タイの個人データ保護委員会(PDPC)が2025年8月1日、5つの事案に関わる8件の行政罰金を科したことを公式発表した。罰金総額は約1450万バーツに上り、PDPA施行以来の累計罰金額は2150万バーツ超に達している。この一連の措置は、これまでの「意識向上期間」から本格的な法執行の時代への移行を明確に示している。
2年間の猶予期間が終了、厳格執行が始まる
PDPAは2022年6月に完全施行されたが、その後約2年間は事実上の猶予期間として機能していた。PDPCは企業に対してガイドラインの提供や研修を重視し、懲罰的な措置は控えていた。しかし2024年8月の初回大型罰金(700万バーツ)を皮切りに、規制当局の姿勢は大きく転換した。
今回の一連の措置は、この転換が一時的なものではなく、恒久的な政策変更であることを裏付けている。政府機関から民間病院、大手小売業者まで、業界や組織規模を問わない幅広い摘発は、PDPCが「全方位的な執行」を開始したことを意味する。
摘発事例に見る共通の違反パターン
今回の8件の処分事例を分析すると、4つの共通する違反パターンが浮かび上がる。
不十分なセキュリティ対策 すべての事例で基本的なセキュリティ管理が不備だった。政府機関では脆弱なパスワード使用とリスクアセスメント不足が指摘された。民間病院では廃棄物処理業者への監督不備により、患者記録が街頭菓子の包み紙として使用される事態が発生した。
72時間ルール違反 データ侵害の発生を72時間以内にPDPCへ通知する義務を怠った企業に対し、厳しい処分が下された。テクノロジー小売業者(700万バーツ)と化粧品会社(250万バーツ)がこれに該当する。
DPO未設置 大規模な個人データを扱う組織に義務付けられているデータ保護責任者の未設置が、最高額の罰金につながった。テクノロジー小売業者の700万バーツ処分は、複数の基本的義務違反が重なった結果である。
ベンダー管理の不備 第三者データ処理業者の管理不備が多くの事例で問題となった。特に政府機関では、法的要件を満たすデータ処理契約(DPA)の未締結が具体的な違反として指摘された。
コールセンター詐欺対策としての位置づけ
PDPAの厳格執行は、単なるコンプライアンス強化ではなく、深刻化するコールセンター詐欺への対策という側面が強い。今回の事例でも、企業から漏洩したデータが詐欺グループによって直接悪用されたケースが複数報告されている。
政府は企業のデータ管理不備が犯罪の「燃料」となることを阻止し、国民の安全を守ることを最優先としている。この社会的使命感が、規制当局による厳格な執行姿勢の原動力となっている。
企業が直面する新たな現実
2024年から2027年のPDPCマスタープランでは、上場企業と政府機関のPDPA遵守率100%達成が具体的な数値目標として設定されている。これは「努力目標」ではなく、達成が前提とされている必達目標である。
企業にとって、PDPAコンプライアンスはもはや単なるコストではなく、タイ市場で事業を継続するための「営業許可証」となった。数百万バーツに上る罰金リスクは、取締役会レベルで管理すべき経営上の最重要課題として位置づけられる必要がある。
BKK IT Newsとしては、この厳格な執行体制が今後数年間継続し、さらに強化される可能性が高いと予想している。企業の対応が後手に回れば、財務的打撃だけでなく、ブランド価値の毀損という回復困難なダメージを受けるリスクがある。
緊急対応が必要な5つの領域
企業は以下の5つの領域で緊急対応を実施する必要がある。
データガバナンスの経営課題化 PDPAコンプライアンスを取締役会の定期議題とし、経営トップが直接監督する体制を構築する。
基本的要件の緊急監査 セキュリティ対策、侵害通知プロセス、DPO設置、ベンダー管理の4領域で現状の緊急監査を実施する。
DPOの実効性確保 DPOを単なる兼務役職ではなく、実質的な権限と独立性を持つ機能として確立する。
ベンダー管理の抜本見直し すべてのデータ処理業者と法的要件を満たすDPAを締結し、継続的な監督体制を構築する。
72時間対応体制の構築 データ侵害発生時の通知義務を確実に遵守するため、関係部署を巻き込んだ実践的な対応訓練を実施する。
タイにおけるデータプライバシー規制は、もはや理論上のリスクではなく、現実的かつ重大な経営課題となった。問われるのは「PDPAが執行されるかどうか」ではなく、「次に摘発されるのは誰か」である。この新しい現実に適応できるかどうかが、今後のタイでの事業成功を左右することになるだろう。
参考記事リンク
- More Than a Warning: Eight Serious Fines Imposed in Thai Data Protection Cases
- Thailand ramps up data protection enforcement – Hogan Lovells
- Hospital fined Bt1.2m after medical records used as snack bags – Thai PBS World
- Thailand: PDPA Crackdown 2025: Are You Next? – Major Fines and Lessons from Thailand’s Latest Enforcement
- Thailand’s Data Privacy Landscape in the First Half of 2025 – Tilleke & Gibbins
