中心に据えた「事業者側規制」の色彩が強いのが特徴です。
これに対しタイのBOTデータ共有規則は、PDPAのデータポータビリティ権を起点に、「データ主体の権利」を保障する仕組みとして事業者に義務を課す構造になっています。同じ「オープンバンキング」でも、日本は「誰が参加できるか」を整える制度、タイは「誰がデータを動かせるか」を整える制度、というアプローチの違いがあります。
日本個情法との比較
日本の個人情報保護法にはデータポータビリティ権の明文規定がなく、開示請求権・利用停止請求権等で代替されています。PDPA第31条が明示的にポータビリティ権を規定しているタイの方が、この一点では「データ主体視点の制度」として先行しています。
日系企業への示唆
日本の電代業で培ったコンプライアンスノウハウ ― API接続ガイドライン、同意管理、不正対策 ― の多くはタイでも下地として使えます。一方で、同意取得UIの厳格化・ポータビリティ権行使窓口の整備・越境移転ガバナンスの強化は、日本基準では不十分になりやすい領域です。日本本社と同じ設計でタイに展開するとPDPA違反リスクを抱え込みやすい点に注意が必要です。
日系企業への影響マトリクス
① 日系金融機関(商業銀行・証券会社・保険会社のタイ現法)
BOT監督下の事業者として、データ共有規則の直接の対象になります。2026年末までに共有機構(API基盤・同意管理・データ標準化)を整備し、既存のコアバンキングシステムの改修、API Gatewayと同意管理プラットフォームの導入が現実的な論点になります。PDPAとの整合(プライバシーノーティス・同意取得UI・DPIA)は並走で整備する必要があります。日本本社との与信モデル連携・マーケティング利活用を予定している場合、越境移転スキームの設計は早期着手が安全です。
② 日系FinTech・アグリゲーター・PFM事業者
現時点では、BOT規則は主としてデータ保持者側(規制対象事業者)の義務を定めています。アグリゲーター・パーソナル・ファイナンシャル・マネジメント(PFM)など、データ受領側の参入要件は、続く下位ガイドライン・ライセンス制度の公表を待つ必要があります。事業計画の柱に据える場合は、規制動向のモニタリング体制を構築しておきたいところです。
③ 非金融の日系事業会社(製造業・小売業・商社のタイ現法)
直接の規制対象ではありませんが、従業員の給与データ・取引先の決済データを介して間接的に関連してきます。将来的には、従業員の給与受取データを外部提供して福利厚生ローン・保険を便益化する、といったユースケースも想定されます。現地法人のデータ管理ポリシーをPDPAに沿って更新し、オープンバンキング拡張に備えた棚卸しをしておくと、後続の意思決定が楽になります。
④ 日系SaaS・HR Tech・FinTech(B2Bデータ連携サービス提供者)
タイ展開時には、BOT規則のAPI規格・データ標準との整合が前提になります。日本で整備したAPI連携基盤をタイ向けに再設計する必要が出てくる可能性が高く、タイのAPI標準が確定する前の段階でアーキテクチャに柔軟性を確保しておくと手戻りが減ります。
今から準備すべきアクション
日系企業の管理部門・法務部門・DX推進部門が着手しておきたい6つのアクションを挙げます。
- 対象事業者該当性の確認 ― 自社または現地法人がBOT監督下のどの類型(預金取扱・ローン・e-Money・クレジット・決済)に該当するかを整理
- 既存データ管理体制の棚卸し ― PDPA対応の現状を踏まえ、個人データのフロー図(データマッピング)を更新
- 同意取得UI/UXの再設計 ― PDPAの明示性・特定性要件に沿った同意フローに改修(日本本社のUIをそのまま流用しない)
- API Gateway・同意管理プラットフォームの検討 ― 標準化されたデジタル共有チャネルの実装案を作成
- 本社との越境移転スキームの見直し ― 日本本社への共有がPDPA第28〜29条の要件を満たすか再評価
- 下位ガイドライン・ライセンス制度の継続ウォッチ ― BOT・PDPC・SECから順次公表される下位規則・Q&Aの収集体制を設計
国際動向の中のタイ
世界的には、EUのPSD2(決済サービス指令)、英国Open Banking、オーストラリアConsumer Data Right(CDR)、シンガポールSGFinDex、そして日本の銀行APIと、オープンファイナンスの潮流はすでに一定の成熟段階に達しています。タイはASEAN内でシンガポール・香港に次ぐデジタル金融先進地を目指しており、今回のデータ共有規則はその象徴的な一歩と位置付けられます。FATFやバーゼル銀行監督委員会が示しているAML・AI詐欺対策の文脈でも、データ共有は検知力向上に資する基盤です。
BOTは「Your Data」プロジェクトを通じて、金融データだけでなく税務データ・公共料金データ(電気・水道)までをスコープに含める構想を示しており、中長期では金融分野を越えた包括的なデータポータビリティ基盤へと発展する可能性があります。電子取引法・デジタル資産規制の全体像やタイAI規制フレームワークとの接続も意識しながら、制度設計の進展をフォローする価値が高い領域です。
実務上のまとめ
- BOTデータ共有規則は、2025年10月30日公布・2026年末から個人預金データで始動・2027〜2028年に拡張という3フェーズ構造
- 日本の電代業が「事業者側規制」であるのに対し、タイはPDPAのデータポータビリティ権を基礎にした「データ主体の権利アプローチ」
- 同意要件はタイの方が一段厳しく、本社のグローバル同意設計をそのまま持ち込むとリスク
- 日系金融機関は2026年末を見据えた基盤整備、FinTechは下位ガイドラインの継続ウォッチ、非金融事業会社はPDPAベースの棚卸しから着手するのが現実的
下位ガイドライン・API標準・ライセンス制度の詳細は、BOT・PDPC・SEC・OICから順次公表される見込みです。実務運用は今後の通知・Q&Aで明確化される局面が続くため、本記事の内容も継続的にアップデートが必要です。
お問い合わせ
タイのオープンバンキング・データ共有規制への対応、PDPAとの整合設計、金融サービス事業者としての参入設計、越境データ移転スキーム構築について、日本法・タイ法の両面からアドバイスいたします。提携先JTJB International Lawyersのタイ人弁護士と連携して対応しております。お気軽にお問い合わせください。
関連記事
- 【4月1日施行】タイBOT、500万バーツ超の現金引出を高リスク取引に
- タイPDPA実務ガイド2026
- タイでAIを使う企業は要注意|2026年最新のAI規制フレームワーク
- タイのデジタル法シリーズ第6回 ― 電子取引法・デジタル資産規制
本記事は2026年4月時点の公開情報に基づく一般的な情報提供を目的としたものであり、個別の法的助言を構成するものではありません。BOTデータ共有規則の解釈・運用・下位ガイドラインは変動し得ます。具体的な案件については、タイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。