タイには「サイバー」に関係する法律が複数存在します。重要インフラを保護する「サイバーセキュリティ法」、不正アクセスや虚偽情報を規制する「コンピューター犯罪法」、そして2023年に制定されオンライン詐欺対策を強化した「テクノロジー犯罪防止勅令」です。それぞれ目的・規制対象・罰則が異なります。本稿では三つの法律を条文レベルで整理し、日系企業にとっての実務的含意を解説します。
Part 1:サイバーセキュリティ法 B.E. 2562 (2019年)
法律の目的と施行
サイバーセキュリティ法(Cybersecurity Act B.E. 2562)は2019年5月27日に施行されました。主な目的は、タイのサイバー空間の安全確保と重要情報インフラ(CII: Critical Information Infrastructure)の保護です。
所管当局:**NCSA(国家サイバーセキュリティ庁)**が設置され、NCO(国家サイバーセキュリティ委員会)が政策を決定します。
CIIの定義と対象セクター
Section 3がCIIを定義しています。**「国家安全保障・公共サービス・経済の維持に不可欠な情報システム・通信ネットワーク」**がCIIです。
NCOが官報でCII事業者を指定します。現在指定されているセクターは以下の8分野です。
| セクター | 対象事業者の例 |
|---|---|
| 国家安全保障 | 防衛機関、情報機関 |
| 公共サービス | 水道、廃棄物処理、政府ITシステム |
| 金融・銀行 | 銀行、証券会社、保険会社 |
| 情報通信技術 | ISP、データセンター、クラウド事業者(※改正案で追加) |
| 通信 | 電話会社、放送局 |
| 交通 | 空港、港湾、鉄道 |
| エネルギー | 電力会社、石油・ガス |
| 公衆衛生 | 病院、医療機関 |
日系製造業への影響
工場のIoTシステムや産業用制御システム(ICS/SCADA)は、エネルギー・交通セクターのCIIサプライチェーンに組み込まれている場合、間接的にサイバーセキュリティ法の影響を受けます。また、工場自体が「エネルギー供給に不可欠」と認定される可能性も否定できません。
CII事業者の義務
CII事業者に課される主な義務は以下のとおりです。
① セキュリティ基準の準拠 NCSAが定めるサイバーセキュリティ基準(National Cybersecurity Standard)に準拠したシステム整備が義務付けられます。基準はNCOが官報で告示します。
② 定期的なリスク評価・監査 年1回以上のリスク評価を実施し、結果をNCSAに報告します。
③ インシデント報告義務 セキュリティインシデントを認知した場合、72時間以内にNCSAに報告する義務があります。PDPAの72時間データ漏洩通知義務と並行して適用されます。
④ 事業継続計画(BCP)・インシデント対応計画 BCP(Business Continuity Plan)とインシデントレスポンス計画の策定・維持が義務付けられます。
3段階の脅威レベルと当局の権限
Section 39〜48が脅威レベルと対応措置を規定しています。
| レベル | 内容 | 当局の権限 |
|---|---|---|
| 非重大(Non-Critical) | 通常のサイバーインシデント | 調査・情報収集権限 |
| 重大(Critical) | 重要インフラに影響するインシデント | 広範な調査権限・CII事業者への指示権 |
| 危機(Crisis) | 国家安全保障・経済に重大な影響 | 緊急命令権限・システムへのアクセス権 |
批判と懸念:「危機」レベルでは、当局が令状なしにシステムにアクセスできる権限を持つとの解釈もあり、人権団体・法律専門家から批判を受けています。2025年のDraft Amendmentでは、こうした批判を踏まえた手続保障の整備も議論されました。
2025年7月のDraft Amendment — クラウド・データセンターへの拡大
2025年7月に公表されたDraft Amendmentの主なポイント:
- クラウドサービス事業者・データセンター事業者をCIIに追加指定する予定
- 国内データセンターへのデータローカリゼーション義務(特定データの国外保存制限)の検討
- 海外クラウドサービス(AWS・Azure・GCP等)を利用する日系企業にとって、今後の動向を注視する必要があります
日本のサイバーセキュリティ基本法との比較
| 項目 | タイ Cybersecurity Act | 日本のサイバーセキュリティ基本法 |
|---|---|---|
| 重要インフラのセクター数 | 8セクター | 14分野 |
| 執行機関 | NCSA(専門庁) | NISC(内閣サイバーセキュリティセンター) |
| CII事業者への直接規制 | あり(義務・罰則) | 努力義務(自主対応中心) |
| 令状なしアクセス | 危機時に可能との解釈 | なし |
Part 2:コンピューター犯罪法 B.E. 2550 (2007年) / 2017年改正
法律の適用範囲
コンピューター犯罪法(Computer Crime Act B.E. 2550)は、タイ国内でITシステムを使用するすべての主体に適用されます。2017年の改正でサイバー犯罪の類型が拡大され、サービスプロバイダーの義務が強化されました。
主要な犯罪類型と罰則
Section 5:不正アクセス コンピューターシステムへの無許可アクセスの禁止。 罰則:最大6か月の懲役または最大1万バーツの罰金(またはその両方)
Section 7:傍受 コンピューターデータの無許可の傍受・受信。 罰則:最大3年の懲役または最大6万バーツの罰金(またはその両方)
Section 9:コンピューターデータの改ざん・削除・破壊 コンピューターデータの無許可改ざん・削除・損壊。 罰則:最大5年の懲役または最大10万バーツの罰金(またはその両方)
Section 10:コンピューターシステムへの妨害 コンピューターシステムの機能を妨害する行為。 罰則:最大5年の懲役または最大10万バーツの罰金(またはその両方)
Section 14:虚偽情報の流布(問題条文) 「虚偽のコンピューターデータを入力することにより、公衆の恐怖を引き起こす、または公衆秩序・道徳・国家安全保障を損なうコンテンツを流布する行為」の禁止。 罰則:最大5年の懲役または最大10万バーツの罰金(またはその両方)
Section 14は、「虚偽情報の流布」として報道・SNS発信にも適用された事例があり、言論の自由との緊張関係を持つ問題条文として国際的な批判を受けています。日本のネット上の誹謗中傷規制(名誉毀損・業務妨害等)とは異なり、タイでは刑事罰が直接適用される点に注意が必要です。
金融システム・重要インフラへの攻撃 Section 12:金融機関・重要インフラのシステムへのサイバー攻撃。 罰則:最大10年の懲役または最大20万バーツの罰金
サービスプロバイダーの義務
コンピューター犯罪法はインターネットサービスプロバイダー(ISP)・プラットフォーム事業者等の「サービスプロバイダー」に対して以下の義務を課しています。
トラフィックデータの保存義務(Section 26): 利用者のトラフィックデータ(アクセスログ、IPアドレス、接続時刻等)を最低90日間、最大2年間保存する義務があります。
通知・削除義務: 裁判所命令を受けたサービスプロバイダーは、指定されたコンテンツを削除・遮断する義務を負います。義務違反の場合、最大5年の懲役または最大10万バーツの罰金が科されます。
日本の不正アクセス禁止法との比較
| 項目 | タイ Computer Crime Act | 日本の不正アクセス禁止法 |
|---|---|---|
| 不正アクセスの罰則 | 最大6か月の懲役(Section 5) | 最大3年の懲役または最大100万円の罰金 |
| 虚偽情報規制 | あり(Section 14) | なし(名誉毀損・偽計業務妨害等で対応) |
| サービスプロバイダー義務 | ログ保存90日〜2年 | 通信秘密保護中心 |
| フェイクニュース規制 | あり(問題条文として批判あり) | なし(総務省ガイドライン等) |
Part 3:テクノロジー犯罪防止勅令 B.E. 2566 (2023年) / 2025年改正
目的 — 急増するオンライン詐欺への対応
2023年制定のこの勅令は、コールセンター詐欺・オンラインフィッシング・ロマンス詐欺等の急増を受け、金融機関・SNSプラットフォームに対して強力な防止措置義務を課しました。2025年に改正され、さらに強化されています。
金融機関・デジタル資産事業者の義務
不正取引の報告義務:不正の疑いのある取引を認知した場合、24時間以内にDBD(商務省企業開発局)または警察に報告する義務。
凍結・停止への協力義務:当局からの要請を受けた場合、口座の凍結・取引の停止に協力する義務。
ミュールアカウント(名義口座)規制
犯罪化:他人の名前を使った口座(ミュールアカウント)の売買・使用の犯罪化。 罰則:最大3年の懲役+最大30万バーツの罰金
SNSプラットフォームへの義務
詐欺コンテンツの24時間削除義務: 当局から詐欺・フィッシングコンテンツの削除要請を受けたSNSプラットフォームは、24時間以内に削除する義務を負います。义务不履行の場合、プラットフォームの役員が刑事責任を問われる可能性があります。
2026年1月のDraft Notification — ユーザー本人確認義務化: SNSプラットフォームに対して、タイ国内ユーザーの本人確認(KYC)を義務付けるDraft Notificationが2026年1月に公表されました。正式施行の場合、Facebook・LINE・TikTok等に実名登録義務が課されます。
セクハラ新法との接続
2025年12月に改正されたタイのセクシャルハラスメント法には、オンライン上の性的画像(リベンジポルノ等)の「Take It Down(削除要求)」手続が含まれています。テクノロジー犯罪防止勅令の24時間削除義務と連動して機能することが想定されています。
関連記事
次回予告
**第6回・最終回(2026年3月27日公開)**では、タイの電子取引法(電子署名・電子契約の法的有効性・DocuSignは有効か?)とデジタル資産規制(暗号資産・ICO・ステーブルコイン)を解説し、シリーズ全体のまとめとして日系企業のデジタルコンプライアンスチェックリストをお届けします。
本記事はタイの法制度に関する一般的な情報提供を目的としており、タイ法に基づく法的助言を構成するものではありません。具体的な案件については、タイの弁護士資格を有する専門家にご相談ください。当事務所では提携先JTJBのタイ人弁護士と連携して対応いたします。