タイ赴任後、最初に押さえるべきPDPA実務

Date : 29-05-2026

~日本人ITマネージャが知っておくべき「人事データ」「プライバシーポリシー」「システム更新」の重要ポイント~

タイ現地法人に赴任し、初めてITマネージャを任された日本人の方が比較的早い段階で直面するテーマの一つが、タイ個人情報保護法(PDPA:Personal Data Protection Act)への対応です。タイのPDPAは、欧州のGDPR(General Data Protection Regulation)の考え方をベースに制度設計されており、日本の個人情報保護法とは異なる点も多いため、日本での対応方法をそのまま適用できない場面があります。個人情報保護の対応は法務や人事の仕事と思われるかもしれませんが、実際には、個人情報は日々のシステム運用、クラウド管理、アクセス権設定、バックアップ、ベンダ管理など、IT部門の業務と密接に結びついています。以下では、タイ赴任後のITマネージャが最初に押さえておきたいPDPAの重要ポイントを解説します。

1. 個人情報とは

タイPDPAにおける個人情報とは、直接または間接的に個人を識別できる情報をいいます。例えば、氏名、メールアドレス、電話番号、社員番号、勤怠記録、人事評価情報、IPアドレス、Cookie識別子などが個人情報に該当し得ます。人事システムでは、健康診断結果や指紋、顔認証データなど、より厳格な管理が求められるセンシティブ情報を扱うことも想定されます。これらのセンシティブ情報については、原則として本人からの明示的な同意が必要とされるなど、通常の個人情報よりも厳しい取扱いルールが設けられています。

2. HRデータ管理で最初に確認したいポイント

日本ITマネージャーとしての赴任後、まず確認したいのは次の点です。

  1. 取得している個人情報と取得目的の確認 会社が取得処理している個人情報および取得目的を把握することは、PDPAを遵守する上での大前提となります。企業システム内に存在するデータには、顧客や取引先の情報、さらには従業員の情報など、多岐にわたる個人情報が含まれます。各データについて、プライバシーポリシー等を通じて本人に取得目的が正しく通知されているか、またその目的に照らして必要最小限のデータのみを収集するシステムおよび運用になっているかを網羅的に確認することが不可欠です。
  2. 誰がアクセスできるのか 人事部やIT部門が必要以上に広い権限を持っていないか、また退職者アカウントが残っていないかを確認することが重要です。PDPA上は、業務上必要な者だけがアクセスできる状態にすることが求められます。
  3. データはどこに保存されているのか タイ法人で運用していても、実際には日本本社や海外クラウドに個人情報が保存されていることは珍しくありません。タイ国外への個人情報の移転は、国外移転規制としてPDPA上の対応を講じる必要があります。個人情報がどこに保存されているかをIT部門が把握しておくことは重要です。
  4. 外部ベンダとの契約は整備されているか 給与計算会社、クラウドベンダ、開発会社などに従業員情報の処理を委託している場合には、PDPA上、データ処理委託契約の締結が必要になります。

3. 実務の出発点はプライバシーポリシー

PDPA対応というとまず本人の同意を取ることと考えがちですが、実務上その前提になるのがプライバシーポリシーの整備です。PDPAでは、個人情報を取得する前または取得時に、原則として本人に対し、どのような個人情報を取得するのか 何の目的で利用するのか 、どのくらい保存するのか 、第三者に提供するのか、本人がどのような権利を持つのか、などをプライバシーノーティスとして通知する義務があります。

実務では、これらをプライバシーポリシーとして文書化し、Webサイト、アプリ、HRシステム、申請フォーム等で表示したうえで、その内容への同意を取得するという運用が一般的です。ITマネージャとして特に重要なのは、プライバシーポリシーの内容と実際のシステム運用が一致しているかを確認することです。例えば、①従業員データはタイ国内で管理と説明しているのに、実際には日本本社のクラウドに保存されている、②「退職後1年で削除」と記載しているのに退職者データが無期限にHRシステムに残っている、③従業員向けポリシーはあるが、採用応募者向けや監視カメラの被写体向けのポリシーが用意されていないような場合には、プライバシーポリシーの修正が必要になります。

4. 事故が起きやすいのはシステム更新時など

情報漏えいの事故は、通常の運用時よりも、システム更新、データ移行、クラウドサービスの利用開始、外部ベンダへの委託など通常時とは異なる対応が求められるタイミングで発生しやすい傾向があります。本番の従業員データをそのまま外部ベンダに渡してテストを行ったり、退職者情報を含むExcelファイルが共有フォルダに残ったままになっていたりするようなケースが実際に起こり得ます。PDPAでは、こうした技術変更時にセキュリティ対策を見直すことも求められており、事前にアクセス権、テストデータ、バックアップ、ベンダ管理を確認しておくことが重要です。

5. 万一事故が起きたら、72時間以内の報告

個人情報漏えいの事故が発生した場合、PDPAでは原則72時間以内の個人情報保護委員会へ報告が求められます。例外として個人の権利と自由に対するリスクが生じる可能性が低い場合は報告不要とされていますが、まずは個人情報保護委員会の(www.pdpc.or.th)にタイ人スタッフ様を通じて報告をされることを推奨します。事故発生時、IT部門が最初に行うべきことはシンプルです。アクセス遮断・被害拡大防止、ログ保全・事実確認、法務・経営層への即時報告などです。初動の遅れは、罰則以上に大きな信用失墜につながります。

おわりに

PDPA対応は、法務部や人事部だけの仕事ではありません。タイで初めてITマネージャを務める方は、PDPA対応の第一歩として、まずは自社は、どの個人情報を、どこで、誰が、何の目的で扱っているのかを確認し、そして実際のシステム運用と整合したプライバシーポリシーを整備、改定することから始めることをお勧めします。

お問合わせ

" + NS Solutions" は日鉄ソリューションズ株式会社の登録商標です。

その他本文記載の会社名および製品名はそれぞれ各社の商標または登録商標です。