タイのPDPA 2026年版:Cookieconsent、国境を越えたデータ転送、PDPC執行に関するパブリッシャーおよび広告主向けガイド
タイの個人データ保護法 B.E. 2562(2019年)——PDPAとして知られる——は複数の延期を経て2022年6月に完全施行となり、その後の3年間の大半を規制キャパシティの構築、下位規則の整備、そして個人データ保護委員会(PDPC)が公式に「忍耐強い執行姿勢」と表現した段階で過ごしました。その姿勢は今や明確に終わりを告げました。2024年および2025年のPDPC下位規則は基本法が残していた具体的な詳細を埋め、PDPCの事務局(実務規制当局)は執行能力を整備し、2026年初頭までにPDPCは——海外からタイのユーザーのデータを処理する外国プラットフォームを含む——意味のある水準で行政罰金を発行し始めました。タイに所在する個人の個人データを処理するすべてのパブリッシャー、広告主、またはプラットフォーム——タイに拠点を置く者であれ、海外からタイ市場にサービスを提供する者であれ——にとって、2026年はPDPAが比較的穏やかな制度であることをやめ、真の執行優先事項となる年です。このガイドでは、2026年現在のPDPAの状況、Cookieconsentが実際に何を要求するか、2025年の転送規則後に国境を越えたデータ転送がどのように機能するか、そしてPDPCの初期執行テーマが実践においてどのように見えるかを解説します。
2026年のPDPAの構造
PDPAはタイの主要な個人データ保護法であり、その構造はGDPRと非常に似ています。2024年および2025年の下位規則は、基本法に以前は欠けていた運用上の詳細を追加しました。
下位規則が追加したもの
2024年および2025年を通じて、PDPCは以下に関する下位規則を発行しました:国境を越えたデータ転送メカニズム、データ保護オフィサーの任命と職務、データ侵害通知手順、処理記録要件、データ主体の権利行使ワークフローのタイムライン、および機微な個人データに関する特定の同意基準。これらの規則は集合的に、PDPAを一般的な枠組みからGDPRに匹敵する具体性を持つ運用制度へと変貌させました。
規制対象者
PDPAはほとんどのデータ管理者および処理者に適用され、商品またはサービスの提供あるいは行動の監視に関連してタイの個人の個人データを処理する外国組織に対しては域外適用があります。ローカライズされたサイトやタイのIPに対して購入したプログラマティック在庫を通じてタイのユーザーにサービスを提供する外国パブリッシャーは通常適用範囲に含まれ、PDPCは初期の執行通知において域外適用条項を発動しています。
行政的・刑事的制裁
PDPAは違反ごとに最大500万THBの行政罰金を規定し、最も深刻な違反に対しては特定の状況下での取締役の投獄を含む刑事罰も設けています。行政罰金の上限はGDPRより絶対額で低いものの、PDPCの強化される執行姿勢と刑事責任の可能性が実効的なリスクを重大なものにしています。
PDPAにおける個人データの範囲
PDPAの個人データの定義はGDPRに非常に近いものです。個人データとは、識別された、または識別可能な個人に関する情報であり、PDPCはCookie、広告識別子、IPアドレス、デバイスフィンガープリント、行動プロファイルを、他の情報と直接または組み合わせることで個人に結びつけられる場合、一貫して個人データとして扱ってきました。
機微な個人データ
PDPAは広範な機微カテゴリを指定しており、以下を含みます:人種または民族的出身、政治的意見、宗教的または哲学的信念、性的行動、犯罪歴、健康データ、障害、労働組合員資格、遺伝子データ、生体認証データ。機微な個人データの処理は明示的な同意を必要とし、管理者に追加の義務を課します。
CookieにとってこれがなぜOPなか
ルーティン識別子を保存するCookieは通常の個人データです。PDPAの機微リストに触れるオーディエンスセグメントを供給するCookie——健康上の関心、宗教的所属、政治的傾向——は機微な個人データの処理であり、一般的な広告同意ではなく明示的な同意が必要です。機微リストと重複するタイ語のオーディエンスターゲティングは、この境界に照らして具体的に監査する必要があります。
2026年のPDPA下でのCookieconsent
PDPAは処理のための複数の合法的根拠を認めていますが、サービス提供に厳密に必要ではないCookieおよび類似技術については、PDPCのガイダンスと初期の執行が、同意を実用的な基準として収束させています。
有効な同意の要素
PDPA下での同意は以下を満たす必要があります:
- 自由に与えられた——強制なく、または必須サービスの提供との抱き合わせなく
- 十分な情報に基づく——データ主体がどのデータが、誰によって、どのような目的で処理されるかを理解している
- 特定の——包括的な同意ではなく、明確に特定された目的に結びついている
- 明確な——不活動から推測されるのではなく、明確な積極的行為によって表明される
- 明示的な(機微な個人データが関わる場合)——機微な処理に対して別個かつ特定の同意を伴う
準拠したCMPの外観
2026年のタイのトラフィック向けに設定されたCMPは以下を提示すべきです:
- 非必須のCookieやトラッカーが発動する前に表示される可視のバナー——タイのユーザーにはデフォルトでタイ語(ภาษาไทย)で
- ยอมรับ(承認)、ปฏิเสธ(拒否)、ตั้งค่า(設定)に対して均等な視覚的な目立ち——PDPCは拒否アクションが視覚的に軽視されているバナーデザインを批判している
- 目的ごとの細かいトグル:分析、広告、パーソナライゼーション、国境を越えた転送、および機微カテゴリの処理
- 機微な個人データの処理のための独立した明確にラベル付けされたフロー——独自のアクションの後ろにゲート設定
- 最初の選択後に同意を撤回するための、持続的で見つけやすいメカニズム
- 管理者、処理者、目的、受取人、保持期間、権利の完全な開示を含むタイ語のプライバシー通知
同意記録
管理者は同意の証拠——誰がいつ、どのような目的で、どのインターフェースを通じて同意したか——を維持しなければなりません。不十分な同意記録は2025年のいくつかのPDPC執行通知で言及されており、エクスポート可能なタイムスタンプ付きログが基準の期待値です。
2025年規則後の国境を越えたデータ転送
2025年の転送規則は外国パブリッシャーにとって最も重要な最近の進展であり、国境を越えたデータフローに利用可能なメカニズムを明確化しました。
認められた転送メカニズム
2025年規則は4つの主要な経路を提供しています:
- 適切な保護の指定——PDPCが目的地国を適切な保護を提供していると評価した場合
- 適切な保護措置——PDPC承認の標準契約条項および拘束的な企業規則を含む契約上のメカニズムを通じて
- 特定の例外——適切な開示を伴うデータ主体の明示的な同意、契約上の必要性、生命上の利益、および重大な公共の利益を含む
- 認証スキーム——特定の部門または活動に対してPDPCが認めたもの
十分性リスト
PDPCは2026年初頭までにいくつかの法域に対して十分性決定を発行しています。米国はリストに含まれておらず、これは米国に拠点を置く広告技術および分析ベンダーへの転送には契約条項、認証、または同意に基づく例外が必要であることを意味します。
実用的な2026年アプローチ
ほとんどの外国パブリッシャーにとって、実務的なアプローチは国際処理者とPDPC承認の標準契約条項を締結し、タイ語のプライバシー通知に転送メカニズムを文書化し、標準メカニズムが明確に適合しない場合にのみ同意に基づく許可で補完することです。
PDPA下でのデータ主体の権利
PDPAはGDPRに非常に近い権利のセットを付与しています:
- 管理者が保持する個人データへのアクセス権
- 不正確または不完全なデータの訂正権
- 消去権
- 処理制限権
- データポータビリティ権
- 処理への異議申立権
- 同意撤回権
- 重大な影響をもたらす自動化された意思決定の対象とならない権利
- PDPCへの苦情申立権
応答タイムライン
管理者は一般的な枠組みの下でデータ主体のリクエストに30日以内に応答しなければならず、特定のリクエストタイプについてはより短い期間が設けられています。タイ語のツールや手順書を含むこの期間への運用上の準備は、ヨーロッパのペースに慣れている外国パブリッシャーにとって一般的なギャップです。
DPO要件
2024年の下位規則はDPOが必要な場合を明確にしました。大量の個人データを処理する、データ主体を組織的に監視する、または大規模に機微な個人データを処理する管理者はDPOを任命しなければなりません。タイのユーザーを通じて量的閾値に達する外国管理者は適用範囲内です。DPOの連絡先情報はタイ語のプライバシー通知に掲載されなければなりません。
2026年の制裁と執行姿勢
PDPCの執行活動は2024年および2025年を通じて意味ある形で拡大しており、2026年は同様の軌道にあります。
行政罰金の構造
行政罰金は違反の種類によってスケールし、最も深刻な違反については違反ごとに最大500万THBです。ルーティンの違反——不十分な同意バナー、プライバシー通知の欠如、データ主体のリクエストへの応答失敗——は通常、より低い数十万THB台の罰金を引き付けますが、繰り返しまたは加重違反に対しては急速に増加する可能性があります。
刑事責任のセーフティネット
GDPRとは異なり、PDPAは最も深刻な違反に対して刑事責任を規定しており、特定の状況下での取締役の投獄を含みます。2024年の下位規則は刑事責任の範囲を明確化し、2026年現在まで外国パブリッシャーに適用されていませんが、この可能性はタイのデータを大規模に処理するあらゆる組織のリスク分析に影響を与えます。
執行テーマ
PDPCの2025年および2026年初頭の行動は以下の周囲に集中しています:曖昧または不在の同意バナー、タイ語のプライバシー通知の欠如、2025年規則下での有効なメカニズムなしの国境を越えた転送、30日間の枠内でのデータ主体のリクエストへの応答失敗、および適用範囲内の管理者のDPO指定の欠如。外国パブリッシャーは5つのカテゴリすべてで引用されています。
2026年のタイのトラフィック向け監査チェックリスト
- CMPバナーは均等な視覚的目立ちでยอมรับ、ปฏิเสธ、ตั้งค่าを含むタイ語で提供される
- 同意の目的は細かく、機微カテゴリの処理は独自の同意フローの後ろに分離される
- プライバシー通知は管理者、処理者、目的、保持期間、権利、DPO連絡先の完全な開示を含むタイ語で利用可能
- 国境を越えた転送はPDPC承認の標準契約条項、十分性指定、BCRs、認証、または文書化された例外に依存する
- 同意ログにはタイムスタンプがあり、エクスポート可能で、適用期間保持される
- データ主体リクエストワークフローは、タイ語でエンドツーエンドで30日以内に応答できる
- DPOは必要な場合に指定され、連絡先情報はプライバシー通知に公開される
- ベンダーリストは必要性について検討され、国境を越えた転送サーフェスを削減するために未使用または冗長なベンダーが除去されている
- 機微カテゴリのオーディエンスセグメントは別途取得された明示的な同意の後ろにゲート設定される
- 侵害通知ランブックはPDPAの侵害通知タイムラインに合わせて調整されている
2026年の見通し
タイのプライバシー制度は、限られた運用上の具体性を持つ基本法から、下位規則、執行能力、そして意味ある形で執行されるための政治的意志を持つ制度へと成熟しました。2025年の国境を越えた転送規則は最も重要な構造的ギャップを閉じ、PDPCの初期の執行姿勢は静観し続けるのではなく、拡大の途上にある真剣な規制当局と一致しています。すでにGDPRグレードの同意スタックを運用しているパブリッシャーにとって、PDPAコンプライアンスへのギャップは建築的ではなく運用的です:タイ語のCMPとプライバシー通知、PDPC承認の転送メカニズム、30日間の応答リズム、必要な場合のDPO指定、そしてPDPAのより広い機微データリストへの配慮。ギャップは優先順位が付けられれば数週間で埋めることができ——タイは東南アジアの重要な市場であるため、優先順位付けは通常すぐに報われます。2024年を通じてタイを軽いタッチの市場として扱ってきたパブリッシャーは、2026年を著しく要求が多いと感じており、傾向は明確です。