タイ進出日系企業が見落とす7つのサイバーセキュリティ盲点 ― 現地法人が「狙われる側」になる理由

「うちは日本本社にしっかりしたセキュリティ方針がある」――タイに進出した多くの日系企業が、現地法人のセキュリティをそう捉えています。しかし、攻撃者の視点はその逆です。守りの薄い現地法人こそ、本社ネットワークへたどり着くための"最短ルート"になり得ます。

タイのサイバー環境は、この数年で大きく悪化しました。チェック・ポイント・ソフトウェアの調査によれば、2025 年上半期にタイの組織が受けたサイバー攻撃は 1 組織あたり週平均およそ 3,200 件にのぼり、世界平均を 160% 以上上回りました。さらに 2026 年第 1 四半期には、タイはランサムウェア攻撃の標的国として初めて世界トップ 10 に入っています。タイ国家サイバーセキュリティ庁（NCSA）の集計でも、2025 年 1 月から 5 月までに 1,000 件を超えるインシデントが記録されました。

本記事は、タイに進出した日系企業――とりわけ現地法人の運営や取引先・ベンダーの選定に責任を負う立場の方に向けて、見落とされがちな「盲点」を 7 つ整理したものです。製造業・非製造業を問わず共通する論点を中心に扱います。自社の現状と照らし合わせながら読み進めてください。

なぜ現地法人が「狙われる側」になるのか

本題に入る前に、前提を一つ転換しておきます。現地法人は、本社の "縮小版" ではありません。攻撃者にとっては、本社へ侵入するための "入口" です。

グループ全体で同じ AD ドメインや VPN、基幹システムを共有している場合、現地法人で奪われた一つのアカウントが、そのまま日本本社や他拠点への侵入経路になります。攻撃者は、最も守りの薄い拠点から入り、内部を横移動して本丸を目指す――これがランサムウェア攻撃の典型的な流れです。

ここで根強いのが「うちの現地法人は規模が小さいから狙われない」という誤解です。実際には逆で、近年のランサムウェア被害の多くは従業員 500 人未満の組織に集中しています。攻撃者は標的を「規模」ではなく「侵入しやすさ」で選びます。専任のセキュリティ担当がいない、システムが古い、パッチが当たっていない――そうした条件が揃った拠点が、規模を問わず狙われています。タイの日系製造業がランサムウェアのリークサイトに掲載される事例も、すでに表面化しています。

つまり「小さい現地法人」は安全の理由ではなく、むしろリスク要因なのです。以下、その盲点を 3 つの領域に分けて見ていきます。

領域A：組織・ガバナンスの盲点

盲点①｜本社と現地法人の「統制ギャップ」

最も多く、最も見過ごされているのがこの盲点です。

日本本社に立派なセキュリティポリシーがあっても、それが現地法人で実際に運用されているとは限りません。多くのケースで、現地法人は本社のガバナンスがほとんど届かないまま、独自に――そして往々にして無秩序に――IT 環境を運用しています。本社の IT 部門が現地法人のネットワーク構成や保有端末、利用中のクラウドサービスを正確に把握していない、というのは珍しくありません。

ポリシーは「存在する」だけでは機能しません。現地法人に適用され、定期的に点検され、その結果が本社に可視化されている――この 3 点が揃って初めて統制と呼べます。

問いかけ：御社の日本本社は、タイ現地法人の IT 資産一覧とネットワーク構成図を、今すぐ取り出せる状態にあるでしょうか。

盲点②｜「一人情シス」依存

タイの日系現地法人では、IT 担当者が 1〜2 名というケースが大半です。その担当者が、PC の調達からネットワーク、サーバー、ベンダー対応、そしてセキュリティまで、すべてを兼務しています。専任のセキュリティ担当者がいる現地法人は、むしろ例外です。

問題は二つあります。第一に、セキュリティが「片手間業務」になり、優先順位が下がること。第二に、業務が完全に属人化することです。タイは人材の流動性が高く、IT 担当者の離職とともに、パスワード、設定情報、ベンダーとの経緯といった重要なノウハウがそのまま社外へ流出します。引き継ぎが不十分なまま担当者が代わり、「誰も全体像を知らない」状態に陥った現地法人を、私たちは数多く見てきました。

一人の担当者の在籍可否に、拠点全体のセキュリティが依存している――これは組織として看過できないリスクです。

盲点③｜インシデント対応体制の不在

「攻撃を受けたら、最初の 1 時間で誰が何をするか」――この問いに即答できる現地法人は多くありません。

インシデント対応で成否を分けるのは、初動の速さです。しかしタイの現地法人では、現地の事情に合わせたインシデント対応計画（IR 計画）が用意されていないことがほとんどです。本社への報告ラインが曖昧で、時差によって日本側の判断が数時間遅れ、報告書がタイ語・英語で書かれて本社が内容を即座に理解できない――こうした要因が重なり、対応はずるずると後手に回ります。

加えて、外部の専門事業者や現地当局との関係を「事前に」築けているかも重要です。インシデント発生後にゼロから相談先を探すのでは、貴重な初動の時間を失います。対応体制は、平時に準備しておくものです。

領域B：コンプライアンスの盲点

盲点④｜タイ個人情報保護法（PDPA）への対応漏れ

ここは、会社選定や法令順守に責任を負う立場の方にとって最重要のパートです。

タイ個人情報保護法（PDPA）は 2022 年 6 月に全面施行されました。施行当初は啓発期間でしたが、状況は変わりました。タイ個人情報保護委員会（PDPC）は 2025 年 8 月 1 日、5 件の事案に対し計 8 件の行政処分（制裁金総額およそ 2,150 万バーツ）を一度に公表しています。最高額は、データ保護責任者（DPO）を選任せず、かつ情報漏えいの届出を怠った企業に科された 700 万バーツでした。処分はデータ管理者だけでなく、業務委託先（データ処理者）にも及んでいます。

ここで日系企業が陥りやすい思い込みが二つあります。

思い込み 1：「日本本社の個人情報保護法（APPI）対応で足りる」
PDPA は APPI とも、本社が対応済みの GDPR とも別の法律です。DPO の選任義務、同意取得の要件、国外へのデータ越境移転のルール（2024 年 3 月から基準が施行）など、独自の要件があります。タイ居住者の個人データを扱う以上、本社がどこにあろうと PDPA の適用を受けます。

思い込み 2：「PDPA 対応は書類を整える作業だ」
2025 年の一連の処分が示したのは、PDPC が PDPA を「セキュリティ対策・委託先管理・インシデント対応を含む運用上のガバナンス枠組み」として執行している、という事実です。実際、処分理由として繰り返し挙げられたのは、DPO の未選任、72 時間以内の漏えい届出の不履行、不十分なセキュリティ対策、委託先との契約（DPA）の不備でした。プライバシーポリシーや同意フォームを整えるだけでは足りません。

さらに 2025 年 4 月 13 日施行の技術犯罪関連の緊急勅令により、個人データの不正な売買・開示には最大 5 年の拘禁刑と 50 万バーツの罰金という刑事責任も加わりました。PDPA はもはや、法務・コンプライアンス部門だけの問題ではなく、経営層・IT 部門・調達部門が当事者となるべき経営リスクです。

問いかけ：タイ現地法人の DPO は選任済みでしょうか。漏えい発生時、72 時間以内に PDPC へ届け出る手順は文書化されているでしょうか。

領域C：現場・技術の盲点

盲点⑤｜工場・OT 環境のセキュリティ

製造拠点をタイに持つ企業は、この盲点を特に重視してください。

ランサムウェア被害は、製造業に最も集中しています。複数の調査で、2025 年は製造業が業種別で最大の標的となったことが報告されています。理由は明快で、製造業は「停止コストが極めて高い業種」だからです。攻撃者はそこに付け込みます。

工場特有のリスクは、OT（制御技術）環境にあります。長期間稼働を前提とした古い設備、サポートの切れた OS、IT 系ネットワークと OT ネットワークの分離が不徹底な構成――これらが侵入と被害拡大の温床になります。そして製造業では、ランサムウェアによる暗号化は単なる「データ被害」では終わりません。生産ラインの停止、納期遅延、そしてサプライチェーン全体への波及――事業継続そのものへの直撃となります。

オフィス系の IT 対策と、工場の OT 対策は、別物として設計する必要があります。

盲点⑥｜サプライヤー・取引先経由の侵入

自社の守りを固めても、取引先が手薄であれば、そこが侵入口になります。

タイでは、現地の SME（中小企業）の取引先やサプライヤーと、受発注・図面・データのやり取りが日常的に発生します。その一社のセキュリティが脆弱であれば、攻撃者はそこを経由して御社のネットワークへ到達します。サプライチェーン経由の侵害は、いまや主要な攻撃経路の一つです。

同様に注意したいのが、現地 IT ベンダーへの「丸投げ」です。品質や対応力が見えないまま運用を一任していれば、その委託先自体がリスクになります。前述のとおり PDPC の処分は委託先にも及んでおり、委託先管理の不備は自社の責任として問われます。取引先・委託先の選定は、セキュリティ評価の対象です。

盲点⑦｜シャドー IT ― LINE・個人クラウドの業務利用

タイでは、LINE が業務連絡の事実上の標準になっています。利便性は高い一方で、会社の管理が及ばないツール上で、受発注情報や個人データ、社内ファイルがやり取りされている――これがシャドー IT です。

LINE に限りません。担当者が個人的に契約したクラウドストレージ、無料のファイル変換サービス、私物のスマートフォンや PC での業務――いずれも、IT 部門が把握も管理もできていない「見えない領域」です。見えないものは、守ることも、漏えい時に追跡することもできません。

まず必要なのは、禁止ではなく「可視化」です。現場が何を使っているかを把握したうえで、業務に必要なものは管理下の安全な選択肢に置き換えていく――この順序が現実的です。

自社の盲点をチェックする

7 つの盲点を、セルフチェックの形に落とし込みました。製造業・非製造業を問わず使えます。「いいえ」「分からない」が一つでもあれば、そこが御社の盲点です。

1. 日本本社は、タイ現地法人の IT 資産一覧とネットワーク構成を把握しているか
2. 本社のセキュリティポリシーは、現地法人で実際に運用・点検されているか
3. 現地法人のセキュリティは、特定の担当者一人に依存していないか
4. IT 担当者が退職しても、設定情報やパスワードが確実に引き継がれる仕組みがあるか
5. インシデント発生時の初動手順と、本社への報告ラインが文書化されているか
6. タイ PDPA に基づき、DPO の選任と 72 時間以内の漏えい届出体制が整っているか
7. 取引先・委託先と適切なデータ保護契約（DPA）を結んでいるか
8. （製造業の場合）IT 系と OT 系のネットワークは分離され、古い設備のリスクを把握しているか
9. 主要な取引先・現地 IT ベンダーのセキュリティ水準を確認しているか
10. 業務で使われているツール（LINE・クラウド等）を会社として可視化できているか

まとめ：盲点とは「気づいていないこと」そのもの

サイバーセキュリティの盲点とは、技術的な欠陥である以上に、「リスクとして認識されていないこと」そのものです。本社にポリシーがあるから安心、規模が小さいから狙われない、PDPA は書類仕事――こうした思い込みが、最も大きな盲点を形づくります。

逆に言えば、気づくことが対策の第一歩です。本記事のセルフチェックで「分からない」が見つかったなら、それは失敗ではなく、改善の出発点が見つかったということです。タイの脅威環境は確実に厳しさを増しています。だからこそ、現地法人のセキュリティは「日本本社の延長」ではなく、現地の実情に根ざした取り組みとして捉え直す必要があります。

---

本ブログでは、タイに進出した日系企業が直面するセキュリティ課題を、現地で事業を運営する立場から継続的に発信していきます。各盲点をより深く掘り下げた個別記事も順次公開していく予定です。御社の現地法人の備えを見直すきっかけとして、お役立ていただければ幸いです。

セキュリティ診断・PDPA 対応・現地法人の IT ガバナンス整備についてのご相談は お問合せフォーム よりお気軽にどうぞ。

本記事の統計値および法令・罰則に関する記述は、2026 年 5 月時点の公開情報（チェック・ポイント・ソフトウェア、GuidePoint Security、タイ国家サイバーセキュリティ庁、タイ個人情報保護委員会の公表資料等）に基づきます。具体的な法令対応については、専門家にご相談ください。