タイの個人情報保護法を弁護士が解説

タイ王国（以下、タイ）においてビジネス展開を検討している、あるいは既に進出している日本企業の経営者および法務担当者にとって、現地におけるデータプライバシー規制への対応は、企業の存続を左右しかねない極めて重要な経営課題です。タイの「個人情報保護法」（Personal Data Protection Act、以下「PDPA」）は、2022年6月1日に全面施行された包括的な法律であり、個人データの収集、利用、および開示を厳しく規制しています。本法律は欧州連合（EU）の一般データ保護規則（GDPR）に類似した構造を持ち、タイ国内で個人情報を取り扱うすべての事業者に適用されます。

さらに、タイ国外からタイ国内のデータ主体の情報を取り扱う場合にも適用される「域外適用」の規定が存在するため、日本国内からタイの消費者に向けてウェブサービスや電子商取引を展開する企業であっても対象となり得ます。PDPAは原則として個人情報の取り扱いにおいてデータ主体からの事前の同意（Consent）を要求し、利用目的の明確な通知や厳格な安全管理措置を義務付けています。また、データ主体（本人）に対しては、自身のデータに対するアクセス権、消去権、同意の撤回権などの強力な権利を認めています。

特に、日本企業が警戒すべきは違反時の峻烈な罰則体系です。最大500万バーツの行政罰に加え、最大1年の禁錮刑を含む刑事罰、さらには実損害の最大2倍までの賠償を命じる懲罰的損害賠償といった民事責任が存在します。法人の違反に伴い、取締役や経営管理者が個人的な刑事責任を問われる可能性もあるため、経営トップにとっても迅速かつ確実な対応が求められます。加えて、人種、宗教、健康データなどのセンシティブ情報については、通常の個人情報よりも一層厳格な取り扱いが要求されています。タイ市場で活動する事業者は、データ収集目的の明確化、実態に即したプライバシーポリシーの整備、そして高度なセキュリティ対策の強化が必須となります。

本記事では、タイのPDPAの全体像について、日本の個人情報保護法（以下「APPI」）との重要な異同を交えながら詳細に解説します。記事全体の要点は以下の通りです。

第一に、域外適用の枠組みにより、タイ国内に物理的な拠点がなくとも日本企業が直接的な規制対象となるリスクが存在します。

第二に、個人情報の取得にあたっては日本の法律以上に明示的な同意取得が重視され、特にセンシティブ情報には極めて厳格な適法性要件が課されます。

第三に、一定の基準を満たす企業にはデータ保護責任者（DPO）の選任が法的に義務付けられており、社内体制の整備が急務となります。

第四に、国境を越えるデータ移転（越境移転）に関しては、現時点で要件を満たすための実務的なハードルが高く、標準契約条項などの個別の契約対応等が必要です。

第五に、制裁金や懲罰的損害賠償、取締役の個人責任など、日本法とは根本的に異なる重い罰則体系が存在し、訴訟リスクが飛躍的に高まっています。最後に、2024年のセンシティブ情報に関する刑事裁判例や、2025年に規制当局が科した高額な制裁金事例から読み取れる最新の法執行のトレンドを分析します。

これらを通じて、タイ市場における安全で持続可能な事業運営のための法的対応策の全体像を提示します。

タイの個人情報保護法の全体像と適用範囲

全面施行の背景と国家戦略

タイの「個人情報保護法」（PDPA）は、急速なデジタル化とデータ駆動型経済の進展に伴い、個人のプライバシーの権利を保護し、同時にデータの国際的な流通におけるタイの信頼性を向上させることを目的として制定されました。2019年5月28日に官報で公布された後、新型コロナウイルスの世界的流行や実務界の準備不足を考慮して複数回にわたり主要規定の施行が延期されましたが、2022年6月1日をもって全面施行に至りました。この法律は、タイ王国憲法第26条に基づく基本的人権の制限と保護のバランスを規定したものであり、国民の権利保護に強い主眼が置かれています。

全面施行後、タイの規制当局である個人情報保護委員会（PDPC）は、法執行の強化と法規制の明確化に注力しています。2024年4月には、2024年から2027年までの「個人データ保護の促進および保護に関するマスタープラン」が公式に発表されました。このマスタープランでは、効果的でバランスの取れたPDPA執行、知識と信頼の向上、デジタル経済と社会の推進、研究開発と技術導入という4つの戦略的イニシアチブが掲げられています。この計画は、当初は教育的指導を中心としていた当局のアプローチが、重大な違反に対しては厳格に処罰を下す積極的な法執行の段階へと移行していることを明白に示しています。

このマスタープランに関する詳細な分析は、Tilleke & Gibbins法律事務所の公式ウェブサイトで確認することができます。

参考：Tilleke & Gibbins公式ウェブサイト

域外適用の枠組みと日本企業への影響

タイPDPAの適用範囲を検討する上で、日本企業が最も警戒すべきは第5条に規定される「域外適用」の枠組みです。PDPAは、タイ国内に拠点を持たない外国のデータ管理者およびデータ処理者であっても、一定の条件を満たす場合には法律の適用対象となる旨を明記しています。具体的には、タイ国外に所在する事業者が、タイ国内に所在するデータ主体（個人）の個人情報を収集、利用、または開示する場合において、以下のいずれかの活動を行っている場合に域外適用の対象となります。

第一に、タイ国内のデータ主体に対して商品またはサービスを提供している場合です。これは決済を伴う有償の取引に限らず、無償のサービス提供であっても該当します。第二に、タイ国内におけるデータ主体の行動を監視（モニタリング）している場合です。例えば、日本企業が運営する越境ECサイトがタイ語での表示やタイバーツでの決済に対応してタイの消費者に商品を販売している場合や、日本のデジタルマーケティング企業がタイのインターネットユーザーの行動履歴をクッキー等を用いて追跡し、ターゲティング広告を配信しているようなケースがこれに当たります。

日本のAPPIにおいても、第171条において外国にある個人情報取扱事業者に対する域外適用の規定が存在します。APPIは、日本国内にある者に対して物品または役務を提供するに関連して個人情報を取り扱う場合に適用されます。タイPDPAのアプローチはこれと非常に似ていますが、行動の監視を独立した要件として明記している点はGDPRの規定に強く影響を受けたものであり、インターネット上のトラッキング活動に対する規制の網が日本法以上に広く及ぶ可能性があることに留意が必要です。

タイにおける個人情報の取り扱い原則と同意要件

同意取得の原則とプライバシーポリシーの整備

タイPDPAの下では、個人情報の取り扱いにおいて適法な根拠が存在することが極めて重要です。PDPA第19条および第24条は、契約の履行、法的義務の遵守、正当な利益、生命の保護、公衆の利益などの適法な根拠に基づく場合を除き、原則としてデータ主体からの事前の同意を取得することを義務付けています。日本企業が特に注意すべきは、タイPDPAが要求する同意の質と形式です。日本のAPPIでは、個人情報を取得する際に利用目的を通知または公表し、その目的の範囲内で利用することが求められますが、要配慮個人情報や第三者提供などの例外を除き、必ずしも本人の明示的な同意を取得することまでは要求されないケースが多く存在します。

一方、タイPDPAにおける同意は、明示的であり、理解しやすい言語で書かれ、他の利用規約等の条件と明確に区別された形式で取得されなければなりません。また、データ主体はいつでも容易に同意を撤回できる権利を有しており、企業は同意の撤回方法をあらかじめ通知し、これをシステム上の仕組みとして提供する義務を負います。したがって、タイ市場向けに事業を展開する事業者は、収集目的を極めて明確にしたプライバシーポリシーを整備するだけでなく、ウェブサイト上でクッキーバナーなどを通じた粒度の細かい同意管理プラットフォームを導入し、同意の記録をログとして正確に保持することが不可欠となります。

センシティブ情報（機微情報）の厳格な規制

タイPDPA第26条では、個人の権利や自由に重大なリスクをもたらす可能性のある特定の個人データを「センシティブ情報」として定義し、一般的な個人情報よりもはるかに厳格な取り扱いを求めています。センシティブ情報には、人種、民族、政治的意見、カルト的宗教や哲学的な信念、性的指向、犯罪歴、健康データ、障害、労働組合に関する情報、遺伝情報、および生体情報などが含まれます。日本のAPPIにも要配慮個人情報という類似の概念があり、人種、信条、社会的身分、病歴、犯罪の経歴などがこれに該当し、原則として事前の同意なく取得することが禁止されています。両国の法規制は似たアプローチを採用していますが、タイPDPAの方が対象となるデータの範囲が広く規定されている傾向があります。

また、タイでは医療機関や金融機関のみならず、従業員の健康診断結果を管理する人事部門や生体認証打刻システムを利用する一般企業であっても、センシティブ情報を日常的に取り扱うことになります。これらのデータを処理するためには、PDPA第26条に規定された極めて限定的な例外要件に該当しない限り、データ主体からの明示的な同意の取得が絶対的な必須条件となります。なお、犯罪歴データの取り扱いに関しては、2024年4月に新たな下位規則が施行され、適切な組織的、技術的、物理的な安全管理措置を講じることが義務付けられました。

タイにおけるデータ主体の権利と企業の対応義務

データ主体の権利行使への対応

タイPDPAは、個人情報に対するデータ主体のコントロール権を保障するため、GDPRに類似した強力な権利を付与しています。PDPA第30条等により、データ主体は自らの個人情報へのアクセス権、コピーの提供を求める権利、不正確なデータの訂正権、データの消去や破棄を求める忘れられる権利、処理の制限を要求する権利、個人データのポータビリティ権、そして自動化された意思決定やプロファイリングに対する異議申立権を有しています。

企業は、データ主体からこれらの権利行使の要求を受けた場合、原則として30日以内にこれに応じる法的な義務を負います。日本のAPPIにおいても、保有個人データの開示、訂正、利用停止等の請求権が認められていますが、タイPDPAで認められているデータポータビリティ権、すなわち自動化された手段で読み取り可能な形式でデータを受け取り、他のデータ管理者に直接移行させるよう要求する権利は、現在の日本のAPPIには明示的に規定されていない強力な権利です。システム設計の段階から、こうしたデータ抽出の要求に迅速かつ安全に応じられるアーキテクチャを構築しておくことが、実務上の大きな課題となります。

データ保護責任者（DPO）の選任要件

企業のコンプライアンス体制を構築する上で、データ保護責任者（DPO）の選任に関する規制は極めて重要です。タイPDPA第41条は、特定の条件を満たすデータ管理者およびデータ処理者に対して、DPOの任命を法的に義務付けています。タイのPDPCが発行し、2023年12月に施行された下位規則によれば、以下の要件を満たす場合にDPOの選任が必須となります。すなわち、事業者の「中核的な活動」が個人情報の処理に関わるものであり、かつ、それが「大規模」に個人情報を保有する理由により「定期的な監視」を必要とする場合です。

定期的な監視とは、データ主体の行動、態度、特性などを追跡、監視、分析、またはプロファイリングする活動を指し、行動ターゲティング広告、信用スコアリングによるリスク評価、通信事業者によるデータ収集などが典型例として挙げられています。また、大規模の定義については、10万人以上のデータ主体の情報を処理する活動や、生命保険会社、金融機関、通信事業者によって行われるデータ処理活動などが該当すると明示されています。

日本のAPPIでは、個人情報保護管理者などの責任者を選任することは実務上のベストプラクティスおよびガイドライン上の要請として強く推奨されていますが、法令上、DPOの設置そのものを義務付ける明文規定はありません。これに対し、タイPDPAでは法定の義務であり、DPOの氏名や連絡先をデータ主体およびPDPCに届け出る必要があるため、組織体制の構築において日本法以上の厳格な対応が求められます。

以下の表は、日本とタイにおけるDPO選任要件の主な違いを整理したものです。

タイの国境を越えるデータ移転（越境移転）規制

グローバルに事業を展開する日本企業にとって、タイの現地法人や支店、あるいはタイ国内の顧客から日本の本社やクラウドサーバーへ個人データを転送する業務は日常的に発生します。タイPDPAの第28条および第29条は、こうした国境を越えるデータ移転に対する厳格な制限を設けています。

第28条および第29条の枠組みと日本法との違い

タイPDPA第28条の基本原則によれば、個人データを国外へ移転する場合、その移転先国または国際機関が十分な個人データ保護水準を有している必要があります。これはGDPRの十分性認定に相当する制度です。しかし、タイPDPCは十分な保護水準を有する国のリスト（ホワイトリスト）の評価基準を公表したものの、現時点において具体的にホワイトリストとして指定された国や地域は存在しません。したがって、実務上は第28条の原則を満たすことが難しく、第29条に基づく例外措置やその他の適法な根拠に依存せざるを得ない状況が続いています。

第29条に基づく対応策として、グループ企業内でのデータ移転を行うための拘束的企業準則（BCRs）を策定し、PDPCの承認を得る方法があります。また、BCRsが存在しない場合でも、データ主体の権利を実効的に行使でき、法的救済措置を含む適切な保護措置を提供することによって移転が認められます。実務上は、GDPRにおける標準契約条項（SCCs）に相当するデータ移転契約を当事者間で締結する手法が一般的に用いられます。

一方、日本のAPPI第28条では、本人の事前の同意を得る方法のほか、移転先国が日本の個人情報保護委員会によって個人の権利利益を保護する上で日本と同等の水準にあると認められる外国（EUや英国など）として指定されている場合、あるいは、移転先の事業者が適切かつ合理的な方法によりAPPIの趣旨に沿った措置を実施している場合に越境移転が許容されます。日本企業がタイのデータを日本へ移転させる際には、APPIの要件を満たすだけでは不足であり、タイPDPAの要件を独立して満たす法的枠組みを構築しなければなりません。

タイの罰則規定と日本法との重大な相違点

タイPDPAと日本のAPPIを比較した際、企業経営において最も深刻なリスクをもたらすのが、制裁および罰則の構造における根本的な違いです。PDPAは、法規制の実効性を担保するために、行政罰、刑事罰、および民事責任という三重のペナルティ制度を設けています。

行政罰および刑事罰の存在と取締役の個人責任

PDPA第82条から第90条に基づく行政罰として、最大500万バーツの過怠金が科される可能性があります。罰金の額は違反の性質により異なり、例えば適切な同意を取得せずに個人データを収集した場合やDPOを選任しなかった場合は最大100万バーツ、適法な根拠なく個人データを利用・開示た場合は最大300万バーツ、センシティブ情報を不法に収集・移転した場合は最大500万バーツが科されます。さらに重大な点として、センシティブ情報の不適切な取り扱いや、不当な利益を得る目的でのデータの不正開示など、特定の悪質な違反行為に対しては刑事罰が科されます。PDPA第79条および第80条は、最大1年の禁錮刑または最大100万バーツの罰金、あるいはその両方を規定しています。

ここで日本企業が最大限に警戒すべき規定が、PDPA第81条に基づく取締役の個人責任です。法人がPDPA違反を犯した場合において、その違反が取締役、経営管理者、または法人の業務に対して責任を負う人物の指示や作為、あるいは義務を負っていたにもかかわらず指示を行わなかった不作為に起因して発生したと認められる場合、その個人の役員等も法人と同様の刑事処罰を受けることになります。日本のAPPIにおいても法人に対する罰金刑や行為者に対する刑事罰が存在しますが、タイPDPAでは法令上に経営者個人の責任を直接的に問う規定が明文化されており、現地子会社の代表を務める日本人駐在員が突如としてタイの刑事手続きの対象となるリスクが存在します。

民事責任における懲罰的損害賠償制度

もう一つの決定的な違いは、民事訴訟における懲罰的損害賠償の存在です。PDPA第52条をはじめとする民事責任規定において、データ管理者またはデータ処理者の違反によってデータ主体が損害を被った場合、過失の有無にかかわらず実際の損害を賠償する責任を負います。さらに、タイの裁判所は、事案の性質や違反の悪質性を考慮し、実際の損害額の最大2倍までの金額を懲罰的損害賠償として上乗せして支払うよう命じる裁量権を有しています。

この制度は、日本の民法および不法行為法における損害賠償の基本原則と決定的に矛盾する概念です。日本の法律では、損害賠償の目的はあくまで被害者が被った現実の損害の補填に限定されており、加害者に対する制裁を目的とする懲罰的損害賠償は認められていません。日本国内の感覚で賠償額を低く見積もっていると、タイにおける訴訟において企業の財務に予測不可能な大打撃をもたらす事態に発展しかねません。

以下の表は、日本とタイのペナルティ制度の主要な違いを整理したものです。

タイにおける最新の執行実務と判例

タイにおけるPDPAの執行は、周知期間を経て本格的なフェーズへと突入しています。最近の裁判例や規制当局による執行事例を分析することは、実務上のコンプライアンス要件を理解する上で不可欠です。

センシティブ情報の取り扱いに関する刑事裁判例（2024年3月）

2024年3月、タイの刑事第一審裁判所において、センシティブ情報にあたる個人データの適法な処理根拠に関して、極めて重要な判決が下されました。この事件は、原告である個人が、データ管理者である保険会社とその代表者を相手取り刑事告訴したものです。発端は、保険会社が原告の明示的な同意を得ることなく、原告の血中アルコール濃度検査の結果および検査を受けている写真を収集、利用し、保険金請求の拒否理由の通知を目的として、保険契約者である原告の家族に対してその検査結果を開示したことでした。原告は、血中アルコール濃度の結果はPDPA第26条に基づくセンシティブ情報に該当し、同意のない開示により名誉毀損や差別的待遇を受けたとして、PDPAおよび刑法に基づく処罰を求めました。

保険会社側は、保険金請求が拒否された理由を保険契約者に説明する目的で当該情報を開示したと反論しました。裁判所は事実関係を審理した結果、このセンシティブ情報の処理は、PDPA第26条第4項に規定される法的請求権の防御のために不可欠なものであったと認定し、明示的な同意は不要であったとして原告の訴えを棄却する判決を下しました。この判決から、タイの司法実務において、センシティブ情報の処理にあたっては明示的な同意の取得が原則とされつつも、それが唯一の適法な根拠ではないということが言えるでしょう。企業は法的義務の履行や防御などの例外規定を戦略的に援用することが可能ですが、そのためには各データ処理の目的と適法な根拠を事前に明確化しておくことが求められます。

この裁判例に関する解説の詳細は、Tilleke & Gibbins法律事務所の公式ウェブサイトで確認することができます。

参考：Tilleke & Gibbins公式ウェブサイト

個人情報保護委員会による高額な制裁金事例（2025年8月）

一方、規制当局であるPDPCは、サイバーセキュリティの不備やデータ漏洩に対する行政指導を厳格化しています。2025年8月1日、PDPCは5つの独立した事件において、1つの政府機関および複数の民間企業に対し、合計8件の行政命令を下し、総額1450万バーツに上る過怠金の賦課を発表しました（関連する執行を含め、制裁金総額は2150万バーツに達するとも報告されています）。この中で最も象徴的な事例は、国民向けのウェブアプリケーションを提供する政府機関と、そのシステムの開発を担っていた民間IT企業に対するものです。このシステムはサイバー攻撃を受け、20万人を超えるデータ主体の個人情報がダークウェブ上で販売されるという大規模なデータ漏洩事故を引き起こしました。

PDPCの調査の結果、データ管理者である政府機関は、脆弱なパスワードの使用を放置するなど適切な安全管理措置を怠っていたこと、定期的なリスク評価を実施していなかったこと、そしてデータ処理者であるIT企業との間でデータ処理契約を締結していなかったことが判明しました。同時に、民間IT企業側も適切なアクセス制御やリスク評価を行っていなかったと認定されました。結果として、PDPCは双方に対してそれぞれ15万3120バーツの行政罰を科すとともに、30日以内のシステム改修を命じる行政命令を発出しました。

この執行事例から、PDPAの順守責任は組織の規模や官民の別を問わず平等に追及されること、そして、関係者間で適切なデータ処理契約を締結し、実効性のあるセキュリティ対策を講じていなければ、深刻な制裁の対象となるということが言えるでしょう。

まとめ

タイの個人情報保護法（PDPA）は、日本企業がグローバル展開を進める上で決して避けては通れない厳格な法的障壁であり、同時にコンプライアンス体制の真価が問われる試金石でもあります。本記事で詳細に解説した通り、PDPAは日本の個人情報保護法（APPI）と比較して、同意取得の原則、センシティブ情報の取り扱い、DPOの選任義務、越境データ移転の制限など、実務面においてより高いハードルを設けています。何より、違反時に企業に降りかかる最大500万バーツの行政罰、実損害の最大2倍に及ぶ懲罰的損害賠償、そして最大1年の禁錮刑や取締役の個人的な刑事責任を問う規定は、日本国内の法感覚では予測し難い重大な経営リスクをもたらします。

実際に、2024年に下されたセンシティブ情報の取り扱いに関する刑事裁判例や、2025年に個人情報保護委員会（PDPC）が政府機関および民間企業に対して下した総額2000万バーツ規模の高額な制裁金事例から、タイにおけるプライバシー保護の法執行が既に本格化しているということが言えるでしょう。事業者は、形式的な文書の作成に留まらず、データ収集目的の明確化、現地の法規制に完全に準拠したプライバシーポリシーの整備、セキュリティ対策の技術的・組織的な強化、そして有事における迅速な対応フローの構築を急がなければなりません。

こうした高度で複雑な法的課題に対して、モノリス法律事務所がサポートを行えます。現地の最新の法改正や規制当局のガイドライン動向を正確に把握し、日本の法律体系との違いを踏まえた上で、事業の実態に即したプライバシーポリシーの策定や社内体制の構築を支援いたします。また、タイ国内でのサービス展開に伴う域外適用リスクの評価、越境データ移転に必要な法的契約の整備、データ漏洩インシデント発生時の規制当局への対応や法的防衛策の立案など、あらゆる局面において皆様のビジネスを法的な側面からサポートいたします。タイ市場における安全かつ持続的な事業成長を実現するために、ぜひ当事務所のリーガルサポートをご活用ください。