タイのPDPA対応とAI活用を両立させるコンプライアンスチェックリスト

タイで事業を展開しながら AI を導入する企業にとって、個人情報保護法（PDPA）への対応は避けて通れない。PDPA 違反には最大 500 万バーツの罰金と懲役刑が科される可能性があり、規制当局の執行も強化の一途をたどっている。本記事では、データ収集・処理・保管の各段階で AI 活用とコンプライアンスを両立させるためのチェックリストを提供する。情報システム担当者・法務担当者・経営層が、自社の AI 施策を点検する際の実務的な指針として活用してほしい。

免責事項: 本記事は情報提供を目的としており、法的助言を構成するものではありません。具体的な対応については、タイ法に精通した弁護士または法律事務所にご相談ください。

タイの個人情報保護法（PDPA: Personal Data Protection Act B.E. 2562）は、タイにおける個人データの収集・利用・開示に包括的なルールを定めた法律だ。AI システムは大量の個人データを処理するため、PDPA の規定と直接的に関わる場面が多い。まずは適用範囲と、AI 運用で特に意識すべき義務を整理する。

PDPA は、タイ国内で個人データを収集・利用・開示するすべての組織に適用される。タイ国外の事業者であっても、タイ国内のデータ主体に商品・サービスを提供する場合や、タイ国内の行動を監視する場合は適用対象となる。

適用対象の判断チェックリスト:

• タイ国内に拠点（支店、現地法人、駐在員事務所）があるか
• タイ国内のユーザーから個人データを収集しているか
• タイ語でサービスを提供している、またはタイバーツで決済を受け付けているか
• タイ国内のユーザーの行動を追跡・分析しているか

上記のいずれかに該当すれば、PDPA の適用を受ける可能性が高い。

罰則の概要:

PDPC（個人情報保護委員会）は執行姿勢を強めており、セキュリティ対策の不備、DPO（データ保護責任者）の未設置、委託先との契約不備、データ漏洩時の報告遅延が主な摘発理由となっている。「まだ見つからないだろう」という認識は、もはや通用しない段階に入っている。

AI システムを運用する際に特に注意すべき PDPA 上の義務は以下の 6 つだ。

1. 適法な収集根拠の確保

個人データの収集には、同意または法定の例外事由（契約履行、正当利益、法的義務等）が必要になる。AI の学習データとして利用する場合も、収集時の目的に合致しているか確認が求められる。

2. 目的の特定と利用制限

収集した個人データは、事前に通知した目的の範囲内でのみ利用できる。「AI モデルの学習」が当初の収集目的に含まれていなければ、追加の同意取得が必要になる。

3. データ主体への通知義務

データ管理者は、収集の目的、保管期間、データ主体の権利などを事前に通知しなければならない。AI による処理が含まれる場合は、その旨をプライバシーポリシーに明記すべきだ。

4. センシティブデータの厳格な管理

人種、民族、政治的見解、宗教、生体認証データ、健康情報などのセンシティブデータは、明示的な同意なく収集できない。AI で顔認証や音声認識を用いる場合、この規定に直接抵触する可能性がある。

5. データ処理者との契約義務（第 40 条）

外部の AI サービスプロバイダーにデータ処理を委託する場合、PDPA の要件を盛り込んだ書面契約が必要になる。処理の範囲、セキュリティ措置、データ漏洩時の報告義務を明確に定めなければならない。

6. セキュリティ措置の実装

個人データの漏洩・紛失・不正アクセスを防ぐための技術的・組織的措置が義務付けられている。AI モデルが大量の個人データを保持する場合、暗号化やアクセス制御の実装は不可欠だ。

AI プロジェクトの出発点はデータ収集だ。PDPA では「収集時の適法性」がすべての後続処理の基盤となるため、ここで不備があると後工程でいくら対策を講じても法的リスクが残り続ける。

チェックリスト:

• 同意の明確性: 同意取得フォームが他の文書（利用規約等）から明確に分離されているか
• 目的の具体性: 「AI による分析・処理」が収集目的として明記されているか
• 撤回の容易性: データ主体が同意を簡単に撤回できる仕組みがあるか（同意取得時と同等の容易さが求められる）
• 記録の保存: 誰が、いつ、どの範囲で同意したかの記録を保存しているか
• センシティブデータの明示的同意: 生体認証・健康情報等を AI で処理する場合、通常の同意とは別に明示的な同意を取得しているか
• 未成年者への対応: 未成年者（タイ法上の成年は 20 歳）のデータを扱う場合、法定代理人の同意を取得しているか

NG 例: 利用規約の末尾に「AI 処理を含むデータ分析に同意します」のチェックボックスを埋め込む。PDPA では同意は「明確に区別された形式」で取得する必要があり、同意条項を他の条項と混在させると有効性が否定されるリスクがある。

プライバシーポリシーへの記載事項:

プライバシーポリシーには最低限、以下を含めること。

• データ管理者の名称・連絡先
• 収集する個人データの種類
• 収集・利用・開示の目的（AI 処理を含む場合はその旨を明記）
• データの保管期間
• データ主体の権利（アクセス、訂正、削除、ポータビリティ、異議申立て）
• 国外移転がある場合、移転先と保護措置

AI モデルの学習に個人データを利用する場合、収集時の目的範囲内であるかどうかが最大の論点になる。

チェックリスト:

• 目的の整合性: 収集時に通知した目的に「AI モデルの学習・改善」が含まれているか
• 目的外利用の同意: 当初の目的に含まれていない場合、追加の同意を取得したか
• 匿名化の検討: 学習データを匿名化（個人を特定できない状態に）すれば、PDPA の適用外となる可能性がある。完全な匿名化が技術的に可能か検討したか
• 公開データの確認: ウェブスクレイピング等で収集した公開データであっても、個人データに該当する場合は PDPA の適用を受ける
• 第三者データの適法性: データブローカーやパートナー企業から取得したデータの収集根拠を確認したか

匿名化と仮名化の違い:

PDPA の文脈では、「匿名化」と「仮名化」を明確に区別する必要がある。

• 匿名化（Anonymization）: 個人の特定が不可逆的に不可能になった状態。PDPA の適用外
• 仮名化（Pseudonymization）: 追加情報と組み合わせれば個人を特定できる状態。PDPA の適用内

AI の学習データに仮名化データを使う場合は、引き続き PDPA の規定に従う必要がある。「ハッシュ化したから大丈夫」という判断は危険だ。ハッシュ値から元のデータを復元できなくても、他のデータと突合すれば再識別できるケースは少なくない。匿名化の十分性は、利用可能な技術や追加情報の入手可能性を考慮して慎重に評価すべきだ。

データを収集した後、AI による処理・分析フェーズに入る。ここでは、処理の範囲が収集時の目的を逸脱していないか、データ主体の権利を侵害していないかが焦点となる。

PDPA には、EU の GDPR 第 22 条のような「自動意思決定のみに基づく決定を拒否する権利」に相当する明確な規定はない。しかし、プロファイリングが完全に規制外というわけでもない。

チェックリスト:

• プロファイリングの目的通知: AI によるプロファイリング（行動分析、スコアリング等）を行う場合、その旨をデータ主体に通知しているか
• センシティブデータの推論: 非センシティブデータから健康状態や政治的見解などを推論している場合、それはセンシティブデータの「収集」に該当する可能性がある。検討したか
• 異議申立てへの対応: データ主体から処理に対する異議申立てがあった場合の対応手順が整備されているか
• 人間による監視: 個人に重大な影響を及ぼす決定（与信判断、採用選考等）を AI が行う場合、人間によるレビューの仕組みがあるか

PDPA 上の明示的な義務ではないものの、人間による最終判断の仕組みは説明責任（Accountability）の観点からも実務上のリスク軽減策として強く推奨される。GDPR には自動意思決定を拒否する権利が明文化されているため、将来的にタイでも同様の規定が導入される可能性は否定できない。先手を打って人間による監視体制を設計しておくことは、規制変更リスクへの備えにもなる。

なお、PDPC はプロファイリングを伴うデータ処理を行う事業者に DPO の設置を求めるガイドラインを公表している。AI によるプロファイリングを行う場合は、DPO の設置を前向きに検討すべきだ。

PDPA は、個人データの収集を「必要な範囲に限定」すべきと定めている。AI は大量のデータを投入するほど精度が上がる傾向があるため、この原則と衝突しやすい。

チェックリスト:

• 必要性の評価: AI モデルに投入する各データ項目が、目的の達成に本当に必要かを評価したか
• 不要なフィールドの除外: 氏名、住所、電話番号など、モデルの精度に寄与しないフィールドを処理前に除外しているか
• 集計・統計処理の検討: 個人レベルのデータではなく、集計データで目的を達成できないか検討したか
• 定期的な棚卸し: AI モデルが保持するデータセットを定期的に棚卸しし、不要なデータを削除しているか

データ最小化と AI 精度を両立させるアプローチ:

「データは多いほど良い」という考え方が AI 開発では根強いが、すべてのデータ項目が均等に予測精度に寄与するわけではない。以下の技術的手法を組み合わせることで、個人情報の利用を抑えながらモデルの有用性を維持できる。

• 特徴量選択（Feature Selection）: モデルの予測に寄与する特徴量のみを選別し、個人情報を含む不要な特徴量を除外する
• 差分プライバシー（Differential Privacy）: 学習データにノイズを付加し、個人の特定リスクを低減しながらモデルの有用性を維持する
• 連合学習（Federated Learning）: データを中央サーバーに集約せず、各端末でローカルに学習を行う。個人データの移転そのものを最小化できる

これらはいずれも技術的なトレードオフが伴う。精度要件とコンプライアンス要件のバランスは、ユースケースごとに個別に判断する必要がある。

AI モデルの運用が始まった後も、保管期間の管理とデータ主体の権利行使への対応が継続的に求められる。特に、クロスボーダーのデータ移転は規制が流動的なため、最新の動向を注視しなければならない。

保管期間のチェックリスト:

• 保管期間の設定: 各データカテゴリに対して、利用目的に基づいた保管期間を設定しているか
• 期間超過データの削除: 保管期間を超過したデータを定期的に削除または匿名化する仕組みがあるか
• AI モデル内のデータ: 学習済みモデルに個人データが残存している場合、保管期間の管理対象に含めているか
• バックアップデータ: バックアップにも保管期間ポリシーを適用しているか

クロスボーダー移転のチェックリスト:

海外の AI サービス（クラウド API、SaaS 型 AI ツール等）を利用する場合、個人データが国外に移転される。PDPA 第 28 条・第 29 条に基づく対応が必要だ。

• 移転先の特定: データがどの国のサーバーに保管・処理されるかを把握しているか
• 十分性認定の確認: 移転先が PDPC の十分性認定リスト（Section 28）に掲載されているか確認したか
• 適切な保護措置: 十分性認定がない場合、Section 29 に基づく保護措置（拘束的企業準則: BCR、または標準契約条項: SCC）を講じているか
• 契約上の手当: AI サービスプロバイダーとの契約に、データ保護条項（処理の範囲、セキュリティ措置、72 時間以内のデータ漏洩報告義務等）を盛り込んでいるか
• 同意による移転: 上記の手段が取れない場合、データ主体からリスクを説明した上での明示的な同意を取得しているか

PDPC は十分性認定リストをまだ公表していない（執筆時点）。そのため、現時点では SCC または BCR の整備が実務上の標準的な対応となる。SCC については、ASEAN モデル契約条項や EU の標準契約条項をベースにタイ固有の要件（72 時間以内のデータ漏洩報告等）を追加する形式が一般的だ。

PDPA はデータ主体に複数の権利を認めている。AI システムを運用する場合、これらの権利行使にどう対応するかを事前に設計しておく必要がある。

チェックリスト:

• アクセス権: データ主体が自身の個人データへのアクセスを要求した場合、AI が処理したデータも含めて提供できるか
• 訂正権: データ主体の訂正要求を、AI モデルの入力データや学習データにも反映できるか
• 削除権: データ主体が削除を要求した場合、学習済みモデルからの削除（Machine Unlearning）が技術的に困難な場合がある。代替策を検討しているか
• ポータビリティ権: データ主体が自身のデータを構造化された電子フォーマットで受け取る要求に対応できるか
• 異議申立権: データ主体が AI による処理に異議を申し立てた場合の対応手順があるか
• 対応期限: 権利行使の要求を受けてから 30 日以内に対応する体制が整っているか

AI 特有の課題 — 削除権と学習済みモデル:

学習済みの AI モデルから特定個人のデータを完全に除去する「Machine Unlearning」は、技術的に発展途上の分野だ。現実的な対応策としては以下が考えられる。

• 学習データセットから該当データを削除し、次回の再学習時に反映する
• 匿名化済みデータのみでモデルを構築し、削除要求の対象外とする
• 削除要求があった場合の代替手段（推論結果の利用停止等）を事前に定めておく

いずれの場合も、データ主体に対して対応内容と技術的な制約を誠実に説明することが重要だ。「できません」で終わらせるのではなく、代替策を提示した上で、データ主体が納得できる形で対応を進めるべきである。

チェックリストの主要項目に加えて、実務で見落とされがちな論点がある。特に、外部 AI サービスの利用と社内 AI ツールの監査は盲点になりやすい。

生成 AI サービスや画像認識・音声認識の API を業務に導入する場合、自社は「データ管理者（Data Controller）」、サービス提供者は「データ処理者（Data Processor）」となるケースが多い。

チェックリスト:

• 役割の明確化: 自社とサービス提供者の間で、データ管理者・データ処理者の役割を明確に定義しているか
• データ処理契約（DPA）: PDPA 第 40 条に準拠した書面契約を締結しているか
• 処理範囲の限定: サービス提供者がデータを自社モデルの学習に使用しない設定になっているか（オプトアウト等）
• サブプロセッサーの把握: サービス提供者が再委託先（サブプロセッサー）を使っている場合、その一覧を把握しているか
• データ所在地: サービス提供者がどの国でデータを処理・保管しているか確認したか
• インシデント報告: データ漏洩時の報告フロー（72 時間以内の PDPC 報告義務）が契約で合意されているか

見過ごされがちなのが、従業員による日常的な生成 AI の利用だ。プロンプトに顧客の個人データを入力するケースは想像以上に多い。社内利用ガイドラインを策定し、個人データの入力ルール（禁止・匿名化必須等）を明文化しておくことが不可欠だ。「便利だから」と無意識に使い続けた結果、PDPC の調査で発覚する — そうなってからでは遅い。

PDPA は、データ管理者に対してデータ処理活動の記録義務を課している。AI ツールを社内で運用する場合、この記録義務をどう果たすかが実務上の課題になる。

チェックリスト:

• 処理活動の記録: AI ツールがどの個人データを、いつ、どの目的で処理したかのログを保存しているか
• アクセスログ: 誰が AI ツールにアクセスし、どのデータを閲覧・処理したかの記録があるか
• モデルのバージョン管理: 学習データの変更やモデルの更新履歴を追跡できるか
• 出力結果の記録: AI による判断結果（特に個人に影響を及ぼすもの）を記録・追跡できるか
• 定期監査: AI ツールの利用状況とコンプライアンス適合性を定期的に監査する仕組みがあるか

監査ログは、PDPC からの調査要請やデータ主体からの権利行使要求に対応する際の証拠としても機能する。ログの保存期間は、最低でもデータ保管期間と同等に設定するのが安全だ。

実務的には、AI ツールの利用ログをすべて手動で管理するのは非現実的だ。API ゲートウェイやプロキシ層でリクエスト/レスポンスのメタデータ（タイムスタンプ、ユーザー ID、処理目的）を自動記録する仕組みを組み込むことを推奨する。

Q1: PDPA と GDPR の違いは何か？AI 活用の観点で注意すべき点は？

PDPA は GDPR を参考に制定されているが、いくつかの重要な違いがある。最大の相違点は、GDPR 第 22 条が定める「自動意思決定のみに基づく決定を拒否する権利」に相当する規定が PDPA には明示的に存在しないことだ。ただし、これは AI による自動処理が無制限に許容されることを意味しない。データ主体の異議申立権や、正当利益に基づく処理に対する反対権は PDPA にも存在するため、AI の運用設計では依然として慎重な対応が求められる。

Q2: 社員が業務で生成 AI に個人データを入力した場合、PDPA 違反になるか？

状況による。プロンプトに入力された個人データがサービス提供者のサーバーに送信される場合、それは個人データの「開示」に該当する可能性がある。収集時の目的に「外部 AI サービスでの処理」が含まれていなければ、目的外利用として PDPA 違反のリスクがある。対策としては、個人データの入力を禁止する社内ポリシーの策定、API 利用時のデータ匿名化、企業向けプランでのデータ不使用設定の有効化が挙げられる。

Q3: 匿名化すれば PDPA の適用外になるか？

完全に個人を特定できない状態にする「匿名化」が達成されていれば、PDPA の適用外となる。ただし、「仮名化」（追加情報と組み合わせれば特定可能な状態）は PDPA の適用内だ。単純なハッシュ化だけでは匿名化として不十分な場合がある。匿名化の十分性は、利用可能な技術や追加情報の入手可能性を考慮して個別に判断する必要がある。

Q4: タイ国外のクラウド AI サービスを利用する場合、どのような対応が必要か？

PDPA 第 28 条（十分性認定）または第 29 条（適切な保護措置）に基づく対応が必要となる。現時点では PDPC による十分性認定リストが未公表のため、実務的には標準契約条項（SCC）または拘束的企業準則（BCR）の整備が推奨される。AI サービスプロバイダーとの契約にデータ保護条項を盛り込み、データの処理場所、セキュリティ措置、データ漏洩報告のフローを明確にしておくことが重要だ。

タイの PDPA は、AI 活用を禁止するものではない。適切な法的根拠の確保、目的の明確化、データ主体の権利保護、そしてセキュリティ措置を講じることで、コンプライアンスと AI の利活用は十分に両立できる。

本記事で紹介したチェックリストの要点を改めて整理する。

• データ収集: 同意取得の形式的要件を満たし、AI 処理の目的を明示する
• データ処理: プロファイリングの通知、データ最小化、人間による監視の仕組みを整備する
• データ保管: 保管期間の管理、クロスボーダー移転の法的根拠、データ主体の権利行使対応を確立する
• 見落とし防止: 外部 AI サービスとの DPA 締結、社内 AI ツールの監査ログ整備を忘れない

PDPC の執行は年々強化されている。チェックリストを活用して定期的に自社の対応状況を点検し、法改正や新たなガイドラインにも迅速に追従する体制を構築してほしい。具体的な対応にあたっては、タイ法に精通した法律事務所に相談し、自社の状況に即したアドバイスを受けることを強く推奨する。