タイが国家AI戦略に安全基盤を追加 ~NCSA、AIセキュリティガイドラインを発表し国際標準に準拠~

タイ、NCSAがAIセキュリティガイドラインを発表 ~国際標準準拠で安全なAI活用を推進~ AI
AI
PDPASecurity

2025年10月1日、タイ国家サイバーセキュリティ機関(NCSA)が「AIセキュリティガイドライン」を発表した。AI導入を促進してきたタイが、セキュリティ面でも制度を整備し、企業の安全なAI活用を支援する体制を構築した。

NCSAによるガイドライン発表の経緯

ガイドライン発表の背景には、タイの国家戦略と国際的な規制動向がある。タイは2022年に「国家AI戦略・行動計画(2022-2027)」を承認し、AI技術による経済成長を目指してきた。その一方で、AI利用に伴うリスクへの対応は後手に回っていた。

2025年に入り状況は変化した。タイ銀行(BOT)は9月12日に「金融サービス提供業者向けAIリスク管理ガイドライン」を発表し、医療分野でも保健省が5月19日に個人データ保護委員会と覚書を締結した。サイバー攻撃は公衆衛生セクターで過去3年間に300%以上増加し、セキュリティ対策が待ったなしの状況となっていた。

各セクターが独自にガイドラインを策定する動きが加速する中、NCSAは国家機関として統一的な指針を示す必要に迫られた。10月1日のガイドライン発表は、こうした規制環境の整理と、国際的な枠組みへの対応という2つの目的を持つ。

NCSAのアモルン・チョムチョエイ事務局長は、発表直後の10月7日から9日に東京で開催された「ASEAN-Japan Cybersecurity Meeting」に出席し、10月21日から23日にはシンガポールの「Singapore International Cyber Week」にも参加して、タイのAIガバナンス枠組みを積極的に発信している。

ガイドラインの内容と特徴

ガイドラインは4つのセクションで構成される。第1部の序論では、AIの適切な使用方法と禁止される用途を明確にした。ディープフェイクの作成や誤情報の拡散は非倫理的な目的として警告される一方、業務効率の向上や国民の生活の質向上への活用を推奨している。

第2部では、AIに固有のセキュリティ脅威を整理した。データポイズニング、プライバシー侵害、プロンプトインジェクション、モデル抽出、モデルポイズニングなど、OWASP Top 10 for Large Language Model Applicationsに準拠した最新の脅威を列挙している。

第3部がガイドラインの技術的中核となる。AIライフサイクル(企画、開発、展開、運用、廃棄)の各段階で実施すべき具体的なセキュリティ対策を示した。ここで重要なのは、タイ独自の基準を策定せず、国際標準への準拠を明確に推奨している点だ。

AIセキュリティ評価にはISO/IEC 23894:2023(AIリスク管理)への準拠を求め、データ管理にはISO/IEC 27002:2022(情報セキュリティ管理策)への準拠を指定している。

第4部では組織的なガバナンスの枠組みを扱う。AI関連リスクを全社的リスクマネジメント(ERM)の枠組みに統合することを求め、個人データ保護法(PDPA)とサイバーセキュリティ法(CSA)への準拠を明記した。AIマネジメントシステムとしてISO/IEC 42001:2023への準拠も推奨している。

ガイドラインの対象者は、経営層、AI開発・運用チーム、サイバーセキュリティ担当者、エンドユーザー、データ所有者、規制当局、市民社会と広範だ。AIセキュリティを技術部門の問題ではなく、組織と社会全体のガバナンスの問題として位置づけている。

国際標準準拠の戦略的意図

タイが独自の難解なセキュリティ基準を作成せず、ISO標準を直接参照したことには戦略的な意図がある。

第一に、グローバル企業のコンプライアンス負担を軽減できる。すでにISO認証に取り組んでいる多国籍企業は、タイ市場参入のためのローカライズ・コストを最小限に抑えることができる。

第二に、国内企業の国際的な信頼性を高められる。タイ企業が世界的に認められたベストプラクティスに従うことで、自社開発したAIソリューションの海外展開が容易になる。

第三に、規制の柔軟性を確保できる。NCSAは技術の急速な進展に合わせて法律を改正する手間を省き、参照するISO標準がアップデートされるのに追随するだけで、ガイドラインの陳腐化を防げる。

企業への影響とPDPA準拠の関係

NCSAのアモルン事務局長は、2025年1月の草案作成段階で、このガイドラインが「サイバーセキュリティ法(CSA)と個人データ保護法(PDPA)とのセキュリティ・アラインメント」に焦点を当てていると述べていた。完成したガイドラインの第4部では、PDPAとCSAへの準拠が明確に義務付けられている。

これは、AIのセキュリティ対策が不十分な状態では、PDPAが要求するデータ保護を達成することは不可能である、という強いメッセージだ。AIの利用を検討する企業にとって、本ガイドラインへの準拠は、PDPA違反のリスクを回避するための事実上の前提条件となる。

タイでAIビジネスを展開する企業は、この「二重構造」を理解する必要がある。金融や医療のような規制業種に属する場合、NCSAのガイドラインだけを見ていればよいわけではない。まず、自らが属するセクターの垂直的ガイドライン(例:BOTガイドライン)への準拠が最優先される。その上で、NCSAの「AIセキュリティガイドライン」は、それらのセクター別ガイドラインが要求する「適切なセキュリティ対策」を、技術的にどのように実装すべきかを示す実装標準として機能する。

ソフトローの意味と今後の展望

本ガイドラインは法的拘束力を持たない「ソフトロー」として位置づけられる。EUのAI法のような厳格な規制導入を現時点では回避し、シンガポールの「モデルAIガバナンスフレームワーク」やASEAN全体の「AIガバナンス・倫理ガイド」と足並みを揃えるアプローチを取った。

この選択により、タイはASEAN地域内での投資誘致競争で不利にならず、国内AIエコシステムを保護することができる。SCB Xや、タイ語大規模言語モデル(ThaiLLM)のような、勃興期の国内イノベーションに対して、厳格なハードローによる重いコンプライアンス負担を先行させない配慮がある。

一方で、AIの「倫理」「公正性」「透明性」「人権」といった、より広範なガバナンスの問題は、このガイドラインでは解決されない。これらの問題は、現在もETDA(電子取引開発庁)が議論を主導している「AI法案」草案の領域として残されている。

BKK IT Newsとしては、本ガイドラインが将来制定されるであろう包括的な「タイAI法」の「セキュリティとリスク管理」部分の雛形となる可能性があると見ている。今後、AIによる重大なセキュリティ・インシデントが多発すれば、このガイドラインの内容が必須の規制へと格上げされるプロセスが進む可能性がある。

タイ企業が取るべき対応

タイでAI導入を検討する企業にとって、本ガイドラインへの対応は選択肢の一つとなる。特にPDPA準拠を確実にしたい企業、国際市場での信頼性を高めたい企業、セクター別規制当局からの技術的実装を求められている企業にとって、ガイドラインへの準拠は有力な選択肢だ。

具体的な対応として、ISO/IEC 42001(AIマネジメントシステム)やISO/IEC 23894(AIリスク管理)といった国際標準の認証取得を検討できる。これらの認証は、タイ市場だけでなく、グローバル市場での事業展開にも有効だ。

また、AI関連リスクを全社的リスクマネジメント(ERM)の枠組みに統合し、経営層が責任を持つ体制を構築することも考えられる。AIセキュリティをCISO室だけの問題ではなく、CEO・取締役会と開発チームの連帯責任として扱う組織体制の整備が、一つの選択肢となる。

タイのAIガバナンスは、イノベーション促進とリスク管理のバランスを取りながら、段階的に整備されている。企業はこの動きを注視し、自社のAI戦略を柔軟に調整していくことが求められる。

参考記事リンク