タイPDPAで情報漏えいが起きたら｜72時間以内に“何を判断するか”| アジア・ダイナミック・コミュニケーションズのタイビジネス最新情報

タイPDPAでは、個人データ侵害が発生した場合、一定の場合を除き、 PDPC事務局へ遅滞なく、可能な限り72時間以内に通知することが求められています。

しかし、実務上大切なのは、「72時間以内に何かを送ればよい」ということではありません。会社として、漏えい等が本当に起きたのか、何の個人データが関係するのか、何人分なのか、本人へのリスクがあるのか、PDPC通知や本人通知が必要なのかを、短時間で判断できる状態にすることです。

本記事では、タイで会社を運営する日本人管理者向けに、 PDPA上の情報漏えい等が起きた場合、72時間以内に何を確認し、何を判断すべきかを整理します。

※本記事は、タイPDPAに基づく個人データ侵害時の初動対応を整理した一般的な実務情報です。個別案件では、タイの弁護士、個人情報保護の専門家、ITセキュリティ専門家、関係当局に必ず確認してください。

72時間ルールは「通知」よりも「判断体制」が重要

タイPDPA第37条(4)では、個人データ侵害を知った場合、個人の権利・自由に影響するリスクがない場合を除き、 PDPC事務局へ遅滞なく、可能な限り72時間以内に通知する義務が定められています。また、高リスクの場合は、データ主体本人にも遅滞なく通知し、救済方法を知らせる必要があります。

ここで重要なのは、72時間以内に「通知するかどうか」を判断するためには、その前に、社内で相当量の情報を集めなければならないという点です。

72時間以内に必要なのは、単なる報告作業ではありません。
侵害の有無、対象データ、影響人数、本人へのリスク、PDPC通知の要否、本人通知の要否を、会社として判断できる状態にすることが重要です。

PDPA上の侵害は、「外部漏えい」だけではない

日本語では分かりやすく「情報漏えい」と表現されることが多いですが、 PDPA上の個人データ侵害は、外部にデータが流出した場合だけを意味するものではありません。

PDPC告示では、個人データ侵害について、概ね次のような類型を含むものとして整理されています。

類型	意味	例
Confidentiality Breach	本来見られるべきでない人に個人データが開示・アクセスされること	誤送信、不正アクセス、外部流出、権限のない従業員による閲覧
Integrity Breach	個人データが不正確に変更・改ざんされること	給与情報、顧客情報、予約情報、医療情報などの改ざん
Availability Breach	個人データが利用不能、消失、破壊されること	ランサムウェア、システム障害、バックアップ不備によるデータ消失

つまり、PDPA対応では、「外に漏れたかどうか」だけを見ていては不十分です。誤送信、紛失、改ざん、削除、システム停止、委託先での事故も含めて、個人データ侵害に該当するかを確認する必要があります。

最初に確認すべきこと

個人データ侵害の疑いがある場合、最初に行うべきことは、騒ぎを大きくすることでも、逆に見なかったことにすることでもありません。まず、事実を確認し、証拠を残し、被害拡大を止めることです。

確認項目	見るべきこと	主な担当
本当に侵害が起きたか	誤送信記録、アクセスログ、システム通知、外部からの連絡、社内報告	IT担当、現場責任者
何の個人データか	氏名、電話番号、メール、住所、ID番号、パスポート、給与情報、健康情報など	管理部門、データ保有部門
何人分か	対象者数、データ件数、顧客・従業員・応募者・取引先担当者の別	データ管理担当
センシティブ情報か	健康情報、障害、宗教、犯罪歴、生体情報などが含まれるか	管理部門、専門家
本人へのリスクがあるか	詐欺、なりすまし、差別、金銭被害、名誉・信用への影響	経営者、法務、専門家
拡大防止措置を取ったか	アクセス停止、パスワード変更、送信取消、委託先への停止指示、証拠保全	IT担当、現場責任者、経営者

注意： 事故直後にログを消す、端末を初期化する、関係者だけで処理して記録を残さない、という対応は避けるべきです。後から事実確認やPDPCへの説明が必要になったとき、会社として説明できなくなる可能性があります。

PDPC通知が必要かを判断する

PDPAでは、個人データ侵害を知った場合でも、すべての事案を無条件にPDPCへ通知するという建て付けではありません。個人の権利・自由に影響するリスクがない場合を除き、PDPC事務局へ通知する必要があります。

したがって、会社として判断すべきなのは、次の点です。

個人データ侵害に該当するか
個人の権利・自由に影響するリスクがあるか
PDPC事務局への通知が必要か
通知が必要な場合、72時間以内に必要情報を揃えられるか
72時間を超える可能性がある場合、その理由を説明できるか

PDPC告示では、通知が72時間を超える場合でも、単に遅れてよいわけではありません。避けられない必要性がある場合には、その理由や詳細をPDPC事務局に説明し、遅延通知に関する責任の免除を求めることができます。ただし、その説明は、個人データ侵害を知ってから15日以内に行う必要があります。

高リスクの場合は、本人通知も必要

個人データ侵害が、データ主体本人の権利・自由に高いリスクをもたらす場合は、 PDPC事務局だけでなく、本人にも遅滞なく通知し、救済方法を知らせる必要があります。

本人通知が問題になりやすいのは、たとえば次のような場合です。

ID番号、パスポート番号、銀行口座情報など、なりすましや詐欺につながりやすい情報が含まれる場合
健康情報、障害、犯罪歴、宗教など、センシティブな情報が含まれる場合
大量の顧客情報、従業員情報、応募者情報が外部に流出した可能性がある場合
流出データが第三者に販売・公開・転送されている可能性がある場合
本人に具体的な対応を促す必要がある場合

本人通知は、単なる謝罪文ではありません。何が起きたのか、どの情報が関係するのか、本人にどのようなリスクがあるのか、会社が何を行ったのか、本人が何をすべきかを、分かりやすく伝える必要があります。

72時間以内に揃えるべき情報

PDPC告示では、PDPC事務局への通知に含めるべき内容として、侵害の性質、関係する個人データ、影響を受ける本人や件数、DPOまたは連絡担当者、想定される影響、実施済み・実施予定の防止・是正・救済措置などが示されています。

項目	社内で集める情報
侵害の概要	いつ、どこで、誰が、どのように発見したか
侵害の種類	誤送信、不正アクセス、紛失、改ざん、利用不能、委託先事故など
対象データ	顧客情報、従業員情報、応募者情報、予約情報、医療情報、給与情報など
対象人数・件数	概算人数、正確な件数、確認中の場合は確認状況
本人への影響	詐欺、なりすまし、差別、金銭被害、信用被害などの可能性
実施済み措置	アクセス遮断、パスワード変更、データ削除依頼、委託先への指示、警察相談など
今後の措置	再発防止、本人通知、監視、システム改修、社内教育、委託契約見直しなど
連絡担当者	DPO、管理部門責任者、IT担当者、外部専門家など

72時間以内に完璧な調査報告書を完成させることが目的ではありません。ただし、会社として何を把握し、何が未確認で、どのようなリスク判断をしているのかを説明できる状態にする必要があります。

委託先で起きた事故も、自社の問題になる

情報漏えい等は、自社の社内システムだけで起きるわけではありません。会計事務所、給与計算会社、採用会社、IT会社、クラウドサービス、予約システム、警備会社、書類保管・廃棄業者など、委託先で事故が起きることもあります。

PDPC告示では、データ管理者が処理者に個人データ処理を委託する場合、処理者が侵害を知ったときには、管理者へ遅滞なく、可能な限り72時間以内に通知する義務を契約等に入れるべきことが示されています。

したがって、委託先に個人データを預けている会社は、次の点を確認しておくべきです。

委託先が個人データ侵害を知った場合、自社の誰に連絡するのか
何時間以内に初報を入れるのか
どの情報を報告させるのか
委託先だけで判断せず、自社へ報告するルールになっているか
DPAや業務委託契約に、事故報告・協力義務が入っているか

「委託先に任せているから大丈夫」ではありません。
委託先で事故が起きた場合でも、自社がデータ管理者として説明責任を問われる可能性があります。委託契約やDPAに、事故時の報告ルートを明確に入れておくことが重要です。

行政罰事例から見える実務上の注意点

2024年、MDESとPDPCは、個人データ10万件超を扱う民間企業について、 DPO未設置、安全管理措置不足、PDPCへの通知遅延・不実施などを理由に、合計700万バーツの行政罰を科したと発表しました。

また、2025年のPRD発表では、Webアプリから20万件超の個人情報がDark Webで販売された事例、病院の医療記録廃棄委託に関する事例、IT機器販売、化粧品販売、収集玩具販売と予約システム運営会社の事例などが示されています。

これらの事例から分かるのは、問題になるのは単に「漏えいしたかどうか」だけではないということです。安全管理措置、DPO、委託先管理、DPA、PDPC通知、本人への影響評価、事故後の説明可能性が見られています。

初動72時間チェックリスト

個人データ侵害の疑いがある場合、まず次の項目を確認してください。

いつ、誰が、どのように異常を把握したか
本当に個人データ侵害が起きた可能性があるか
対象となる個人データは何か
顧客、従業員、応募者、取引先担当者など、誰の情報か
対象人数・件数はどの程度か
センシティブ情報が含まれているか
本人に詐欺、なりすまし、差別、金銭被害などのリスクがあるか
データは外部に流出したのか、社内限定なのか、確認中なのか
アクセス停止、パスワード変更、送信取消、削除依頼などの拡大防止措置を取ったか
ログ、メール、画面、報告書などの証拠を保存したか
委託先が関係する場合、委託先から初報・詳細報告を受けたか
DPAや委託契約上の事故報告義務を確認したか
PDPC事務局への通知が必要か検討したか
72時間以内に通知できない場合、15日以内に遅延理由を説明できるよう記録しているか
本人通知が必要か検討したか
日本本社、タイ現地責任者、法務、IT、外部専門家への報告ルートを確認したか
通知しない判断をする場合、その理由を記録したか

日本本社への報告も、早めに行う

タイ現地法人で個人データ侵害が起きた場合、日本本社への報告も重要です。特に、日系企業では、顧客データ、従業員データ、駐在員情報、採用情報、グループ共通システムなどが、日本本社や他国拠点とつながっていることがあります。

日本本社へ報告する際は、単に「漏えいが起きました」と伝えるのではなく、次のように整理して報告すると、判断がしやすくなります。

発生日時・発覚日時
対象データの種類
対象人数・件数
外部流出の有無
本人へのリスク
PDPC通知・本人通知の要否
72時間以内に通知できない場合の理由と15日以内の説明準備
現在行っている拡大防止措置
今後必要な対応

まとめ：事故が起きてから体制を作るのでは遅い

タイPDPAの72時間ルールは、事故が起きてから慌てて調べ始める会社には厳しいルールです。 72時間以内に判断するためには、普段から、どこに個人データがあり、誰が管理し、委託先は誰で、事故が起きたら誰に連絡するのかを決めておく必要があります。

情報漏えい等が起きたときに重要なのは、隠すことでも、過剰に騒ぐことでもありません。事実を確認し、証拠を残し、被害拡大を止め、本人へのリスクを評価し、 PDPC通知・本人通知の要否を判断できる状態にすることです。

72時間以内に何を判断するか。それを事前に決めておくことが、タイPDPA対応の第一歩です。

主な参考情報

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562（Personal Data Protection Act B.E. 2562）
https://ratchakitcha.soc.go.th/documents/17082307.pdf
ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
https://www.mdes.go.th/law/detail/6336
MDES発表：PDPA行政罰事例
https://www.mdes.go.th/news/detail/8539-...
PRD発表：PDPA行政罰事例
https://www.prd.go.th/th/content/category/detail/id/39/iid/411160

海外での外国人採用にも日本国内の日本人採用と全く同じように使用することができる作業検査法適性検査・パーソナリティ検査
「内田クレペリン検査」のご依頼は、各国・地域の最寄りの販売店にご相談ください。

東アジアの販売店

韓国
- Korea Management Association
  - 主要な対応可能地域：ソウル、大邱、釜山、光州、済州
  - 内田クレペリン検査と併せて受けられるサービス：経営コンサルティング
  - 対応言語：韓国語
中国本土
- 上海人才金港企业集团
  - 主要な対応可能地域：上海、南京、蘇州、無錫、常州、鎮江、塩城、南通、南寧、寧波、蚌埠、西寧、銀川
  - 内田クレペリン検査と併せて受けられるサービス：人材開発
  - 対応言語：中国語
- キューブ・インテグレーション
  - 主要な対応可能地域：上海
  - 内田クレペリン検査と併せて受けられるサービス：メンタルヘルスケア
  - 対応言語：中国語、日本語
- 寧波納普貿易
  - 主要な対応可能地域：寧波、上海、深圳、東莞
  - 内田クレペリン検査と併せて受けられるサービス：製造コンサルティング、ファブレス
  - 対応言語：中国語、日本語
香港
- N-ERVE TECHNOLOGY
  - 主要な対応可能地域：香港
  - 内田クレペリン検査と併せて受けられるサービス：製造コンサルティング、ファブレス、人材紹介
  - 対応言語：日本語、中国語
台湾
- Pasona Taiwan
  - 主要な対応可能地域：台北、新竹、高雄
  - 内田クレペリン検査と併せて受けられるサービス：人事コンサルティング、人材開発、人材紹介
  - 対応言語：日本語、中国語

東南アジアの販売店

タイ
- Krung Asia Insight
  - 主要な対応可能地域：バンコク、タイ全国
  - 内田クレペリン検査と併せて受けられるサービス：タイ進出コンサルティング
  - 対応言語：タイ語、日本語
- Waguri
  - 主要な対応可能地域：バンコク、チョンブリー県、ラヨーン県、ナコーンラーチャシーマー県、チェンマイ県、ランプーン県
  - 内田クレペリン検査と併せて受けられるサービス：人材コンサルティング
  - 対応言語：日本語
- Pasona HR Consulting Recruitment (Thailand)
  - 主要な対応可能地域：バンコク
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介、人事コンサルティング
  - 対応言語：日本語、タイ語
- TRAINING AND SEMINAR KOTSUKOTSU
  - 主要な対応可能地域：バンコク
  - 内田クレペリン検査と併せて受けられるサービス：人材開発、人材紹介
  - 対応言語：日本語、タイ語
ヴェトナム
- Kosaido HR Vietnam
  - 主要な対応可能地域：ハノイ、ホーチミン、ダナン
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介、人材開発、ベトナム進出コンサルティング
  - 対応言語：日本語、ベトナム語
- Success Partner
  - 主要な対応可能地域：ホーチミン、ハノイ
  - 内田クレペリン検査と併せて受けられるサービス：組織開発
  - 対応言語：ベトナム語
ミャンマー
- J-SAT CONSULTING
  - 主要な対応可能地域：ヤンゴン、マンダレー
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介、ミャンマー進出コンサルティング、日本語教育
  - 対応言語：日本語、ミャンマー語
カンボジア
- Creative Diamond Links
  - 主要な対応可能地域：プノンペン
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介
  - 対応言語：日本語、クメール語
マレーシア
- Pasona HR MALAYSIA
  - 主要な対応可能地域：クアラルンプール
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介
  - 対応言語：日本語、マレー語、英語
ラオス
- Lao-Japan Gateway
  - 主要な対応可能地域：ヴィエンチャン
  - 内田クレペリン検査と併せて受けられるサービス：サイボウズ Kintone、ラオス進出コンサルティング
  - 対応言語：日本語、ラオ語
インドネシア
- Bruggen Batavia Indonesia
  - 主要な対応可能地域：ジャカルタ、ブカシ
  - 内田クレペリン検査と併せて受けられるサービス：人事コンサルティング、法務コンサルティング、ビザコンサルティング
  - 対応言語：日本語、インドネシア語、英語
- Japan Asia Consultants
  - 主要な対応可能地域：ジャカルタ、ブカシ
  - 内田クレペリン検査と併せて受けられるサービス：インドネシア進出・会社設立業務、会計・経理、税務、労務、法務、ビザ
  - 対応言語：日本語、インドネシア語、英語
フィリピン
- One World Human Resources Development
  - 主要な対応可能地域：マニラ、ケソン
  - 内田クレペリン検査と併せて受けられるサービス：日本語教育、人材開発
  - 対応言語：日本語、タガログ語、英語
シンガポール
- Pasona Singapore
  - 主要な対応可能地域：シンガポール
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介、人事コンサルティング
  - 対応言語：英語

南アジアの販売店

インド
- Pasona India
  - 主要な対応可能地域：デリー、グルグラム、チェンナイ、ベンガルール
  - 内田クレペリン検査と併せて受けられるサービス：人材紹介
  - 対応言語：日本語、ヒンディー語、英語

最寄りの販売店が見つからない、複数の地域での実施をご希望、などの場合はフォームからお気軽にお問い合わせください。