PDPA(タイ個人情報保護法)
PDPA(Personal Data Protection Act)とは、タイにおける個人情報の収集・利用・保管・移転を規制する法律であり、EU の GDPR に相当するタイ版のデータ保護法である。
タイで事業を行う企業にとって、PDPA への対応は避けて通れない。全面施行済みのこの法律は、タイ国内の個人データを扱うすべての組織——タイ法人に限らず、タイ居住者のデータを処理する海外企業にも適用される。
GDPR と同様に、データ主体(個人)の同意取得、目的外利用の禁止、データ漏洩時の 72 時間以内の通知義務などを定めている。一方で、適法な根拠(Lawful Basis)の解釈や執行体制には GDPR との違いもあり、「GDPR 準拠だから PDPA も大丈夫」とはならない。
AI 活用の文脈では、学習データに含まれる個人情報の取り扱いが論点になる。顧客データを用いてモデルを学習させる場合、目的の明示と同意取得が必要であり、データの匿名化・仮名化の手法選択もガバナンス上の判断事項になる。
違反時の制裁金は最大 500 万バーツ(約 2,000 万円)で、GDPR ほどの巨額ではないが、レピュテーションリスクを考慮すると軽視できない。タイに拠点を持つ日系企業は、現地法務と連携した対応が求められる。
関連する用語
プライバシー・バイ・アイソレーション(Privacy by Isolation)
AIシステムやデータ処理基盤を物理的・論理的に隔離することで、個人データの漏洩リスクを構造的に排除する設計手法。テナント分離やオンプレミス運用がその典型例。
EU AI Act(EU人工知能規則)
EU AI Act(EU 人工知能規則)とは、AI システムのリスクレベルに応じた法的義務を定めた欧州連合の包括的規制である。AI を「許容できないリスク」「高リスク」「限定リスク」「最小リスク」の 4 段階に分類し、リスクが高いほど厳格な要件を課す。
合成データ(Synthetic Data)
AIが生成した訓練用データ。実データの不足を補い、プライバシーを保護しながらモデルの学習・評価に活用される。
