タイ PDPA 執行強化が企業に警鐘 ～政府機関から民間まで一斉処分、コンプライアンス体制見直し急務～

2025年8月1日、タイ個人データ保護委員会（PDPC）がタイ個人情報保護法（PDPA）違反を理由に5つの事案で総額1,500万バーツを超える罰金処分を発表した。政府機関から民間病院、大手小売業者まで幅広い業種が対象となり、PDPAコンプライアンスが「努力目標」から「絶対的義務」へと転換した決定的な転換点となった。

「お菓子の袋」事件で社会に衝撃

今回の処分で最も社会に衝撃を与えたのが、民間病院の事例だ。廃棄を委託された患者の医療記録が、街頭で売られる「カノム・トーキョー」というお菓子の包み紙として再利用されているのが発見された。B型肝炎感染者の情報も含まれており、プライバシー侵害への国民の不安と怒りが増幅された。

この事件は、個人情報漏洩がサイバー攻撃だけでなく、物理的な世界でも起こりうる現実を突きつけた。PDPAがデジタルデータだけでなく、紙媒体の個人情報にも等しく厳格に適用されることを、社会に広く知らしめる結果となった。

2年間の周知期間終了、本格執行時代へ

PDPAは2022年6月1日の全面施行から約2年間、当局の活動は法律の周知とコンプライアンス体制構築の啓発に重点が置かれていた。2024年8月には大手IT小売業者に700万バーツの初の高額罰金が科されたが、これは本格執行への前触れだった。

今回の一斉処分は、当局が「警告」段階から「実際の行動」へ明確に移行したことを示している。2025年前半、PDPCは事業者向けガイドライン提供や中小企業向け負担軽減措置を実施し、「支援から執行へ」の計算された戦略を展開した後の処分となった。

4つの重要違反で企業対応が焦点

今回の事案分析から、PDPCが特に重視する4つの違反類型が明らかになった。

不適切な安全管理措置 では、脆弱なパスワード使用、定期的なリスク評価の欠如が指摘された。技術的対策だけでなく、組織的措置、物理的措置を取り扱うデータのリスクレベルに応じて組み合わせることが不可欠だ。

データ保護責任者（DPO）の未設置 も重大違反となる。10万件以上の個人データを取り扱う事業者は設置義務の対象となる可能性が高く、既存役職員の兼任では不十分で、実質的な機能を担う専門職が求められる。

データ侵害通知の遅延・不履行 では、原則72時間以内の通知義務違反が処罰された。迅速な通知は被害拡大防止の起点となるため、当局は厳しく処罰する姿勢を示している。

データ処理委託先の監督不備 では、委託元だけでなく委託先も独立したコンプライアンス義務を負うことが明確になった。ある事案では委託元50万バーツに対し委託先300万バーツと6倍の罰金が科され、サプライチェーン全体の管理が重要となった。

企業の緊急対応策

タイで事業を行う企業は、自社のPDPAコンプライアンス体制の緊急見直しが急務だ。DPO設置義務の確認と適切な人材の任命、リスク評価に基づく安全管理措置の文書化、72時間以内通知を可能にする侵害対応計画の策定、そして全委託先との適切なデータ処理契約締結が必要となる。

従業員への継続教育も重要で、データ保護を組織文化として根付かせることが求められる。個人からの開示・訂正・削除要求への対応窓口整備も不可欠だ。

今後の執行強化予測

PDPCは執行の手を緩めることなく、対象をより広範な業種に拡大していくと予測される。罰金額も違反の悪質性や事業規模に応じてさらに高額化する可能性がある。

当局は「データ侵害ゼロ」を掲げているが、これは技術的な完璧さではなく「コンプライアンス違反ゼロ」への意志表示と解釈すべきだ。適切な安全管理措置と定められた手順での対応があれば、必ずしも重い罰則には繋がらない。

AI利用におけるデータ保護、国際データ移転の枠組み、匿名化技術のガイドラインなど、新技術への対応ルールも今後整備される見込みだ。

BKK IT Newsの見解

今回の一斉処分は、タイにおけるデータ保護が新たな段階に入ったことを示している。企業にとってPDPAコンプライアンスは、もはやコストではなく顧客や社会からの信頼を勝ち取る戦略的投資として捉える必要がある。

厳格な法執行により、長期的にはデジタル経済への信頼構築に繋がる。コールセンター詐欺対策とも連動し、データ漏洩の源流である企業の不備を断つことで犯罪被害減少にも貢献する。

タイで事業を継続する企業は、この新たな規制環境への適応が成功の必須条件となった。適切な体制整備により、デジタル時代における持続可能なビジネス基盤を構築することが重要だ。

参考記事リンク

• Thailand ramps up data protection enforcement – Hogan Lovells
• More Than a Warning: Eight Serious Fines Imposed in Thai Data Protection Cases – Tilleke & Gibbins
• Hospital fined after patient files used as snack bags – Bangkok Post
• PDPC levies fines of B15m in 5 data breach cases – Bangkok Post
• THAILAND: First PDPA Enforcement in Thailand: A Landmark Case | Privacy Matters