ASEAN各国のAI規制は、データ保護法を土台にしつつ、AI特化のガイドラインや戦略文書が国ごとに異なるスピードで整備されつつある状況にある。

この記事は、ASEAN域内で事業展開する日系企業の法務・コンプライアンス担当者、AI導入を進める事業責任者、ASEAN拠点を持つテックリードを対象としている。タイ・ベトナム・ラオス・インドネシアの4カ国を取り上げ、(1) 各国のAI規制の現在地、(2) データ保護法との接続、(3) 日系企業が取るべき実務対応、を一枚絵で整理する。

結論を先に置く。ASEANにおいては「EU AI Actのような包括的・拘束力のあるAI規制」はまだ存在しないが、各国の動きを無視すると越境ビジネスで突然のコンプライアンス対応コストが発生する。 早めに「現状把握 → 自社内のリスク評価 → ガバナンス整備」の三段階を回し始めることが、日系企業のリスク低減策となる。

なお本記事は当社の現地知見と公開情報をもとに整理したものであり、法的助言ではない。実際の対応に際しては、必ず現地法務専門家に確認していただきたい。

ASEANのAI規制を比較する意義は、「現状の差」と「これからの動き」の両方を捉え、自社のリスク優先順位を組み立てることにある。

EU AI ActやUS各州レベルのAI規制と異なり、ASEAN域内のAI規制は国ごとに進捗・形式・拘束力が大きく異なる。比較しないと「どの国にどれだけリソースを割くべきか」が見えない。

ASEAN域内では、AI規制への取り組みスピードがかなり違う。一般的な整理として:

• シンガポール: ASEAN域内では最も早期にAIガバナンスフレームワークを公開。本記事の主対象外だが比較の基準として有用
• タイ: 国家AI戦略を保有し、データ保護法(PDPA)を通じたAI利用の規律が中心
• ベトナム: AI関連法案の議論が活発化しつつあり、立法プロセスが進行中
• インドネシア: AI倫理ガイドラインが先行し、個人データ保護法(UU PDP)と接続される構成
• ラオス: AI特化規制はまだ整備段階だが、個人データ保護法(PDPL)とデジタル法の解釈で対応される

このスピード差を踏まえると、日系企業はまず「事業上の比重が高い国」から優先的に法令・ガイドラインの最新状況を追う必要がある。

ASEANで事業を展開する日系企業の多くは、複数国をまたぐ業務(例えば、タイ本社のAIモデルでベトナム・ラオスのデータを処理する)を行っている。このとき、各国の規制差が次のような形で表面化する。

• データ越境: 国によっては個人データの国外移転に追加要件(契約条項、関係当局への届出、本人同意の明示など)が課されることがある
• AI判定結果の説明責任: AIによる判定結果が現地ユーザーに影響する場合、説明可能性に関する現地ガイドラインの遵守が求められる場合がある
• 業種別の追加規制: 金融・医療・公共系では業種別規制がAI利用に上乗せされる場合がある

ASEANは「規制の薄い地域」と認識されがちだが、データ保護法を中心とした個別領域では着実に整備が進んでおり、「無視して進める」リスクは年々高まっている。

比較するには軸を揃える必要がある。本記事は「法的拘束力」「データ保護法との接続」「越境移転対応」の三軸で各国を見比べる。

軸を絞ることで、自社にとっての影響度を判断しやすくなる。網羅的に追うと費用がかかりすぎるため、まずは三軸での評価から入るのが現実的だ。

ASEAN各国のAI関連規範は、「強制力のある法律」と「ガイドライン・戦略文書」が混在する状況にある。両者は対応の優先度が大きく異なる。

日系企業の実務では、(1) まず法律レイヤを遵守、(2) ガイドラインレベルは自主的に取り込み、(3) 戦略文書はリスクシナリオの素材として参照、という三層対応が現実的だ。

AI規制が独立した法律として整備されている国はASEANではまだ少ない。多くの国では、個人データ保護法を通じてAI利用に間接的な規律が及ぶ構造になっている。

• タイ PDPA: AIによる個人データ処理はPDPAの対象。自動意思決定への規律もデータ保護法の枠で議論される
• インドネシア UU PDP: 同様にAI処理を個人データ処理として位置づける
• ラオス PDPL: 個人データ保護法を通じたAIへの規律。データ越境移転の規律が中心
• ベトナム個人データ保護関連規範: 個人データ保護関連の規範を通じたAI利用の規律

つまり「AI規制」を独立に追うのではなく、「データ保護法 + AIガイドライン」のセットで捉えるのが、ASEANにおける正しい見方となる。

関連記事としてASEANデータ保護法 4カ国徹底比較も併せて参照してほしい。

ASEAN内でAIを運用する場合、データ越境はほぼ必ず発生する。各国のデータ保護法には、越境移転に関する規律(同意・契約条項・当局への届出など)が含まれていることが多い。

日系企業がよく直面するパターンは以下の通り。

• タイ本社のAIシステムで、ベトナム・ラオスの顧客データを処理する: 移転元(ベトナム・ラオス)の越境移転規律を遵守する必要がある
• 日本のグローバルAI基盤をASEAN各国で共有する: 各国別の同意取得・契約条項・国外移転先の安全管理措置の確認が必要
• クラウド上のAIモデルが他国のデータセンタを使う: クラウドベンダ任せにせず、データの物理的所在を把握しておく必要がある

特に、AIモデルの学習データにASEAN各国の個人データが含まれている場合、データ保護法の越境規律が学習プロセス全体に及ぶ可能性があり、設計段階での確認が重要となる。

ここからは、タイ・ベトナム・ラオス・インドネシアの4カ国について、執筆時点の動向を順に整理する。

なお、ASEAN各国の規制は急速に変化しているため、本記事の情報は執筆時点の整理である。実務対応にあたっては、必ず各国の公式公開情報および現地法務専門家に最新版を確認してほしい。

タイはASEAN域内でAIガバナンス整備に積極的な国の一つで、国家AI戦略文書が公表されている。中核となるのは個人データ保護法(PDPA)を通じたAI利用の規律で、自動意思決定や個人プロファイリングに関する論点はこの枠組みの中で議論される。

タイの実務的なポイントは三つある。第一に、PDPAの適用範囲が広く、タイ国民・在タイ者のデータを扱う海外企業も対象になる(域外適用)。第二に、AI判定で個人に影響を与える業務は、説明責任の観点から判定プロセスの記録が求められる場合がある。第三に、金融・医療など個別業種の規制(中央銀行・保健省・SECなど)がAI利用に上乗せで適用されるケースがある。

タイでAIシステムを展開する日系企業は、PDPA遵守を出発点に、業種別規制と国家AI戦略の方向性を組み合わせて全体像を把握するのが堅実なアプローチとなる。

関連記事としてタイのPDPA対応とAI活用を両立させるコンプライアンスチェックリストも参照してほしい。

ベトナムは個人データ保護関連の規範整備を進めており、AI関連の法案・規範類の議論も並行して進行している。立法プロセスの進捗を継続的に追う必要がある国の一つだ。

実務上の留意点として:

• 個人データ保護関連の規範: AIによる個人データ処理はこの枠組みの対象として整理される傾向にある
• 国境を越えるデータ移転: 越境移転に関する規律が個人データ保護関連の規範で扱われている
• 業種別規制: 金融・通信などでサイバーセキュリティおよびデータ取り扱いに関する個別規律が存在

ベトナムは法案の改訂・公布が活発な国であり、特にAIを本格運用する事業者は、現地法務との定期的なアップデートが不可欠となる。

ラオスはASEAN域内で個人データ保護法(PDPL)を整備し、デジタル法・電子取引法と組み合わせる構成を取っている。AI特化の法律はまだ整備段階だが、個人データ処理を伴うAI利用はPDPLの対象となる。

ラオスでの実務的なポイント:

• PDPL適用: ラオス国民・在ラオス者の個人データを扱うAIシステムはPDPLの対象
• 越境移転: 個人データの国外移転にはPDPLに定める要件への対応が必要
• デジタル法・電子取引法: AIによる電子取引・電子契約の有効性は、これらの法令の枠組みで判断される
• 業種別: 金融・公共系では業種別の規範がAI利用に影響を及ぼす可能性がある

ラオスはASEAN域内では規制の整備が比較的後発の国であるが、近年は法令整備が加速している。日系企業は法令の最新版を毎年確認する体制を持つことが望ましい。

関連記事としてラオスのデジタル法を企業が押さえるべきポイント、ラオス個人データ保護法の実装ガイドも参照してほしい。

インドネシアは個人データ保護法(UU PDP)が整備されており、AI関連では政府主導の倫理ガイドラインが先行している構成だ。法律でAIを直接規制するのではなく、ガイドラインで方向性を示しつつ、データ保護法で個別の処理を規律する形になっている。

実務上のポイント:

• UU PDP対応: AIによる個人データ処理はUU PDPの対象として整理される
• AI倫理ガイドライン: 政府主導の倫理ガイドラインが事実上の業界スタンダードとして機能する場面がある
• 業種別規制: 金融サービス当局(OJK)、通信規制当局など、業種別規制がAI利用に重なる
• 越境移転: UU PDPに基づく越境移転規律への対応が必要

インドネシア市場は規模が大きく、現地パートナーとの協業が前提となる場面が多い。AIシステムを展開する場合、パートナー側のコンプライアンス状況も含めた評価が必要となる。

ASEANのAI規制への対応は、「すべてを完璧に追う」のではなく、「事業比重 × リスク × コスト」で優先順位をつけることが現実的だ。

ここでは、日系企業が実際に取り組むべき二つの実務 — リスクアセスメントと社内ガバナンス整備 — を整理する。

ASEAN各国のAI規制対応を始めるとき、最初に着手すべきは「自社のリスクアセスメント」だ。当社では以下の手順を推奨している。

1. AI利用ユースケースの棚卸し: 各国拠点で運用中・計画中のAIシステムをリスト化する
2. 対象国の特定: 各ユースケースが、どの国の規制(個人データ保護法・業種別規制・AIガイドライン)の対象になるかをマッピング
3. 影響度の評価: 高リスク(個人への直接影響、金銭判断、医療判断)・中リスク・低リスク(社内業務効率化)に分類
4. ギャップ分析: 各ユースケースについて、現状の運用と各国規制要件のギャップを洗い出す
5. 対応計画: ギャップの重要度に応じた対応計画を立てる

このプロセスを年次レビューに組み込むと、規制更新への追従が体系化される。当社では、現地法務とのジョイントレビューを年1回・国別アップデートを四半期1回の頻度で行うパターンを推奨している。

リスクアセスメントの結果を、組織として継続運用できる形に落とし込むのが社内ガバナンス整備だ。最低限以下の四要素を整える。

• AI利用ポリシー: 社内でAIを利用する際の判断基準・禁止事項・承認フロー
• データ取り扱いガイドライン: 個人データ・機密データをAIに投入する際の手順
• 責任者・体制: AIコンプライアンス責任者、現地拠点との連携窓口
• 教育・周知: 現場担当者への教育・FAQ・定期的なアップデート配信

ASEAN拠点を持つ日系企業の場合、本社ガバナンス・現地ガバナンスの二層構成が現実的だ。本社で全社共通ポリシーを定め、現地拠点で各国規制への上乗せ対応を行う構造である。

関連記事としてAIガバナンスとは？、ASEANデータ保護法 4カ国徹底比較も参照してほしい。

当社がASEAN拠点を持つ日系企業から受ける質問のうち、頻度の高いものに回答する。

Q1. ASEANで「EU AI Act相当」の包括的なAI規制はあるか？

執筆時点では、ASEAN域内に「EU AI Act相当」の包括的かつ拘束力のあるAI規制は存在しない。シンガポールがAIガバナンスフレームワークで先行しているが、これも拘束力のある法律ではなくガイドライン的位置づけだ。多くの国では個人データ保護法とAIガイドラインの組み合わせでAI利用を規律している。

Q2. AIガイドラインに法的拘束力がない場合、無視してよいか？

無視は推奨しない。第一に、ガイドラインは将来の法律化の予兆である場合が多い。第二に、現地当局・取引先・ユーザーからの「事実上の標準」として参照されることが多く、未対応の場合に信頼・契約・調達で不利になる。第三に、業種別規制当局(金融・医療・通信など)がガイドラインをライセンス要件に組み込む例もある。法律ほど厳格に追わなくても、社内ガバナンスに組み込む価値はある。

Q3. 日系企業がASEANでAIを運用する際、最も優先すべき規制は？

「個人データ保護法」が最優先となる場面が多い。理由は三つ。違反時の罰則・行政処分が明確、域外適用が広い、AI規制の事実上のベースになっている。データ保護法の遵守を出発点に、業種別規制・AIガイドライン・国家戦略文書の順に対応範囲を広げるのが堅実だ。

Q4. ASEAN規制対応のために、本社で統一ポリシーを作るべきか、各国でバラバラに作るべきか？

ハイブリッドが現実的だ。本社で「全社共通のミニマム要件」(個人データ取り扱い、機密データ取り扱い、AI利用承認フロー)を定め、各国拠点で「上乗せ要件」(各国規制への対応、業種別規制への対応)を整備する二層構成が、実務上のメンテナンスコストと現地適合性のバランスが取れる。

ASEANのAI規制は、EU AI Actのような統一的・包括的な枠組みはまだ整備されていないが、各国の個人データ保護法とAIガイドラインの組み合わせで実質的にAI利用が規律されつつある。本記事のポイントを最後に整理する。

• ASEANのAI規制対応は「個人データ保護法 + AIガイドライン + 業種別規制」のセットで捉える
• タイ・ベトナム・ラオス・インドネシアはそれぞれ進捗・形式・拘束力が異なる。比較軸を揃えて整理する必要がある
• 実務対応はリスクアセスメント → ガバナンス整備 → 年次レビューのサイクルで定着させる
• 本社ガバナンスと現地ガバナンスの二層構成が、メンテナンス性と現地適合性のバランスを取りやすい

ASEAN各国の規制は急速に変化しており、本記事の情報は執筆時点の整理である。実際の対応に際しては、必ず最新の公開情報および現地法務専門家に確認していただきたい。

当社では、ASEAN域内で事業展開する日系企業向けに、AIコンプライアンス整備の支援を行っている。初回ディスカッションをご希望の方はぜひお問い合わせを。