Thailand · PDPA 2019WordPress ホスティング、 PDPA(タイ)プラグイン がプラットフォームに組み込み済み。
明示的な同意、プライバシーポータル、データ主体リクエストワークフロー、署名済み DPA — Yovale のコンプライアンス MU-プラグインが対応します。PDPA はサイトのホスト先に関わらず、タイにいる人々に商品・サービスを提供または行動を監視するすべてのビジネスに適用されます。Yovale はすべてのプランでそれを代わりに処理します。
当サイトではトラフィックの計測とサイト改善のために Cookie および類似のツールを使用しています。タイの PDPA に基づき、何を許可するかはあなたが選択します。オプトインするまで非必須のものは実行されません。
対応が必要な 6 つの義務。
2019 年個人データ保護法(B.E. 2562)は、2022 年 6 月 1 日よりタイ全土で施行されており、PDPC タイランドによって執行されています。タイのデータ主体に対して個人データに関する強制可能な権利を与えます。域外適用があります。タイにいる人々に商品やサービスを提供するか、その行動を監視する場合、ビジネスが国外にあっても適用対象となります。GDPR に強く影響を受けていますが、機密データの同意規則がより厳格です。
- 01
明示的な同意
アナリティクス、広告ピクセル、または非必須スクリプトを実行する前に、訪問者がオプトインする必要があります。同意は自由に与えられ、具体的で、情報に基づき、記録されなければなりません。機密データ(健康、生体認証、宗教、犯罪歴)には別の明示的な同意が必要です。
- 02
適法な根拠と目的の制限
すべての処理活動には PDPA 第 24 条および第 26 条に基づく文書化された適法な根拠が必要です。収集時に目的を開示し、後で無関係な目的のためにデータを再使用しません。
- 03
データ主体の権利
アクセス、訂正、消去、処理の制限、ポータビリティ、異議申し立て、同意の撤回。タイのデータ主体は書面または電子的にこれらの権利を行使できます。30 日以内に回答する必要があります。
- 04
72 時間以内の漏洩通知
個人データ侵害に気づいてから 72 時間以内に PDPC タイランドに通知してください。漏洩がデータ主体に高いリスクをもたらす可能性がある場合は、不当な遅延なく影響を受ける個人にも通知しなければなりません。
- 05
大規模処理者への DPO 任命
中核的な活動が大規模な個人データの処理、定期的かつ組織的な監視、または機密データの処理を伴う場合、データ保護責任者(DPO)の任命が義務付けられています。DPO は PDPC タイランドおよびデータ主体の窓口となります。
- 06
越境移転ルール
タイ国外への個人データの移転には、適切なデータ保護基準、明示的な同意、標準契約条項、拘束力のある企業規則、またはPDPA 越境移転通知に基づく他の適法なメカニズムが必要です。
プラットフォームに組み込み済み。インストールするプラグインではありません。
Yovale は PDPA(タイ)コンプライアンスを署名済み必須使用プラグインとして提供します — ホスティング自体の一部であり、WordPress リポジトリからインストールするものではありません。バージョンが固定され、SHA-256 検証付きで R2 からフェッチされ、プロビジョニング時にサイトごとのバインドマウントされた mu-plugins ディレクトリに配置されます。更新はホスティングの更新と同じチャネルで提供されます。
明示的な同意バナー
ジオアウェア対応。タイからの訪問者には、機密カテゴリーへの別のプロンプトを含む PDPA 基準に準拠した明示的なオプトインフローが表示されます。GDPR、CCPA、DPDPA、PIPL の訪問者にはそれぞれのバリアントが表示されます。8 ロケールでレンダリング。ダッシュボードで設定可能。
プライバシーポータル
すべての Yovale サイトの /.well-known/privacy に設置。タイのデータ主体はサポートチケットを送らずに自分のデータを確認、エクスポート、制限、または削除できます。すべてのリクエストはコンプライアンスダッシュボードタブに 30 日 SLA タイマーとともに表示されます。
監査ログ
与えられた、撤回された、または変更されたすべての同意は Cloudflare エッジワーカー層でログに記録されます。改ざん防止、クエリ可能で、PDPC タイランドが記録を要求した場合に提示できるよう PDPA の時効期間中保持されます。
署名済み DPA
PDPA コントローラー・プロセッサーモデルに準拠した事前署名済みデータ処理契約書。すべてのサブプロセッサー(Cloudflare、Anexia、R2)、データフロー、セキュリティ対策、PDPC タイランドへの 72 時間漏洩通知のコミットメントを記載。記録用に PDF ダウンロード可能。
インフラがプラグインより優れている理由。
一般的な WordPress PDPA プラグイン
- すべてのページ読み込みに 200〜500ms 追加(バナー JS、Cookie スキャン、DB 書き込み)
- 同意レコードを wp_options に保存 — 遅く、型なし、オブジェクトキャッシュで破損
- wp-admin 経由で更新 — お客様が管理し、壊し、競合をデバッグする
- サイトごとに年額 $49〜119 かかる(Complianz、CookieBot、タイのローカルベンダー)
- ホスト移行時に壊れる。同意履歴が失われる
Yovale の組み込みアプローチ
- 0ms レイテンシー — 同意状態をエッジワーカーで計算し CDN にキャッシュ
- 専用データベースの監査ログ、クエリ可能、ページレンダリングをブロックしない
- 更新はプラットフォームを通じて提供 — 気づかず、壊れない
- すべてのプランに含まれる(年額 $149 / $249 / $499)、サイトごとのコンプライアンス費用なし
- サイトと永遠に一緒 — 同意履歴はエクスポート可能
14の規制。それぞれ1つのトグル。すべて自動。
- 処理に対する明示的な同意
- 第 24 条および第 26 条に基づく適法な根拠
- PDPC タイランドへの 72 時間以内の漏洩通知
- 消去権および同意撤回権
- 越境移転メカニズム
PDPA(タイ)+ Yovale への回答。
私のビジネスはタイにありませんが、PDPA は適用されますか?
タイにいる人々に商品やサービスを提供するか、その行動(アナリティクス、広告ターゲティング、リターゲティング)を監視している場合は適用されます。PDPA 第 5 条は GDPR 第 3 条と同様に域外的効力を持ちます。会社、サーバー、チームがタイにあるかどうかに関わらず適用対象です。
PDPA と GDPR はどう違いますか?
PDPA は GDPR を強く参考にしています — コントローラーとプロセッサーの役割、データ主体の権利、漏洩通知、DPO 任命 — そのため多くのノウハウが活用できます。主な違いは、明示的な同意がより広範なケースで必要とされること、機密データには別の明示的な同意が必要なこと、罰則は最大 500 万バーツの行政罰金に加え最長 1 年の拘禁を含む刑事制裁があることです。
データ保護責任者(DPO)が必要ですか?
コア活動が大規模処理、データ主体の定期的な組織的監視、または機密個人データ(健康、生体認証、宗教、人種、犯罪歴)の処理を含む場合、DPO は義務付けられています。ほとんどの小規模な WordPress サイトは必要ありませんが、タイの E コマースや健康プラットフォームを運営している場合は必要です。
タイ以外の訪問者にも機能しますか?
はい。コンプライアンスシステムはジオアウェア対応です。タイの訪問者には PDPA の明示的な同意フローが表示されます。EU の訪問者には GDPR オプトインフローが表示されます。米国の訪問者には CCPA オプトアウトフローが表示されます。同じホスティングがすべての規制を自動的に処理します — 地域ごとの追加設定は不要です。
タイからのデータ主体リクエストが来た場合はどうなりますか?
訪問者はほとんどのリクエストをドメインの /.well-known/privacy のプライバシーポータルから自分で処理します。人によるレビューが必要なリクエスト(カスタム削除、複雑なアクセスリクエスト、処理の制限)については、PDPA の回答期限に合わせた 30 日 SLA タイマー付きでダッシュボードのコンプライアンスタブに表示されます。
DPA は PDPA のコントローラー・プロセッサーモデルに準拠していますか?
はい。事前署名済みデータ処理契約書はダッシュボードで PDF ダウンロードとして利用できます。当社はデータプロセッサー、お客様はコントローラーとして記載されています。すべてのサブプロセッサー(Cloudflare、Anexia、R2)、PDPC タイランドへの 72 時間漏洩通知のコミットメント、お客様のデータに適用されるセキュリティ対策をカバーしています。
60 秒で PDPA 準拠の WordPress サイトを公開する。
すべての Yovale サイトはデプロイした瞬間から PDPA 対応済みです。インストールするプラグインなし。追うべき DPA なし。設定するバナーなし。無料の Growth トライアルを開始して、最初のコンプライアンスダッシュボードを確認してください。