タイのデジタル規制の状況

タイのデジタル規制の状況
掲載日:2020年3月

1. 国の概況
▶ 2019年3月の総選挙での親軍派の勝利により、プラユット暫定首相が続投、同年7月に第二次政権がスタートした。東部経済回廊(EEC)の開発など主要な成長戦略は維持されている。
▶ 2016年に情報通信技術省をデジタル経済社会省に改編するなど、タイ政府は国家のデジタル化推進に意欲的。
▶ 自動車や電子商品を中心に製造業系の日系企業が集積し、日系企業の拠点数はASEAN域内で最大。

タイの概況

2. デジタル法制の状況
▶ 通称「タイランド4.0」国家戦略に基づき、IT技術開発推進やスマートシティ開発など、政府はデジタル化推進に積極的なスタンス。
▶ 2016年にはデジタルエコノミー社会開発プラン(Thailand Digital Economy and Society Development Plan)を発表し、タイのデジタル化についての長期的なビジョン、政策を示した。

【国家戦略・計画】
タイ-デジタル法制【国家戦略・計画】
1 デジタルエコノミー促進マスタープラン ⇖

【デジタル法制】
▶ 2017年にコンピュータ犯罪法の改正、2019年にはサイバーセキュリティ法が成立し、政府によるデータ管理の監視体制が強化された。サイバーセキュリティ法では、サイバーセキュリティ上重大な脅威の防止、処理のため、政府(サイバーセキュリティ庁)が企業に対し情報提供求めること、立ち入り、コンピュータシステムを調査する権限が与えられている。このため、今後の細則、運用を注視する必要がある。
▶ 2019年5月には、EU一般データ保護規則(GDPR)をベースとした個人情報保護法(PDPA)が成立し、2020年5月にすべての効力が発生する。これを受けて、タイでは個人情報の管理体制が強化される見通しである。詳細については2年以内に定められる予定の関連法規(細則)を注視する必要がある。

タイ【デジタル法制】
2 個人情報保護法  Electronic Transactions Development Agency ⇖

【個人情報保護法(PDPA)】
▶ 個人情報は最初の草案の作成から約10年後の2019年2月に成立し、同年5月に施行。ただし主要な条項(2、3、5、6、7、95、96条)の効力発生は1年後(2020年5月24日)に発生する。また細則は2021年5月までに作成される計画になっている。
▶ 主な用語の定義は以下の通りである。
• 個人情報:直接・間接を問わず、その人物を特定しうる個人に関係するあらゆる情報。
• データ管理者(Data Controller):個人データの収集、使用、開示の決定権限を有する人物または法人。
• データ処理者(Data Processor):データ管理者の指示の下、個人データの収集、使用、または開示に関連して業務を行う人物または法人。
▶ データ管理者はデータ主体(個人情報の保有者)が事前に同意をしない限り、個人情報の収集、使用、開示を行ってはならない。また、同意に際して、目的、収集する情報の種類、保管期間、データ主体の権利を通知しなければならない(第19条)。特に、人種、宗教、政治的思想、性的嗜好、遺伝子データ、犯罪経歴、バイオメトリックデータに関する情報をデータ主体の明確な同意なしに収集することは禁止されている。
▶ 海外への個人情報の移転は、当該第3国または国際機関が規定する個人情報保護の十分な基準を満たしている場合、可能となる。満たしていない場合、データ主体に対し、その事実を説明した上で、同意を得る必要がある。タイに所在するデータ管理者、データ処理者が海外に所在するデータ管理者、データ処理者に移転を行う次の場合は海外移転の例外として認められている:個人情報を、同一グループ会社に属する者、または合弁事業を行う者、に対して移転する場合、情報保護に関するポリシーを施し、そのポリシーが個人情報保護委員会事務局により承認されれば、移転が可能(第29条)。適用範囲、承認プロセスなどは細則で定められる見込み。GDPRでは個人データ提供元と提供先の企業間でデータ保護に関する契約を締結するSCC(Standard Contractual Clauses:標準契約条項)が主流であるが、PDPAはポリシーの承認が必要であり、運用次第では手続きが煩雑になる可能性が残る。
▶ データ管理者の法律違反に対して、GDPRとは異なり、刑事責任が問われる。1年未満の懲役、または100万バーツ以下の罰金、またはその両方が科せられる。また、経営責任として500万バーツ以下の罰金が科せられる。

【サイバーセキュリティ法】
▶ 2019年にサイバーセキュリティ法が成立したことにより、政府によるデータ管理の監視体制が強化された。
▶ サイバー脅威が発生した場合、首相、国防大臣、デジタル経済社会大臣らで構成される国家サイバーセキュリティ委員会(NCSC)は民間企業に以下の要求することができる。(1)サイバー脅威を防止するために必要な範囲で、関連するコンピューターデータまたはコンピュータシステム、関連するその他の情報へのアクセスを提供する。(2)コンピュータまたはコンピュータシステムを監視する。(3)コンピュータ、コンピュータシステム、またはその他の機器の凍結。
▶ 「重要情報インフラ」とは国家安全保障、軍事安全保障、経済安全保障、および国家秩序にとって重要な情報を有する組織であり、以下の分野、またはサービスを提供する組織が想定される:
 (1)国家安全保障
 (2)公共サービス
 (3)銀行および金融
 (4)情報技術および電気通信
 (5)輸送およびロジスティクス
 (6)エネルギーおよび公益事業
 (7)公衆衛生
 (8)そのほか委員会によって規定された組織
▶ 「重要情報インフラ」は所有者、監視者の届け出、行動規範、最低限のサイバーセキュリティの遵守、年1回のリスク評価の実施が義務付けられており、違反の場合は罰金、刑事罰が科せられる。「重要情報インフラ」の対象範囲を含め、今後の細則を注視する必要がある。

3. デジタル化の状況
【インターネットの利用度】
▶ 近年スマートフォンの保有人口が増大し、インターネット普及率は80%を超え、先進国に迫る水準に達している。
▶ 電子商取引市場の規模は直近3年で倍増(約5,000億円)しているものの、インターネット人口1人あたりのEC金額でみると8,000円/年に留まっており、所得水準からみても伸びしろがある。
▶ 若年層を中心にSNSの活用が広まり、中でもFacebookユーザーは人口比7割に迫る数を誇る。

タイ デジタル化状況【インターネット利用度】

【EC市場規模】
▶ タイのEC市場は順調に拡大するとの推測。2020年には58.8億米ドル(約6,400億円)と、2016年の約2倍にまで拡大。
▶ EC化率(物販全体の市場規模に占めるEC市場規模の比率)は未だ2%台であり、日本(5%)、米国(7%)と比較する低い水準にある。
▶ タイのEC市場のうち、SNS(主にフェイスブック)経由による購入主流(2017年には40%を占める)3。マーケットプレイス型では、アリババ傘下のLazadaのシェアが最も高い。

タイ デジタル化状況【EC化率、EC市場規模】

【デジタル産業】
▶ タイにはユニコーン企業(企業評価額10億ドル以上)は未だ存在しない。また、デジタル産業を担う次世代型スタートアップ企業の数も少ない。
▶ 他方で、大手通信事業傘下または資本提携をする企業の中にはDtacのようなユニコーン予備軍が育ってきている。
▶ デジタル経済社会省(MDES)、タイ投資委員会(BOI)らが主導で、IT産業の投資促進を行っている。チョンブリ県のDigital Park Thailand4はプラユット政権の開発戦略の1つである東部経済回廊のデジタル分野の中心となるプロジェクトである。また、通信大手のTrueは国内およびASEAN域内のスタートアップ企業育成を目指したTrue Digital Parkを開設、日系を含む海外の企業が相次いで入居しており、デジタル産業の発展が期待される。

3 Thai E-Commerce Associationとのヒアリング結果より
4 Digital Park Thailand