Blog

ブログ

タイ個人情報保護法（PDPA）に基づく制裁の公表事案

2025.10.31

2025年8月、タイの個人情報保護委員会（以下「PDPC」）は、2025年に発生した5件の個人情報侵害事案に対して、関係するデータ管理者およびデータ処理者に対して、罰金を科したと発表した。本稿では公表された5件の事案を紹介し、タイ個人情報保護委員会の制裁の概要やその傾向についてコメントする。

制裁事案5件における行政罰

（表）
Thai_JP

1. 政府機関およびそのシステム開発会社

システム開発会社が開発したウェブアプリケーションを通じて、一般市民にサービスを提供していた政府機関がサイバー攻撃を受け、20万人以上の一般市民の個人情報が漏えいし、ダークウェブ上で不正に販売された事案。

不遵守事項：
(1) データ管理者である政府機関は、適切なセキュリティ対策を講じず、システム開発会社との間でデータ処理契約（DPA）を締結していなかった。
(2) データ処理者であるシステム開発会社は、DPAを締結せず、実際上もデータ侵害のリスクを防止するための適切なセキュリティ対策を講じていなかった。
罰則：
- 政府機関：15万3120バーツの罰金
- システム開発会社：15万3120バーツの罰金

2. 私立病院およびデータ処理者（個人）

私立病院が医療記録の廃棄を個人に委託し、1,000件以上のセンシティブ個人情報を含む医療記録が廃棄過程で漏えいした。廃棄されるはずだった医療記録が売却され、たとえばスナック菓子の包装袋として再利用され、その写真がインターネット上に投稿されるなどした事案。

(1) 不遵守事項：
データ管理者である私立病院は、委託先であるデータ処理者による廃棄プロセスを監督・管理しなかった。
(2) 委託先のデータ処理者（個人）は、合意された個人情報廃棄手順を実施せず、データ漏えいについて病院へ報告しなかった。

罰則：
- 私立病院：121万バーツの罰金
- データ処理者（個人）：1万6940バーツの罰金

3. IT関連機器販売会社

コンピュータおよびIT関連機器を販売する企業が顧客の個人情報を漏えいさせ、その結果、顧客が詐欺グループから電話を受け、詐欺被害に遭った事案。なお本事案において、当該IT関連機器販売会社は被害者への補償を行わなかった。

不遵守事項：
(1) 適切なセキュリティ対策の欠如
(2) 個人情報漏えい事案をPDPCに報告しなかった
(3) 義務のある状況でデータ保護責任者（DPO）を任命しなかった
罰則：
- 3つの不遵守事項に対して、同社に700万バーツの罰金

4. 化粧品会社

化粧品を販売する企業が顧客の個人情報を漏えいさせ、その結果、顧客が詐欺グループから電話を受け、詐欺被害が発生した事案。

不遵守事項：
(1) 適切なセキュリティ対策を講じなかった。
(2) 個人情報漏えい事案についてPDPCへの報告を行わなかった。
罰則：
- 2件の不遵守に対し、同社に対して250万バーツの罰金。

5. 玩具会社およびシステム開発会社

システム開発会社が開発した予約システムを用いて玩具を販売していた企業が、システムへのハッキング被害を受け、個人情報が漏えいしてしまった事案。なお玩具会社は被害者に対して損害補償を行っている（他方でシステム開発会社は補償対応を一切行わなかった）。

不遵守事項：
(1) データ管理者である玩具会社は、適切なセキュリティ対策を講じなかった。
(2) データ処理者である委託先のシステム開発会社は、適切なセキュリティ対策を講じなかった。
罰則：
- 玩具会社：50万バーツの罰金
- システム開発会社：300万バーツの罰金

事案から得られる教訓

1. データ管理者とデータ処理者の双方に科される罰則

委託先のシステム上のセキュリティに不備があったり、あるいは委託先の不適切な取扱いによって、個人情報が漏えいしてしまっている事案が目立つ。セキュリティに不備のあったデータ処理者が罰せられるのは当然としても、その委託元であるデータ管理者においてもペナルティを課されていることから、自社のセキュリティのみならず委託先も含めたサプライチェーン全体におけるセキュリティ体制の整備と監督が必要であるといえる。

2. 行政罰（罰金命令）を科す際の考慮要素

2025年4月23日付で官報に公布された「専門委員会による行政罰命令発出の判断基準に関する告示（B.E. 2568（2025））」（以下「本告示」）では、専門委員会が行政罰を判断する際に考慮する要素が定められている。本告示では合計14の要素が挙げられているが、本稿において紹介した5事案に照らすと、特に以下のような要素が判断基準として取り上げられている。