HOME
業務内容
弁護士等紹介
- People 弁護士等紹介
- 多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。
- 弁護士等紹介
- 弁護士等紹介TOP
- 条件から探す
- 姓から探す（50音）
- 拠点から探す
- キーワードから探す
特集
講演/セミナー
- Seminars 講演/セミナー
- 当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。
- 講演/セミナー
- 講演/セミナーTOP
- NO&Tセミナー
- 外部セミナー
- キーワードから探す
著書/論文
- Publications 著書/論文
- 当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。
- 著書/論文
- 著書/論文TOP
- 論文/記事
- 書籍
- メディア
- ビジネス法ガイド
- ニュースレター
- 外部寄稿
- 裁判例紹介
- その他
- キーワードから探す
事務所紹介
- Who We Are 事務所紹介
- 長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。
- 事務所紹介
- 事務所紹介TOP
- ご挨拶
- 沿革
- 人権の尊重
- 長島安治弁護士の手記
- 理念・取組体制
- 受賞歴
- Diversity, Equity & Inclusion
拠点
- Locations 拠点
- 拠点
- 拠点TOP
- 東京
- ニューヨーク
- 上海
- シンガポール
- バンコク
- ホーチミン
- ハノイ
- ジャカルタ
- ロンドン
公益活動
トピックスお問い合わせアクセス採用情報

SCROLL

TOP

Publications 著書/論文

全文ダウンロード（PDF）

ニュースレター 2025年8月

タイ個人情報保護委員会による制裁金事例の公表

NO&T Asia Legal Update アジア最新法律情報

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

著者等

箕輪俊介、中翔平（共著）

出版社

長島・大野・常松法律事務所

書籍名・掲載誌

NO&T Asia Legal Update ～アジア最新法律情報～ No.242/NO&T Data Protection Legal Update ～個人情報保護・データプライバシーニュースレター～No.59（2025年8月）

特集
個人情報保護・データプロテクション

業務分野

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

1. はじめに

　タイの個人情報保護委員会（「PDPC」）は、NO&T Asia Legal Update No. 205/ NO&T Data Protection Legal Update No. 48「個人情報保護法違反を理由に制裁金が課された初めての事例（タイ）」（2024年9月）において紹介をしたとおり、2024年8月に2022年の施行以降初めて、タイ個人情報保護法（「PDPA」）違反に基づく制裁金事例を公表した。今般、PDPCは、2025年8月1日に新たにPDPA違反を理由とする5つの制裁金事例（「本件制裁金事例」）を公表した。PDPCは、自らの公式SNSサイトにおけるプレスリリースの掲載に加えて、記者会見において本件制裁金事例の説明を行っている。本稿では、本件制裁金事例の概要を紹介すると共に、本件制裁金事例から垣間見えるPDPCの運用・執行傾向についての考察を述べる。

2. 本件制裁金事例

(1) 政府機関に対するサイバー攻撃（「事例1」）

概要	オンライン上でウェブアプリを提供する政府機関に対するサイバー攻撃の発生により、20万人以上の個人データがダークウェブに掲載された。ウェブアプリのシステム開発・管理は外部業者が担当。
PDPA違反の内容	安全管理措置の懈怠（リスク評価及び定期的な安全管理措置の見直し並びにデータへのアクセス制御措置の不足を含む。）データ管理者とデータ処理者の間で締結することが求められている個人データ処理契約の未締結
制裁金	政府機関（データ管理者）：153,120バーツ（約70万円※1）外部業者（データ処理者）：153,120バーツ（約70万円）

(2) 民間病院の医療記録の漏洩（「事例2」）

概要	民間病院が外部業者である個人の第三者に対して医療記録の破棄を依頼したところ、当該個人が医療記録を自宅へ持ち帰り、医療記録の適切な破棄を行わなかった。かかる医療記録が市販されているスナックの包装として利用されていることがSNS上で判明し、結果として、1,000人以上の個人データ（健康情報等のセンシティブデータを含む。）が流出したことが判明。
PDPA違反の内容	個人データの破棄についての民間病院の第三者に対する監督義務違反委託先の外部業者について、民間病院の指示に反して医療記録の破棄を行わず、他の用途に医療記録を利用したこと委託先の外部業者について、委託元である民間病院に対する個人データの漏洩の通知の懈怠
制裁金	民間病院（データ管理者）：1,210,000バーツ（約550万円）外部業者たる個人（データ処理者）：16,940バーツ（約7万7,000円）

(3) コンピュータ製品の販売業者の顧客データの電話詐欺業者への漏洩（「事例3」）

概要	コンピュータ及びその部品の卸売・小売業者の顧客データが電話詐欺業者へ漏洩した（漏洩に至る経緯の詳細は未公表）。 100人以上の顧客から当該漏洩についてPDPCへ報告がなされた。
PDPA違反の内容	安全管理措置の懈怠個人データの漏洩のPDPCへの報告の懈怠データ保護責任者（Data Protection Officer （「DPO」））の未選任
制裁金	販売業者（データ管理者）：7,000,000バーツ（約3,190万円）

(4) 化粧品販売業者の顧客データの電話詐欺業者への漏洩（「事例4」）

概要	化粧品販売業者の顧客データが電話詐欺業者へ漏洩した（漏洩に至る経緯の詳細は未公表）。
PDPA違反の内容	安全管理措置の懈怠個人データの漏洩のPDPCへの報告の懈怠
制裁金	販売業者（データ管理者）：2,500,000バーツ（約1,140万円）

(5) アート玩具の販売業者に対するハッキング（「事例5」）

概要	アート玩具の販売業者は、外部業者に対して予約システムの管理を委託していたところ、かかるシステムへのハッキングが発生した。ハッキングにより、1,000万項目程保有していた個人データのうち約20万項目の個人データの書き換えが行われた。
PDPA違反の内容	安全管理措置の懈怠
制裁金	販売業者（データ管理者）：500,000バーツ（約230万円）外部業者（データ処理者）：3,000,000バーツ（約1,370万円）

3. 問題となったPDPAの規定

　本件制裁金事例において問題となったPDPAの規定及びその概要は以下のとおりである。

データ管理者による個人データの安全管理措置の遂行義務・見直し義務（PDPA第37条第（1）号）※2
データ管理者による個人データ侵害の報告義務（PDPA第37条第（4）号）※3
データ処理者によるデータ管理者の指示遂行義務（PDPA第40条第1項第（1）号）
データ処理者による個人データの安全管理措置の遂行義務（PDPA第40条第1項第（2）号）
データ処理者によるデータ管理者に対する個人データ侵害の報告義務（PDPA第40条第1項第（2）号）
データ処理契約の締結（PDPA第40条第3項）
DPOの選任（PDPA第41条）※4

4. 考察

　今般のPDPCの公表では各本件制裁金事例の事実関係は簡潔に述べられているに過ぎず、情報漏洩に至った経緯やPDPA違反の詳細は明らかにされていないため、各本件制裁金事例において上記のような制裁金を課すに至った背景・理由を正確に把握することは難しい。そのため、公表されている情報からの推測となるが、本件制裁金事例の中では以下のような特徴が見られた。

事例1、事例2及び事例5では、データ管理者のみならずデータ処理者のPDPA違反も認められており、違反の内容・程度によっては、データ管理者のみならず、データ処理者に対しても制裁金を課すことを躊躇しないことが明らかになったといえる。
事例3と事例4はいずれも顧客データの漏洩事案という点で共通点があるが、最終的に課された制裁金の金額は事例3の方がはるかに大きい。事例4ではデータ管理者が適切にデータ主体の損害の拡大防止措置を実施・通知したと思われる一方で、事例3ではこれが十分ではなかったと思われることが最終的に制裁金の金額に影響した可能性がある。
また、事例3と事例4の違いとして、事例3においてはDPOを選任していないことがPDPA違反の一つとして認定されている。2024年8月に課された制裁金事例でもDPOを選任していないことが認定されており、個人データの漏洩があった際にDPOを選任しているか否かはPDPA違反の重大性を判断する上で重要な要素の一つとなっていることが窺われる。特に事例3や事例4のように多くの消費者を抱え、多くの個人データを取り扱う可能性のある小売業に従事している場合には、DPOの選任の要否をPDPAの規定に照らして慎重に検討する必要があると考える。
事例5では、データ管理者よりデータ処理者に対する制裁金の金額の方が大きくなっている。このことからPDPCとしては委託元への監督責任のみならず個人データの漏洩に寄与した程度を勘案してデータ管理者とデータ処理者のPDPA違反の重大性を判断した可能性がある。
他方で、事例2は事例5と同様にデータ処理者の寄与が大きいケースであるものの、データ管理者に対する制裁金の金額の方が大きくなっている。もっとも、事例2は個人に対するデータ処理の委託事例という点でやや特殊であり、委託元と委託先の関係性や処理を委託された情報が医療情報というセンシティブデータであることを考慮して、委託元である病院により重い管理責任を問うべきという判断が働き、データ管理者に対してより重い制裁金が課された可能性がある。

5. おわりに

　今回公表された本件制裁金事例はいずれも個人データの漏洩等が発端となって制裁金が課されたものであり、この点は、2024年8月に公表された事例と同様である。PDPCの現行の運用としては、個人データの漏洩等が発生した場合にそれを契機としてPDPAの遵守状況について具体的に調査を行う方向にあり、それ以外のケースでPDPCが自発的にPDPAの遵守状況の監査を行っているといった動きは見受けられない。もっとも、今回、PDPCが本件制裁金事例の公表に伴って大々的に記者会見を行ったことはPDPCから事業者に対してより厳格な法令遵守を求める旨のメッセージと捉えることも可能である。PDPAが施行してから約3年が経過した今、PDPAに関する事業者の実務対応は、形式的な必要書面の作成といった表面上の対応だけでは足りず、より実態を伴った形での社内の体制・システム整備と法令に従った運用が求められる段階に来ているといえるだろう。

脚注一覧

※1
1バーツ＝約4.55円（2025年8月14日時点のレート）で計算。以下同様。

※2
安全管理措置の指針を定めた下位規則が施行済みである。

※3
データ管理者は、個人データの漏洩が発生した場合には、当該漏洩がデータ主体の権利・自由に対するリスクを生じさせる可能性が低い場合でない限り、遅滞なく、かつ、実施可能であれば漏洩を知ったときから72時間以内に当局へ通知することが求められる。また、当該漏洩がデータ主体の権利・自由に対する高度のリスクを生じさせる可能性がある場合には、遅滞なく、データ主体に対しても、その旨及び救済措置を通知する必要がある。これに関して、個人データの侵害に関する下位規則が施行済みである。

※4
データ管理者又はデータ処理者は、（1）データ管理者若しくはデータ処理者の個人データの処理業務が、大量の個人データを取り扱うという理由のために、個人データ若しくはそのシステムの定期的な監視を要する場合、又は、（2）データ管理者若しくはデータ処理者の中心的業務がセンシティブデータの処理である場合には、DPOを選任する必要がある。これに関して、DPOの選任に関する下位規則が施行済みである。

2025年8月18日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。