タイの個人データ保護法(PDPA)は2022年6月の全面施行から約4年が経過し、2024年以降は執行が本格化しています。PDPCが実際に行政罰を発動した事例が積み重なり、2026年2月にはAI活用に関するガイドライン草案も公開されました。「プライバシーポリシーを掲載しておけば大丈夫」という認識は危険です。本稿では、PDPAの条文構造を整理したうえで、執行事例・AI連動・越境データ移転という三つの実務上の重要テーマを解説します。
PDPA条文構造の概説 — 全95条の構成
PDPA(Personal Data Protection Act B.E. 2562)は全95条から構成されます。
| 章 | 主な内容 |
|---|---|
| 第1章(総則) | 目的・定義・適用範囲 |
| 第2章(個人データの収集・利用・開示) | 収集の合法根拠、本人の権利、センシティブデータの特則 |
| 第3章(データ主体の権利) | アクセス権・訂正権・消去権・反対権・ポータビリティ権 |
| 第4章(データコントローラーの義務) | プライバシーノーティス・DPO・漏洩通知・委託先管理 |
| 第5章(越境データ移転) | 十分性認定・適切な保護措置 |
| 第6章(PDPC・専門委員会) | PDPCの組織・権限 |
| 第7章〜第8章(申立て・救済) | 苦情処理・行政不服申立て |
| 第9章(罰則) | 行政罰・刑事罰・民事責任 |
適用範囲(域外適用を含む)
Section 5が適用範囲を定めています。タイ国内で行われる個人データの収集・利用・開示に適用されるほか、タイ国外にいるデータコントローラー・データプロセッサーであっても、タイに所在するデータ主体に対してサービスを提供する場合や、タイ国内での行動を監視する場合には適用される(域外適用)点が重要です。日本本社がタイ子会社の従業員データを処理する場合も対象となりえます。
法的根拠(Lawful Basis)6つの条文上の位置付け
Section 24が個人データ処理の合法的根拠を定め、Section 26がセンシティブデータ(要配慮個人情報)の特則を規定しています。
6つの合法的根拠(Section 24)
| 根拠 | 具体例 |
|---|---|
| ① 同意(Consent) | マーケティングメール送信、クッキー設置 |
| ② 契約履行 | 雇用契約に基づく給与計算、購入契約に基づく配送 |
| ③ 法的義務の遵守 | 税務当局への法定報告、労働法上の記録保持 |
| ④ 生命・身体・健康の保護 | 医療緊急時のデータ共有 |
| ⑤ 公共の利益・公的権限 | 政府機関の統計調査 |
| ⑥ 正当な利益(Legitimate Interest) | 不正防止のためのログ記録、社内セキュリティ監視 |
実務上の注意点:同意への過度な依存を避ける
多くの企業が「すべてについて同意を取得すれば安全」と誤解しています。しかしPDPAの同意は「自由に与えられ、具体的で、知識に基づき、あいまいでない意思表示」(Section 19)でなければならず、雇用関係など力の不均衡がある場面では同意の有効性が問われます。契約履行・正当な利益など他の根拠を適切に活用することが実務上重要です。
センシティブデータ(Section 26)
民族・政治的意見・宗教・性的指向・健康情報・犯罪歴・生体情報(指紋・顔認証データ等)は「センシティブデータ」として原則として明示的な同意が必要です。セクション90の行政罰は最大500万バーツと、通常の個人データ違反より重く設定されています。
DPO設置義務(Section 41-42)
DPO(データ保護責任者)の設置が義務付けられる3条件
① 大規模なデータ処理を行うデータコントローラー・データプロセッサー ② センシティブデータ(Section 26所定)を中核的業務として処理する場合 ③ 公的機関(ただし裁判所を除く)
「大規模」の具体的な数値基準はPDPCが今後ガイドラインで示す予定です。現時点では、業務の性質として大量の個人データを継続的に処理する企業(EC・金融・医療・HR等)はDPOの選任を検討することが望ましいと考えられます。
DPOはSection 42に基づき独立性が保障されており、解任・不利益取扱いが禁止されています。日系企業では日本本社の個人情報保護管理者がDPOを兼務するケースも見られますが、タイPDPAのDPOはタイの規制環境に精通した人材が適切です。
データ漏洩通知義務(Section 37(4))— 72時間ルール
Section 37(4)は、データコントローラーに対してデータ漏洩(Personal Data Breach)を認知した場合、72時間以内にPDPCへ通知する義務を課しています。これはEUのGDPRと同じ「72時間ルール」です。
さらに、漏洩がデータ主体の権利・自由に高いリスクをもたらす可能性がある場合には、PDPCへの通知に加えてデータ主体本人への通知も遅滞なく行わなければなりません。
日本の個人情報保護法との比較
日本の改正個人情報保護法(2022年4月施行)では、「高リスク」の漏洩について72時間以内の速報義務(PPCへの報告)が課されています。タイPDPAの72時間ルールは日本法と概ね同等ですが、タイでは**すべての漏洩(軽微なものを含む)**について72時間以内の通知が必要とされる点で、日本より広い義務が課されると解釈される余地があります。
罰則体系 — 行政罰・刑事罰・民事責任
PDPAの罰則は三層構造です。
① 行政罰(Section 90-91)
| 違反類型 | 最大行政罰 |
|---|---|
| 合法根拠なしの個人データ収集・利用・開示 | 300万バーツ |
| センシティブデータの無許可処理 | 500万バーツ |
| データ主体の権利行使を妨害 | 300万バーツ |
| DPO未設置・漏洩通知義務違反等の手続き違反 | 100万バーツ |
行政罰はPDPCの決定によって科されます。GDPRの「2,000万ユーロまたは年間売上高4%のいずれか高い額」と比較すると上限額は低いですが、タイのビジネス環境では十分に重大な制裁です。
② 刑事罰(Section 79-80)
Section 79:センシティブデータを不正な利益目的で収集・利用・開示した場合→最大1年の懲役+最大100万バーツの罰金(またはその両方) Section 80:個人データを不正な利益目的で収集・利用・開示した場合→最大6か月の懲役+最大50万バーツの罰金(またはその両方)
法人も刑事責任を負う可能性があり(Section 82)、役員・管理職の個人責任も問われます。
③ 民事責任(Section 77-78)
Section 77:PDPAに違反してデータ主体に損害を与えた場合、実損害の賠償責任。 Section 78:故意・重過失による違反の場合、裁判所は実損害に加えて**懲罰的損害賠償(最大実損害の2倍)**を認めることができます。
2024〜2025年の執行事例と Eagle Eye Crawler
PDPCは2023〜2025年にかけて複数の調査・行政指導を実施しました。公表されている事例・報道ベースで確認できる傾向として、以下が挙げられます。
- 医療セクター:患者の健康情報(センシティブデータ)を適切な根拠なく第三者に提供したケース
- 小売・EC:クッキー同意バナーが機能せず、マーケティング目的でのトラッキングを行っていたケース
- 金融セクター:与信審査のための自動意思決定において、データ主体への説明が不十分だったケース
PDPC Eagle Eye Crawler
PDPCは「Eagle Eye Crawler」と呼ばれる自動監視ツールを導入し、タイ国内のウェブサイトがプライバシーポリシーを適切に掲載しているか、クッキー同意メカニズムが機能しているかを自動的にスキャンしています。このツールの法的根拠はSection 70(PDPCの調査権限)に基づくと解されています。
特に以下の点がチェックされていると考えられます。
- プライバシーポリシーの存在・アクセス可能性
- 収集するデータの種類・目的の明示
- データ主体の権利行使手段の案内
- クッキー同意バナーの適切な実装
AI×PDPAガイドライン草案(2026年2月17日公開)
PDPCは2026年2月17日、「AIシステムにおける個人データ処理に関するガイドライン草案」を公開しました。主なポイントは以下のとおりです。
自動意思決定(Section 39-40との連動)
Section 39:データ主体は、自己に重大な影響を及ぼす自動意思決定(プロファイリングを含む)に対して異議を申し立てる権利を有します。 Section 40:一定の場合にデータコントローラーは意思決定に用いた論理・基準についての説明義務を負います。
ガイドライン草案は、AIシステムを業務に導入する企業に対して以下を求めています。
- AI利用に関するプライバシーノーティスへの記載
- 自動意思決定を行う場合の本人通知
- AIベンダーとのデータ処理委託契約(DPA)の整備
- AIシステムのデータ最小化・目的限定の遵守
AIベンダーへの委託
クラウドAIサービス(ChatGPT API、Google Gemini等)を業務利用する場合、これらのベンダーは「データプロセッサー」に該当する可能性があります。Section 40に基づき、データコントローラーとデータプロセッサーの間で書面によるデータ処理委託契約(DPA)の締結が必要です。
越境データ移転(Section 28-29)のBCR/SCC
タイPDPAはEUのGDPRと同様、個人データの第三国(十分性認定を受けていない国)への移転に制限を課しています。
基本原則(Section 28):個人データを**「十分なデータ保護水準を有しない国・地域」に移転する場合**、データコントローラーは適切な保護措置を講じなければなりません。
PDPCによる十分性認定(Section 29):PDPCが一定の国・地域について「十分なデータ保護水準」を認定した場合は、追加措置なしに移転が可能です(2026年3月時点で日本は十分性認定を受けていません)。
適切な保護措置として以下が認められています。
- BCR(拘束的企業準則):グループ企業内のデータ移転に適した仕組み。PDPCへの届出が必要。
- SCC(標準契約条項):PDPCが承認した標準契約条項を使用することで移転が可能。
- 明示的同意:データ主体の明示的な同意(ただし大量・反復的な移転には不向き)
日本本社⇄タイ子会社間のデータ移転
日本本社がタイ子会社の従業員データや顧客データを管理・分析するケースは越境移転に該当します。BCRまたはSCCの整備が実務的な対応策として考えられます。
日本の個人情報保護法との比較
| 項目 | タイPDPA | 日本の個人情報保護法 |
|---|---|---|
| 処理の合法根拠 | 6つの法的根拠(Section 24)を明示 | 利用目的の特定・通知が中心(同意中心ではない) |
| センシティブデータ | 民族・宗教・性的指向・健康・生体情報等 | 要配慮個人情報(人種・信条・健康・犯罪歴等) |
| 漏洩通知 | 72時間以内にPDPC+本人(高リスク時) | 72時間速報義務(改正法2022年〜) |
| DPO | 一定規模以上で設置義務 | 個人情報保護管理者(義務ではなく推奨) |
| 域外適用 | あり(タイ人のデータを海外で処理する場合) | あり(改正法で強化) |
| 罰則上限 | 行政罰最大500万バーツ+刑事罰 | 行政罰(課徴金)+刑事罰最大1億円(法人) |
関連記事
次回予告
**第3回(2026年3月24日公開)**では、タイで準備が進むAI規制フレームワークについて、Draft AI Lawの条文構造、リスク分類(禁止AI・高リスクAI・限定リスクAI)、プロバイダー・デプロイヤーの義務をEU AI Actとの比較を交えながら詳しく解説します。
本記事はタイの法制度に関する一般的な情報提供を目的としており、タイ法に基づく法的助言を構成するものではありません。具体的な案件については、タイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。