タイには現時点でAIを専門に規制する法律はありません。しかし、「規制がない=何をしてもよい」は大きな誤解です。金融・司法・消費者保護の分野ではすでに業界別規制が施行され、個人情報保護法(PDPA)はAI利用にもそのまま適用されます。さらに2025年には包括的なAI法案の基本原則が取りまとめられ、数年以内の制定が見込まれています。「法律を待ってから考える」では遅すぎる——タイでAIを活用する日系企業が今から何を準備すべきかを、2026年3月時点の最新情報をもとに整理します。
タイのAI規制 — 今どこにいるのか?
タイのAI規制環境は、次の3つのレイヤーで理解するのが便利です。
① 包括的AI法案(準備中)
タイでは2023年以降、2つの機関が並行してAI法案を策定してきました。
- 国家デジタル経済社会委員会事務局(ONDE)案:商業AI利用の透明性・安全性・公平性を確保することを主眼とした、規制色の強い「AI利用企業に対する王令案」
- 電子取引開発庁(ETDA)案:サンドボックス制度(後述)やデータ共有を推進する、イノベーション促進色の強い「AI振興支援法案」
2025年6月、パブリックヒアリングを経て両法案が統合され、**「Draft Principles of the AI Law(AI法草案の基本原則)」**として一本化されました。現在もETDAが改訂作業を続けており、数年以内の制定を目指していますが、施行時期はまだ未確定です。
② セクター別規制(一部は既に施行中)
証券取引委員会(SEC)は2023年に資本市場向けAI・機械学習(ML)利用規制フレームワークを公表し、タイ中央銀行(BOT)も金融機関向けAIガイドラインを策定しています。司法分野では裁判手続きにおけるAI利用ルールが、消費者保護分野でもAI関連規定がすでに適用されています。
③ 既存法の適用(PDPAなど)
包括的AI法が未制定でも、個人情報保護法(PDPA)・消費者保護法・不法行為法は今すぐAI利用に適用されます。これが現時点で日系企業に最も直結するリスクです(詳細は後述)。
タイの現状は、いわば「ハイブリッド規制環境」と表現できます。法律ができるのを待つのではなく、既存法の遵守と新法への備えを並行して進める姿勢が求められます。
リスクベースアプローチとは — EU AI Actとの比較で理解する
タイのAI法草案が参考にしているのが、EUの**AI Act(2024年8月発効)**です。その核心は「リスクベースアプローチ」——AIを一律に規制するのではなく、社会へのリスクの大きさに応じて規制の程度を変える考え方です。
EUとタイの4段階リスク分類
| リスク区分 | 具体例 | 規制内容 |
|---|---|---|
| 禁止AI | 潜在意識への操作、ソーシャルスコアリング、公共空間でのリアルタイム生体認証 | 市場投入・利用を全面禁止 |
| 高リスクAI | 採用選考、与信審査、医療診断支援 | 登録・リスク管理・透明性・精度担保義務 |
| 限定リスクAI | チャットボット、感情認識、ディープフェイク | 利用者への告知義務(透明性) |
| 最小リスクAI | スパムフィルター、AIゲーム | 原則として規制なし |
タイとEUの主な違い
タイの法案は EU AI Act を参考にしながらも、重要な点でタイ独自の設計になっています。
高リスクAIのリスト:EUは法律本体に具体的なリストを定めていますが、タイは各セクターの規制当局に委任する設計です。柔軟性はある反面、「自社のAIが高リスクに該当するか」の判断が企業にとって難しくなる面もあります。
汎用AI(GPAI)への規制:ChatGPTのような特定のタスクに限定されない「汎用AI」への規制は、タイの法案では現時点で明示的な規定がありません。EUはGPAIにも透明性義務を課しており、この点は今後の改訂で追加される可能性があります。
AIサンドボックス:EUでは加盟国への設置義務がありますが、タイは任意参加です。
罰則:タイの法案は行政罰に加えて刑事罰も明記しており、この点はEUより具体性があります。
日本との比較
日本の「AI事業者ガイドライン」(経済産業省・総務省)や広島AIプロセスは、義務的規制よりも自主的対応を重視する設計です。タイや EU はより規制志向が強く、タイでビジネスを行う日系企業は「日本国内の感覚」だけでは不十分と認識しておく必要があります。
PDPA × AI — 日系企業にとって最も身近なリスク
2026年2月17日、タイの個人情報保護委員会(PDPC)が「AI開発・利用における個人情報保護ガイドライン草案」を公開し、パブリックコメントを募集しました。これはPDPAとAIの交差点を初めて体系的に整理した重要な文書です。草案段階のため確定版では内容が変わる可能性がありますが、現時点での方向性として把握しておく価値があります。
「AIを使えば責任が減る」は誤り
このガイドライン草案が強調するのは、「AIを使っているから組織の責任が軽減される、ということはない」という原則です。
企業(AIの利用者)の位置付け:利用目的や入力データを決定している以上、PDPAの「データコントローラー」に該当します。顧客データをAIで分析する際も、同意取得・利用目的明示・データ最小化といった義務はそのまま企業側に帰属します。
AIベンダーの位置付け:原則として「データプロセッサー(処理委託先)」の位置付けですが、顧客データを自社のモデル訓練等に再利用する場合は「データコントローラー」に該当する可能性があります。ベンダーとの契約で「提供データをどう使うか」を明確にしなければ、PDPA上のリスクが企業側に残ります。
なお、PDPCは「Eagle Eye Crawler」と呼ばれる自動監視ツールを導入し、ウェブ上のPDPA違反を能動的に検知する体制を整えています。AI活用が広がるほど、データ保護面での露出リスクも高まります。
日系企業への実務的影響
- ChatGPT等の汎用AIツールに顧客・従業員の個人情報を入力していないか確認する
- AIベンダーとの**データ処理契約(DPA)**を整備・見直しする
- プライバシーノーティス・利用規約に「AIを使って処理している」旨を追記する
- 採用スクリーニング・与信判断等にAIを使う場合、根拠説明ができる体制を整える
PDPAの罰則は行政罰で最大500万バーツ(約2,000万円)、場合によっては刑事罰も適用されます。PDPAの基本的な枠組みについては、当事務所が今後公開予定の「タイPDPA実務ガイド」もあわせてご参照ください。
日系企業が今やるべき5つのこと
包括的AI法はまだ制定されていません。しかし「法ができてから考える」では遅すぎます。法制定後に慌てて対応する企業と、今から備えた企業とでは、コストも法的リスクも大きく違います。以下の5ステップで準備を始めましょう。
① 自社のAI利用状況を棚卸しする
どの業務部門が、どのAIツールを、何の目的で使っているか。SaaS型チャットボット・CRM自動化・採用ツール・データ分析ダッシュボードまで含めてリストアップします。「IT部門が勝手に導入していた」「現場がChatGPTを業務に使っている」といったケースが実態として多く見られます。
② リスク分類する
棚卸し結果を4段階のリスク区分に当てはめます。特に採用・与信・医療・安全管理に関わるAIは高リスク候補として優先的に検討してください。「うちは製造ラインの効率化にしか使っていない」という場合でも、センサーデータに個人情報が含まれるケースがあります。
③ AIベンダーとのDPAを確認・整備する
ベンダーがデータをどう扱うか(モデル学習に使うか等)を契約書で明確にします。無料または低コストのAIツールほど、利用規約でデータ再利用が認められているケースが多いため注意が必要です。
④ プライバシーノーティス・利用規約を更新する
顧客・従業員に対して「AIを使って処理している」ことを分かりやすく開示します。チャットボットの場合は「このチャットはAIが対応しています」という告知も、限定リスクAIへの透明性義務として求められる方向です。
⑤ 社内AIガバナンスポリシーを策定する
AI利用の責任者、リスク評価の手順、インシデント発生時の対応フロー、記録保持ルールを文書化します。「誰がどのAIをどう使うかを把握・管理している」という体制の証明が、将来の規制対応でも重要になります。
AIサンドボックスの活用可能性
ETDA傘下の「AI Innovation Testing Center」は、規制環境が整う前にAIサービスを試験的に展開できる「サンドボックス(実験的に規制の一部を緩和する制度)」を提供しています。
参加企業は行政罰からの「セーフハーバー(法的な保護ゾーン)」を享受できます(ただし民事上の損害賠償責任は免除されません)。フィンテック・ヘルステック分野で先行活用例があり、製造業のIoT×AI、物流最適化、顧客対応AIなど日系企業が関わる分野でも活用余地があります。
BOIの投資奨励(タイBOI新規則2025:外国人雇用基準・土地所有恩典の変更)と組み合わせることで、イノベーション促進とリスク管理の両立を検討できます。
今後の注目ポイント
包括的AI法案の進捗:ETDAが改訂作業を継続中。今後のパブリックコメントや議会動向が制定時期を左右します。
PDPCのAI×プライバシーガイドラインの確定版:草案のパブリックコメント後、確定版の時期は未公表です。内容変更の可能性も踏まえ、確定版を待って対応を始めるのではなく、草案の方向性に沿って早期に準備することを勧めます。
セクター別規制の拡大:医療・自動車・建設・教育分野への波及が予想されます。自社の業種に対する新たなガイドライン公表を継続的にモニタリングする体制が必要です。
ASEAN域内の規制調和:「ASEAN Guide on AI Governance and Ethics」を踏まえ、タイがASEAN標準に沿った規制設計を進めています。シンガポール(Model AI Governance Framework)やインドネシア等との比較は今後の記事で取り上げる予定です。
繰り返しになりますが、「今はまだ義務が少ない」からこそ、今ガバナンス体制を整えた企業が法制定後に有利な立場に立てます。準備期間がある今が動き時です。
当事務所の取り組み
当事務所は、タイ法に関する実務対応をJTJB International Lawyersのタイ人弁護士と連携して行うとともに、**AI技術を活用した紛争解決(AI-ODR:AI-assisted Online Dispute Resolution)**の研究にも取り組んでいます。AIの法的リスクと活用可能性の両面から、日本法・タイ法にまたがる包括的なアドバイスが可能です。
AI-ODRが紛争解決をどう変えるかについては、紛争解決シリーズ第3回:ODRとAIの最前線もぜひあわせてご覧ください。
タイでのAI利用に関するPDPAコンプライアンス、AIガバナンス体制の構築、契約書のAI条項整備など、日本法・タイ法の両面からアドバイスいたします。当事務所ではAIを活用した紛争解決(AI-ODR)の研究にも取り組んでおり、テクノロジーと法律の交差領域について知見を有しています。お気軽にお問い合わせください。
本記事は2026年3月時点の公開情報に基づく一般的な情報提供であり、個別の法的助言を構成するものではありません。タイ法に関する具体的案件については、必ずタイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。