タイでPDPA(Personal Data Protection Act:個人情報保護法)が施行され、多くの日系企業でも対応が進んでいます。
PDPAは、個人情報の取得・利用・管理などに関するタイの法律で、タイ拠点で個人情報を扱う日本企業でも関係するケースがあります。
一方でIT部門では、
- 日本と同じ運用で問題ないのか
- クラウド利用時に注意点はあるのか
- 何から確認すべきか分かりづらい
といった声を聞くことも少なくありません。
※なお、PDPAの法的解釈や個別判断については、弁護士などの専門家への確認をおすすめします。本記事では、ITインフラ・セキュリティ運用の観点から一般的なポイントを紹介します。
まず確認したいこと
個人情報が「どこにあるか」
まず重要なのは、
- どのシステムで
- どんな個人情報を扱い
- どこに保存しているか
を把握することです。
特にタイ拠点では、
- Microsoft 365 / Google Workspace
- クラウドストレージ
- ファイルサーバ
- 現地導入SaaS
など、データが複数環境に分散しているケースもあります。
また、日本本社や海外拠点からアクセスしている場合は、データ保存先や運用状況を一度整理しておくと安心です。
あわせて見直したいポイント
VPN・ID管理
最近は、
- VPN機器の脆弱性
- フィッシング
- アカウント乗っ取り
などを起点としたサイバー攻撃も増えています。
そのため、まずは基本的な運用を確認したいところです。
- VPNにMFAを設定しているか
- 不要なアカウントが残っていないか
- VPNやFirewallを更新しているか
- ログを確認できる状態か
特に海外拠点では、長期間更新されていない機器がそのまま利用されているケースもあります。
まずは「現状整理」から
PDPA対応というと大掛かりな対策をイメージされることもありますが、まずは、
- データ保存先の把握
- ID管理
- VPN運用
- ログ確認
といった基本的なIT運用の整理が重要です。
特に海外拠点では、本社から見えづらい運用も多いため、一度現状確認をしてみることをおすすめします。
■ お気軽にご相談ください
当社では、タイ拠点を持つ日系企業向けに、
- 海外拠点のIT運用整理
- VPN・ID管理見直し
- クラウド利用状況確認
- セキュリティ運用改善
などを支援しています。
「まずは現状を確認したい」という段階でも、お気軽にご相談ください。
