タイにおける個人情報保護法(PDPA)の執行事例
タイにおける個人情報保護法(PDPA)の執行事例に関するニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
タイにおける個人情報保護法(PDPA)の執行事例
2025年10月24日
One Asia Lawyersタイ事務所
藤原 正樹(弁護士・日本法)
布井 千博(弁護士・日本法)
マーシュ 美穂
2019年個人情報保護法(PDPA)が2022年6月1日に全面施行されて以降、個人情報保護委員会(PDPC)の活動は、啓発・導入の段階から積極的な法執行の段階へと移行しています。2024年には、大手テクノロジー小売業者が多額の罰金を科されたことが、PDPA執行の重要な節目となりました。こうした動きは、PDPAの遵守がもはや任意ではなく、拘束力のある法的義務であり、違反した場合には多額の罰金や企業の評判に悪影響が生じる可能性があることを示唆しています。
1. 制裁の法的枠組み
1.1 民事上の損害賠償責任
データ管理者またはデータ処理者が、故意または過失により違法に個人データを処理し、損害を与えた場合、データ主体に対して賠償責任を負う可能性があります。さらに裁判所は、前述の賠償に加えて、実際に生じた損害額の最大2倍までの懲罰的損害賠償を命じる権限を有します。
1.2 刑事罰
他者に損害や名誉毀損を引き起こす可能性のある違反行為、または職務遂行中に個人データ(特にセンシティブな個人データ)にアクセスし、違法に開示する行為は、6カ月以下の懲役、50万バーツ以下の罰金、またはその両方が科される可能性があります。さらに、上記の違反が自己または第三者のために不正な利益を得る目的で行われた場合、違反者は1年以下の懲役、100万バーツ以下の罰金、またはその両方に処せられます。法人の取締役も個人として責任を問われる可能性があります。
1.3 行政罰
PDPCの下部機関である専門委員会は、様々な違反行為に対し最大500万バーツの行政罰金を科すことができ、また罰金の代わりに警告や是正措置命令を発する裁量も有します。
2. 執行事例
これまで官民を問わず多数の執行事例(行政処分)が公表されており、中でも罰金額が特に高額であった以下の5件における罰金総額は、1,400万バーツ(約6,500万円)に上ります。
| 番号 | 組織/職位 | 違反内容 | 法的根拠 | 行政罰金額 (バーツ) |
| 1. | 政府機関(データ管理者)/ 民間ベンダー(データ処理者) | 政府機関がデータ処理契約(DPA)を締結せずに、ウェブアプリケーションの開発を民間ベンダーに委託した。 当該政府機関は脆弱なパスワードを用い、リスク評価を実施せず、基本的な情報セキュリティ対策を実施しなかった。 その結果、システムに侵入され、20万人以上の市民の記録がダークウェブ上で不正に販売される事態を招いた。 |
第37条(1):個人データを不正アクセス、紛失、開示から保護するための適切な技術的・組織的措置を講じなかった。 第37条(5):データ処理者が個人データの処理に関して適切な保護措置を十分に保証していることをデータ管理者が確認しなかった。 |
政府機関と民間ベンダーそれぞれに対し、153,120バーツの行政罰金が科された。 |
| 2. | 大規模私立病院(データ管理者)/請負業者の従業員(データ処理者) | 私立病院が機密性の高い医療記録の破棄を請負業者に委託したが、その過程を適切に監督・監視せず、1,000件以上の患者記録が不正に開示される結果となった。データを削除した請負業者の従業員がデータ侵害を検知したにもかかわらず、病院に報告しなかった。 | 第26条1項:法的根拠なく、または特定の法定要件を満たさずにセンシティブな個人データを処理した。 第37条(1):個人データを不正アクセス、紛失、または開示から保護するための適切な技術的及び組織的措置を講じなかった。 |
私立病院に対して1,210,000バーツ、請負業者の従業員に対して16,940バーツの行政罰金が科された。 |
| 3. | テクノロジー小売業者(データ管理者) | 大手テクノロジー小売業者は、データ保護責任者(DPO)を任命せず、適切なセキュリティ対策を怠り、個人データ漏洩をPDPCに通知しなかった。 | 第37条(1):個人データを不正アクセス、紛失、または開示から保護するための適切な技術的及び組織的措置を講じなかった。 第37条(4):個人データ漏洩の発生を認識してから72時間以内にPDPCへ通知しなかった。 第41条:大規模なセンシティブデータの処理または個人データの定期的な監視を伴う処理においてDPOを任命しなかった。 |
テクノロジー小売業者に対して合計700万バーツ(第37条(1)の違反で300万バーツ、第37条(4)の違反で300万バーツ、第41条の違反で100万バーツ)の行政罰金が科された。 |
| 4. | 化粧品会社(データ管理者) | 化粧品会社にデータ漏洩が生じ、その後にコールセンター内の不正行為によるものと判明した。同社は適切な技術的及び組織的保護措置を講じず、またPDPCに事件の報告もせず、さらに被害を受けた個人に対して救済措置を提供しなかった。 | 第37条(1): 個人データに対する不正アクセス、紛失、開示から保護するための適切な技術的及び組織的措置を講じなかった。 第37条(4):個人データ漏洩の発生を認識してから72時間以内にPDPCへ通知しなかった。 |
化粧品会社に対して250万バーツの行政罰金が科された。 |
| 5. | グローバル玩具小売業者(データ管理者)/外部ベンダー(データ処理者) | グローバル玩具小売業者は、外部委託したオンライン予約システムがハッキングされたことを受け制裁を受けた。小売業者もベンダーも十分なセキュリティ対策を講じていなかった。小売業者はデータ主体への被害軽減に迅速に対応したが、ベンダーはタイムリーな対応や救済措置を提供しなかった。 | 第37条(5):データ処理者が個人データの処理に関して適切な保護措置を講じるようにすることをデータ管理者が確認を怠った。 第40条:データ処理者が個人データ処理中に適切なデータ保護基準を遵守しなかった。 |
グローバル玩具小売業者に対して50万バーツ、外部ベンダーに対して300万バーツの行政罰金が科された。 |
上記に加え、最近の執行措置は、大企業における大規模な不正アクセスによる個人データの漏洩から個人データの不正利用に至るまで、多岐にわたる違反を対象としています。Bangchak社やThailand Post社といった大企業が不十分なセキュリティ対策により数百万件の顧客記録を漏洩させたとして現在も調査を受けており、また、元従業員のデータの無断利用や同意撤回後のマーケティング目的での継続利用を理由とした申立てに基づく事案においては、PDPCは初回違反者に対し警告および是正命令を出しています。これらの事例は、PDPCが是正措置の命令から行政罰の可能性を視野に入れた調査まで、幅広い措置を通じて積極的にコンプライアンスを執行していることを示しています。
3. 結論
PDPAの遵守は法的義務であり、違反した場合には金銭的、法的、そしてレピュテーション上の重大なリスクを伴います。近時の事例が示すように、不十分な安全管理措置、漏洩通知義務違反、委託先監督の不備などを理由に、データ管理者や処理者のみならず、従業員個人も法的責任を問われる可能性があります。
したがって企業には、堅牢なセキュリティ体制の構築、インシデント対応手順の確立、包括的なデータ処理契約の締結、データ保護責任者(DPO)の任命といった、予防的なデータ保護対策が不可欠です。これらの措置を組織全体で実践することは、規制リスクを低減するだけでなく、ステークホルダーからの信頼を強化し、ひいては企業価値の向上にも繋がります。
PDPA遵守に関するご不明な点や具体的な対策についてご相談がございましたら、お気軽にOne Asia Lawyersタイ事務所までお問い合わせください。
以上
〈注記〉
本資料に関し、以下の点につきご了解ください。
- 本資料は2025年10月24日時点の情報に基づき作成しています。
- 今後の政府発表や解釈の明確化にともない、本資料は変更となる可能性がございます。
- 本資料の使用によって生じたいかなる損害についても当社は責任を負いません。
One Asia Lawyersタイ事務所においては、常駐日本人専門家4名を含む合計20名の体制で対応を行っております。コーポレート、労務、倒産、訴訟等、現地に根付いたサービスを提供しております。
各種フォーマットの提供や各種動画配信(例:「タイにおける解雇のポイント(日本語、英語)」、「タイにおける個人情報保護法のポイント(英語、タイ語、日本語)」、「タイにおける駐在員が知っておくべきコンプライアンスのポイント(日本語)」)を行っております。
