タイにおける情報セキュリティへのタイ人の意識とリスク

森・濱田松本法律事務所 弁護士
細川 怜嗣 氏

1. SNS大国タイと、情報の漏洩に対するタイ人の意識

タイはSNS（ソーシャルネットワークサービス）大国だ、と耳にしたことは無いだろうか。

Chinnapong - stock.adobe.com

タイにおけるインターネットの急速な普及とSNSの広がりを表す数値として、タイのデジタル経済社会省傘下の電子取引開発機構が行ったアンケート調査がある。
これによると、タイにおけるインターネット利用者数は2013年の2610万人から2018年には4750万人に増加しており、これはタイの総人口の71.5％にあたる。また、インターネットの利用時間は平均して一日10時間5分に上り（2018年）、2013年の一日平均4時間36分から二倍以上の伸びを見せており、タイ人の日々の仕事・プライベート双方においてインターネットの利用が不可欠なものになっているのが分かる。

このようにインターネットが国民全体に普及する中で、その使用目的はオンラインショッピングやストリーミング、デリバリーの注文など多岐にわたるが、突出した利用目的としては、2位の映画・音楽鑑賞（71.2%）、3位の検索エンジン（70.7%）を抑えて、「ソーシャルメディア」が1位（91.2%）となっている。つまり、タイのインターネット利用者のうち10人中9人がFacebookやInstagramなど、何らかのSNSを使っていることになるのである。

一方で、インターネット利用に際して生じる問題点として挙げられているのは、「広告表示の頻出」（78.5%）や「インターネットの速度」（68.7%）等については多くのタイ人が問題として挙げている一方、「個人情報の漏洩」や「インターネット上の詐欺被害」が問題だと指摘したのはそれぞれ13.5％、5.8％に過ぎず、インターネットやSNSにより会社情報や個人情報が流出したり、詐欺被害に遭うという事態への問題意識は依然としてかなり低いことが見て取れる。

当職が弁護士として現地で対応した事案においても、例えば

• タイ現地法人の規模縮小に伴い退職勧奨を行うにあたり、優秀な一部のタイ人従業員を引き留めるため予め事実上個別にコンタクトしていたところ、いつの間にか会社の事業縮小計画の事実についてタイ人従業員全員の知るところとなっていたといった事案
• タイ人従業員の退職の際に、個別の退職条件について他の従業員に伝わらないよう守秘義務契約にサインさせていたものの、退職パッケージの書面そのものが即SNSに投稿され公にさらされることとなった事案

など、守秘義務や個人情報の取り扱いについて、意識の低さから、日系企業の想定しない事態に陥ってしまったといった事象は枚挙にいとまがないのである。

他方で、2021年6月からは、タイ個人情報保護法が正式に全面施行される予定であり、その中には企業として適切な情報セキュリティ措置を施すことも、従業員情報を含む個人情報を取り扱う事業者の義務の一つとして求められてくる。ハードとしての情報セキュリティの仕組み作りは当然必要であるが、これに加えて、これまでと同じ感覚でタイ人が会社の情報などを安易にSNSなどを通じて外部に漏らすようなことがないよう、会社としての適切なガイドラインの策定や、これをタイ人従業員に浸透させる研修・普及活動も極めて重要になってくるのである。

2. 業務におけるチャットアプリ利用に関する注意点

また、冒頭に述べた政府アンケート調査によれば、インターネットを介したコミュニケーションの手段として、LINE（98.5%）とFacebook Messenger（89.9%）が2大勢力として君臨しており、現地の肌感覚としても、タイ人従業員との業務上の日々のやり取りにおいて、メールだけでなくLINEを利用するのは実質ほぼ必須のツールとなっているようにも見受けられる。
但し、こういった仕事とプライベートの狭間に位置するようなツールを会社の業務に取り入れるのには、時に用心が必要である。

一つには、業務上の重要な情報を手軽なLINE等のチャットでやり取りするのは、いつどこで誰から外に漏れるか、そのトラックバックも難しいという問題がある。
またもう一つ、現地での経験上、何かタイ人従業員による不祥事があった際に会社が行いたい調査に支障が生じ得るという点が挙げられる。
例えばタイ人従業員に不祥事の嫌疑が生じ（公務員への贈賄や、会社資産の使い込み等）、その従業員の過去のやり取りを確認して客観的な証拠を得ることが極めて重要な局面になったとする。この際、会社が貸与したPCのEメールデータ等であれば、それは会社資産に記録されている業務上の情報なので、特に本人の同意を得ずとも、バックアップデータにさかのぼって中身の確認・調査が可能である。
ところが、LINE上のチャットがメールと同じように取り扱えるかというと必ずしもそうではない。LINEは原則として個人IDであり、Log Inにはパスワードが必要なこと等も踏まえると、LINE上の情報は基本的に従業員のプライバシー情報であり、たとえそれが会社貸与の携帯電話で使用されていたとしても、本人の同意なくその中身を確認することは基本的に難しいと考えられる。これが更に本人所有の個人携帯となれば、本人の同意なくLINE情報等を見ることができないのは明白である。
そうすると、証拠となるような業務に関する重要なやり取りがLINE等のチャットアプリで日常的に行われていた場合、業務Eメールだけを見ても嫌疑の証拠となるようなやり取りは見当たらず、肝心の証拠が掴めずに事案の解明に支障が生じるといった事態が実際に生じているのである（むしろ確信的にこういったことが行われる場合、会社のEメールは使わず個人LINE等で裏でやり取りされるのが通常である）。

3. 日系企業が行うべき予防策

こういった事態を避けるためにも、

• 業務上の重要な情報・会社の保有する個人情報について、アクセス権限等を含む適切な情報セキュリティ制度を導入する
• 業務上の重要な情報の取り扱い、特に外部とのやり取りに関するルール作り（適切なコミュニケーションチャネルの指定、SNSポリシー等を含む）を行う（注）

ことが、大きな情報漏洩、ひいては会社の利益の損失につながるような事態を避ける予防策として、極めて重要になってくるように思われる。

（注）例えば入社時に「会社貸与のPCや携帯電話は業務のためのみに使用する」、「監査や不祥事発生の際の調査目的のために、会社貸与のPCや携帯電話の内容を会社が確認できることに同意する」といった適切な同意文言を含めた、情報の取り扱いに関する同意書を予め取得しておいたり、こういったルールを社内ルールに適切に規定しておく等