タイでビジネスを展開する日系企業にとって、「ITシステムやデータをどの法律が規制しているのか」は決して他人事ではありません。しかしタイのデジタル関連法は単一の「デジタル法典」として整理されているわけではなく、個人データ・サイバーセキュリティ・電子取引・AI・暗号資産など、テーマごとに別々の法律・勅令が存在しています。「どれが自社に関係するのか」「罰則はあるのか」——こうした疑問に体系的に答えるために、本シリーズではタイのデジタル法を全6回にわたって解説します。第1回は全体像を「地図」として整理します。
なぜ今、タイのデジタル法を理解すべきか
タイのデジタル経済は急成長中
2026年のタイEC市場規模は約1.15兆バーツ(前年比7%成長)と推計されており、Shopee・Lazada・TikTok Shopの3強が市場を牽引しています。製造業では工場のIoT化・産業用制御システムのデジタル化が加速し、金融機関ではデジタルバンキングやフィンテックが急拡大しています。タイ政府もAI・データ経済を国家戦略の柱に据え、2025〜2030年のデジタル経済社会計画(DESDP)に基づく法整備を進めています。
こうした経済環境の変化に伴い、タイ政府はこの数年で複数のデジタル関連法を制定・改正しました。日系企業がタイでITシステムを使い、ウェブサイトを運営し、社員の個人データを管理し、電子契約を締結するだけで、複数の法律の適用対象になります。
「どの法律が自社に関係するか」がわからない
日系中小企業から最もよく聞かれる質問の一つが、「タイにはどんなIT関連の法律があるのか?うちは何を守ればいいのか?」というものです。タイの法律情報は英語・タイ語の文献が中心で、日本語での体系的な解説は限られています。本シリーズがその「地図」として活用されることを目指しています。
タイのデジタル法体系マップ — 7つの法律+2つの法案
タイのデジタル関連法は大きく「施行済みの法律7本」と「策定中の法案2本」に分類されます。
施行済みの法律
① 個人データ保護法(PDPA)
- 正式名称:Personal Data Protection Act B.E. 2562
- 制定:2019年/全面施行:2022年6月1日
- 規制内容:個人データの収集・利用・開示・越境移転の規制、データ主体の権利保護
- 主管当局:PDPC(個人データ保護委員会)
- 日本の対応法令:個人情報保護法
タイ版GDPRとも呼ばれ、日系企業にとって最も身近なデジタル法の一つです。「名前・連絡先」程度の情報を扱う企業もすべて適用対象です。
② サイバーセキュリティ法
- 正式名称:Cybersecurity Act B.E. 2562
- 施行:2019年5月27日
- 規制内容:重要情報インフラ(CII)の保護、サイバー脅威への対応体制の整備
- 主管当局:NCSA(国家サイバーセキュリティ庁)
- 日本の対応法令:サイバーセキュリティ基本法
通信・金融・エネルギー・物流・医療などの重要インフラ事業者に義務が課されます。日系製造業でも工場の制御システムが「重要インフラ」に該当する可能性があります。
③ コンピューター犯罪法
- 正式名称:Computer Crime Act B.E. 2550(2017年改正)
- 規制内容:不正アクセス・データ改ざん・虚偽情報の流布等のサイバー犯罪の禁止、サービスプロバイダーのデータ保存義務
- 主管当局:MDES(デジタル経済社会省)・警察
- 日本の対応法令:不正アクセス禁止法
ITシステムを使うすべての企業・個人に適用されます。特に「虚偽情報の流布(Section 14)」条項は、SNS発信・マーケティングにも関係します。
④ 電子取引法
- 正式名称:Electronic Transactions Act B.E. 2544(2019年改正)
- 規制内容:電子署名の法的有効性、電子データの証拠能力、電子契約の成立要件
- 主管当局:ETDA(電子取引開発庁)
- 日本の対応法令:電子署名法・IT書面一括法
タイで電子契約を締結する際の法的根拠を提供します。DocuSignなどの電子署名サービスがタイで有効かどうかを判断する際に参照します。
⑤ テクノロジー犯罪防止勅令
- 正式名称:Royal Decree on Measures for Prevention and Suppression of Technology Crimes B.E. 2566(2025年改正)
- 規制内容:オンライン詐欺・金融犯罪の防止、金融機関の不正取引報告義務、SNSプラットフォームのコンテンツ削除義務
- 主管当局:MDES・金融機関・ETDA
- 日本の対応法令:犯罪収益移転防止法・特殊詐欺対策関連法
近年急増するオンライン詐欺・フィッシング詐欺への対応を強化した法令です。SNSプラットフォームや金融機関に強い義務を課しています。
⑥ デジタル資産事業緊急勅令
- 正式名称:Emergency Decree on Digital Asset Business B.E. 2561
- 施行:2018年
- 規制内容:暗号資産・デジタルトークンの取引所・ブローカー・ディーラー等のライセンス制度、ICO規制
- 主管当局:SEC(証券取引委員会)
- 日本の対応法令:資金決済法・金融商品取引法
暗号資産ビジネスやブロックチェーンを活用したトークン発行を行う企業に直接関係します。
⑦ 競争取引法(デジタルプラットフォーム規制)
- 正式名称:Trade Competition Act B.E. 2560(2017年)
- 施行:2017年
- 規制内容:支配的地位の濫用禁止、不公正取引行為の禁止(eコマースプラットフォームへのガイドライン展開)
- 主管当局:TCCT(タイ取引競争委員会)
- 日本の対応法令:特定デジタルプラットフォームの透明性及び公正性の向上に関する法律
策定中の法案
⑧ AI法案(Draft Principles of the AI Law)
- 策定機関:ETDA(統合版)
- ステータス:2025年6月に基本原則が取りまとめられ、現在改訂作業中
- 規制内容:リスクベースのAI規制(禁止AI・高リスクAI・限定リスクAI)、プロバイダー・デプロイヤーの義務
- 日本との比較:EU AI Actに近い構造
⑨ プラットフォーム事業者法案(Draft Platform Economy Act:PEA)
- 策定機関:ETDA
- ステータス:策定中
- 規制内容:EU DSA(デジタルサービス法)型のプラットフォームガバナンス(通知・削除、ランキング透明化等)
管轄当局マップ
| 法律・法案 | 主管当局 | 日本の対応法令 |
|---|---|---|
| PDPA | PDPC | 個人情報保護法 |
| Cybersecurity Act | NCSA | サイバーセキュリティ基本法 |
| Computer Crime Act | MDES・警察 | 不正アクセス禁止法 |
| Electronic Transactions Act | ETDA | 電子署名法 |
| Technology Crimes Decree | MDES・金融機関 | 犯罪収益移転防止法等 |
| Digital Assets Decree | SEC | 資金決済法・金商法 |
| Trade Competition Act | TCCT | 特定DPF透明化法 |
| Draft AI Law | ETDA・AI Governance Center | (AI基本法検討中) |
| Draft PEA | ETDA | デジタルプラットフォーム取引透明化法 |
「うちの会社はどの法律が関係するか」判定フロー
日系企業にとって、どの法律が自社に関係するかは以下の基準で判断できます。
全企業に適用(原則)
PDPA(個人データ保護法):従業員・顧客・取引先の個人情報を1件でも扱う企業はすべて対象です。「タイ国内でのデータ処理」だけでなく、「海外からタイ人の個人データを処理する場合」も適用されます(域外適用)。日本本社がタイ子会社の従業員データを管理するケースも対象となりえます。
コンピューター犯罪法:タイ国内でITシステム・ウェブサイト・ネットワークを使用する企業はすべて適用対象です。特にサービスプロバイダー(インターネットサービス提供者・データセンター事業者等)にはトラフィックデータの保存義務が課されます。
特定業種・業態に追加で適用
| 業種・業態 | 追加で適用される法律 |
|---|---|
| 通信・金融・エネルギー・物流・医療等のインフラ企業 | Cybersecurity Act(CII事業者義務) |
| EC・デジタルプラットフォーム事業者 | Trade Competition Act(TCCTガイドライン) |
| 暗号資産・ブロックチェーン・フィンテック企業 | Digital Assets Decree |
| AIシステムを開発・提供・利用する企業 | PDPA(既に適用)+Draft AI Law(将来) |
| 電子契約を締結・送受信する企業 | Electronic Transactions Act |
| SNSプラットフォーム・金融機関 | Technology Crimes Decree |
シリーズ全6回の見取り図
本シリーズでは、上記の法律・法案を以下の6回に分けて解説します。
| 回 | 公開日 | テーマ |
|---|---|---|
| 第1回(本記事) | 2026/3/22 | 全体像マップ — 7つの法律の関係を整理 |
| 第2回 | 2026/3/23 | PDPA — 執行強化・罰金事例・AI連動 |
| 第3回 | 2026/3/24 | AI規制 — Draft AI Lawの条文構造と企業の義務 |
| 第4回 | 2026/3/25 | eコマース・プラットフォーム規制 — TCCTガイドラインとDraft PEA |
| 第5回 | 2026/3/26 | サイバーセキュリティ法+コンピューター犯罪法 |
| 第6回 | 2026/3/27 | 電子取引法・電子署名・暗号資産規制+シリーズまとめ |
なお、AI規制・eコマース規制・PDPAについては本シリーズに先立って個別の実務ガイド記事を公開しています。本シリーズは「法律の構造・条文」に焦点を当てた連載です。個別の実務アドバイスはそちらもあわせてご参照ください。
関連記事
- タイでAIを使う企業は要注意|2026年最新のAI規制フレームワークと日系企業が今やるべきこと
- タイでEC新規制が始まる|プラットフォーム手数料・物流独占にメス、日系出店者が知るべきこと
- タイPDPA実務ガイド2026
次回予告
**第2回(2026年3月23日公開)**では、2026年に入って執行が本格化しているPDPA(個人データ保護法)について、罰金事例の条文分析、PDPC Eagle Eye Crawlerの監視範囲、AI×PDPAガイドライン草案の内容、越境データ移転の実務を詳しく解説します。
本記事はタイの法制度に関する一般的な情報提供を目的としており、タイ法に基づく法的助言を構成するものではありません。具体的な案件については、タイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。