Customer Stories
-
概要
タイ政府は、国家開発計画「Thailand 4.0」に基づき、経済成長を促進するためにデジタル化を推進しています。デジタル政府ポリシーを通じて、さまざまな分野でデジタル技術のイノベーションと導入を支援しています。このデジタル化戦略に沿って、金融セクターでは中央銀行が主導する FinTech レギュラトリーサンドボックスの開始などの取り組みが進められています。「ASEAN のデジタルハブ」を目指し、タイ政府はデジタルインフラの容量を積極的に開発・拡張してきました。データセンターとクラウドコンピューティングサービスは、同国のデジタルトランスフォーメーション計画に不可欠な要素です。
タイ政府の積極的な推進にもかかわらず、セキュリティやプライバシーへの懸念から、クラウドのデプロイは容易ではありません。規制当局は、クラウド導入に関する一般要件と個別要件を策定しています。タイの関連企業は、これらの規制要件を遵守する義務があります。詳細は、以下の「一般規制環境」および「金融サービスセクター」をご参照ください。Alibaba Cloud の専門チームが、スムーズで安全かつコンプライアンスに準拠したクラウドプロジェクトの実現に向けて、クラウド導入プロセス全体を支援します。
-
一般規制環境
規制当局:
Personal Data Protection Commission (PDPC) は、デジタル経済社会大臣 (MDES) の監督下で、タイの個人データ保護を監督しています。
一般的なプライバシー法:
Personal Data Protection Act (PDPA) は 2019 年 5 月 27 日に公布され、タイのデータ保護を規定しています。PDPA の完全施行は 2022 年 6 月 1 日に延期されました。
データの越境移転に関する要件:
適切な保護措置を講じた上で、越境移転は認められています。1) 受領国が PDPC のガイドラインに沿った十分な個人データ保護基準を有していること、2) データ主体が同意していること、3) データ主体とデータ管理者の既存の契約に基づき移転が必要であること、4) データ主体の利益のために移転が必要であること。 -
金融サービスセクター
概要:
Alibaba Cloud は、シンガポール、マレーシア、インドネシアに拠点を持つ、最初期のクラウドサービスプロバイダーの 1 つです。現地のインフラとプロフェッショナルサービスを活かし、金融機関のクラウド導入を支援することで、アジア太平洋市場の金融サービス業界で豊富な実績を築いてきました。タイの金融サービスのお客様により良いサービスを提供するため、タイ国内に初のデータセンターを開設し、安全でコンプライアンスに準拠したクラウド導入を支援しています。
Alibaba Cloud は、金融業界固有の規制要件へのコンプライアンス対応を支援しています。初期のデューデリジェンスやリスクアセスメントから、ソリューション設計、実装と移行、そして実装後の保証まで、あらゆるデューデリジェンス評価への対応、サービスやプロダクトの設定に関するベストプラクティス、自動かつ継続的なセキュリティチェックツール、内部統制の設計と運用の有効性に関する保証など、包括的なサービスを提供しています。
規制当局:
Bank of Thailand (BOT) はタイの中央銀行であり、タイの安定した金融環境を維持するために金融機関を監督する権限を有しています。Office of Insurance Commission (OIC) は、タイ財務大臣 (MOF) の監督下でタイの保険業界を規制する機関です。Securities and Exchange Commission (SEC) は、タイの資本市場における主要な規制当局です。
クラウドコンピューティングサービス利用時に参照すべき規制 / ガイドライン:
金融機関(商業銀行、ファイナンス会社、クレジットフォンシエ会社):
1.BOT No. FPG.16/2563 金融機関の取引先からのサービス利用に関する規制
2.BOT No. Sor.Nor.Sor.21/2562 金融機関の情報技術リスクガバナンスに関する規制
3.BOT No. FPG.7/2563 デジタルバンキングを支援する情報関連サービス業務の商業銀行への許可
4.BOT No. SorNorChor.11/2561 情報システムのセキュリティ維持に関するポリシーおよび措置
5.BOT No. SorNorChor.1/2564 決済システム法に基づく情報技術リスク監督に関する規制
資本市場:
1.SEC Sor Thor. 37/2559 情報技術システムの構築に関する詳細規則
2.SEC Nor Por. 3/2559 情報技術システムの構築に関するガイドライン
3.SEC Tor Thor. 60/2561 事業運営に関連する業務の第三者へのアウトソーシングに関する規則、条件、手続き
4.SEC クラウドコンピューティング実践ガイド
保険:
1.OIC 生命保険会社の情報技術リスク管理・監督に関する基準 B.E. 2563 (2020)
2.OIC 損害保険会社の情報技術リスク管理・監督に関する基準 B.E. 2563 (2020)
クラウドの利用は認められていますか?
はい。BOT、SEC、OIC は、規制対象事業者がクラウド固有のリスクを特定するための規制を策定しています。タイの金融機関は、クラウドサービスを利用する際に、これらのリスクへの対処方法を示す必要があります。
追加の承認は必要ですか? 金融機関(商業銀行、ファイナンス会社、クレジットフォンシエ会社)は、クラウド導入に関する重要性の基準を策定する必要があります。重要なワークロードについては、商業銀行は実装の少なくとも 15 日前に BOT に通知する必要があり、ファイナンス会社とクレジットフォンシエ会社は BOT の承認を得る必要があります。保険会社は、クラウドコンピューティングサービスを利用する前に OIC に通知する必要があります。SEC はアウトソーシング要件を緩和しており、タイの証券会社はクラウドサービスの利用日から 15 日以内に SEC に通知するだけで済みます。
オフショアアウトソーシングは認められていますか? BOT、OIC、SEC は、規制対象事業者が海外のサービスプロバイダーにサービスをアウトソーシングすることを制限していません。ただし、外国の経済、政治、社会、法律に関する変化や不確実性、および外国のサービスプロバイダーの事業継続管理の複雑さを考慮する必要があります。OIC は特に情報アクセスリスクを重視しており、事業継続管理の観点から、企業は継続的な事業運営や顧客サービスのためにデータをローカルで利用できるよう確保する必要があります。
