免責事項: 本記事は情報提供を目的としたものであり、法的助言を構成するものではありません。具体的な法的判断については、ラオス法に精通した弁護士にご相談ください。法令の翻訳は筆者による参考訳であり、正文はラオス語版です。

ラオスで事業を展開する企業にとって、デジタル関連の法規制は急速に整備が進んでいる領域だ。

個人データ保護法（PDP Law）が施行された。 ラオス国民議会は個人データ保護法を可決し、施行されている（出典: Rajah & Tann Asia）。これにより、ラオスはタイ・ベトナムに続き、ASEAN で包括的データ保護法を持つ国の一つとなった。

加えて、従来の電子データ保護法（2017年）・サイバー犯罪法（2015年）・電子取引法（2012年）の 3 法も引き続き有効であり、新法と合わせて重層的な規制体系を形成している。さらに新サイバーセキュリティ法も国民議会で審議されており（出典: KPL）、デジタル規制は強化の一途をたどっている。

本記事では、ラオスのデジタル関連法規を 全 25 項目のチェックリストに整理した。経営者・法務担当者が自社のデータ管理と AI 利用を点検し、コンプライアンス上の抜け漏れを特定するために使える実務ツールとして設計している。

本チェックリストは、以下の 3 カテゴリ・全 25 項目で構成されている。

使い方: 各項目の ☐ を順に確認し、未対応の項目を洗い出す。自社だけで判断が難しい項目は、ラオス法に詳しい現地弁護士への相談を推奨する。チェックリストの PDF 版が必要な場合は、ページ末尾の CTA からダウンロードできる。

ラオスのデジタル規制を理解するには、4 本の法律の組み合わせで成り立っている点を押さえる必要がある。

さらに、新サイバーセキュリティ法（10部11章79条）も国民議会で審議されており、成立すればサイバーセキュリティ専用の法的枠組みが加わる（出典: KPL）。

個人データ保護法は、ラオス国民議会で可決された包括的個人データ保護法であり、従来の電子データ保護法（2017年）や政令レベルの規制を正式な法律に格上げしたものだ（出典: Rajah & Tann Asia）。

主な規定:

• 適用範囲: 公的部門・民間部門の両方に適用
• 個人データの定義: 個人を特定できるデータ（氏名、ID番号、位置情報等）
• 同意の取得: データ処理には原則として本人の同意が必要
• データ主体の権利: 修正権、移転停止権、削除権を法定
• 越境移転: 国外へのデータ移転には評価と承認が必要
• 監督機関: テクノロジー・通信省（MoTC）傘下のデータ保護当局
• 罰則: 行政罰（LAK 2,500万〜1億）、悪質な場合は刑事罰（懲役含む）

従来の電子データ保護法（No. 25/NA、2017年制定）も引き続き有効であり、PDP Law と合わせてラオスのデータ保護体制の二本柱を形成している（出典: DLA Piper、ILO NATLEX）。

クライアントのデータ基盤を構築した際、電子データ保護法の存在を知らない現地 IT ベンダーが少なくなかった。PDP Law の施行により法的義務がより明確になったが、実務での認知度にはまだギャップがある。

サイバー犯罪法（2015年制定）は、不正アクセスやデータ改ざんを刑事罰で規制する法律だ。LaoCERT（国家コンピュータ緊急対応チーム）の設置根拠法でもある（出典: Council of Europe、Digital Watch Observatory）。

企業が特に注意すべき点:

• 不正アクセスの禁止: 自社システムへの不正侵入だけでなく、従業員が権限外のデータにアクセスする行為も対象
• データ改ざん・破壊: 意図的なデータ操作に対する刑事責任
• インシデント報告: サイバー攻撃を受けた場合の当局への報告義務
• 証拠保全: 電子的証拠の保全・提出義務
• 罰則: 違反の重大性に応じた罰金・懲役刑を規定

なお、新サイバーセキュリティ法（10部11章79条）が国民議会で審議されており、成立すればサイバーセキュリティの技術基準や緊急時対応の法的枠組みがさらに強化される（出典: KPL）。

ラオスでのスマートフォン詐欺の実態と対策については、関連記事でサイバー犯罪法の適用事例を詳しく解説している。

電子取引法（2012年制定）は、電子署名や電子契約の法的効力を定めた基盤法だ。EC 政令（2021年施行）により、オンライン事業者の登録制度や消費者保護が追加されている（出典: VDB Loi）。

• 電子署名の有効性: 一定の要件を満たす電子署名は手書き署名と同等の法的効力
• 電子契約: オンラインでの契約成立要件を明確化
• 消費者保護: EC 事業者の情報開示義務、返品・返金ルール（EC 政令で強化）
• 事業者登録: オンライン販売事業者は電子登録が義務化（EC 政令）
• データ保存: 取引記録の電子保存に関する要件

ラオスは個人データ保護法（PDP Law）の施行により、ASEAN 加盟国の中でも包括的データ保護法を持つ国に仲間入りした（出典: Rajah & Tann Asia）。

現状の構造を整理すると:

PDP Law は従来の電子データ保護法（2017年）を補完する形で、個人データの定義、同意取得、データ主体の権利、越境移転の要件、罰則を包括的に規定している。

企業にとっての意味: 「ラオスには包括法がない」という従来の認識は完全に過去のものとなった。PDP Law の施行により、コンプライアンス体制の見直しは「将来への備え」ではなく現在の法的義務となっている。テクノロジー・通信省（MoTC）が監督機関として機能しており、データ保護当局への登録も義務化されている（出典: DLA Piper）。

ラオスの個人データ保護法（PDP Law）および電子データ保護法に基づき、企業が確認すべきデータ保護の項目を整理した。PDP Law の施行により、以下のチェック項目は推奨事項ではなく法的義務となっている。

☐ 項目 1: 個人データの収集目的を明文化しているか

PDP Law は個人データの処理に法的根拠を求めており、収集するデータごとに「何のために」「どの範囲で」使用するかを文書化する必要がある。「将来的に使うかもしれない」という曖昧な理由での収集は認められない。

☐ 項目 2: データ主体（本人）から同意を取得しているか

PDP Law では、個人データの処理には原則として本人の有効な同意が必要だ。同意取得の記録（いつ、どの範囲で同意を得たか）も保管する。データ主体には同意の撤回権も法定されている（出典: DLA Piper）。

ラオスプロジェクトでは、同意書のラオス語版を用意せず英語のみで運用していたクライアントがいた。現地スタッフが内容を理解できず「形式的な同意」に留まっていた — 同意の実質性を担保するには現地語での説明が不可欠だ。

☐ 項目 3: 収集するデータを必要最小限に絞っているか

業務に不要なデータ（宗教、民族、健康情報等のセンシティブデータ）を収集していないか確認する。PDP Law ではセンシティブデータの処理に追加の保護措置を求めており、特に HR システムで「とりあえず全項目入力」にしているケースは見直しが必要だ。

☐ 項目 4: データ収集時にプライバシーポリシーを提示しているか

PDP Law はデータ処理活動の透明性を求めている。Web サイト、アプリ、紙のフォームいずれの収集手段でも、プライバシーポリシーを本人が閲覧できる状態にする。ラオス語版の提供が必須だ。

☐ 項目 5: データの保管場所と保管期間を定義しているか

「どこに」「いつまで」保管するかを明確にする。PDP Law ではデータ処理活動の登録が義務化されており、保管場所の把握は登録要件の一部だ。クラウドサービスを利用している場合、データセンターの物理的な所在地も把握しておく必要がある。

☐ 項目 6: アクセス権限を最小権限の原則で管理しているか

「全員がすべてのデータにアクセスできる」状態は PDP Law の安全管理措置要件に違反するリスクがある。部門・役職ごとにアクセス権限を設定し、定期的に棚卸しする。

☐ 項目 7: データの暗号化と安全管理措置を実施しているか

PDP Law は適切なセキュリティ措置の実施を求めている（出典: DLA Piper）。保存時の暗号化（encryption at rest）と通信時の暗号化（encryption in transit）の両方が推奨される。特にラオス国内のインターネット環境は不安定な地域もあり、通信経路のセキュリティ確保は重要だ。

☐ 項目 8: 個人データの越境移転の有無を把握しているか

SaaS ツール（Google Workspace、Salesforce 等）を利用するだけでも、データは国外に移転される。PDP Law は越境移転に評価と承認を求めており（出典: DLA Piper）、自社が利用するすべてのサービスについて、データの保管先を棚卸しする必要がある。

☐ 項目 9: 越境移転先の国・地域のデータ保護水準を確認しているか

PDP Law は越境移転に条件を付しており、移転先の国に十分なデータ保護制度があるか、契約上の保護措置を設けているかを確認する必要がある。従来の電子データ保護法でも越境移転には本人同意が必須とされていた。

☐ 項目 10: グループ会社間のデータ共有ルールを整備しているか

親会社（日本・タイ等）とのデータ共有も越境移転に該当する。「グループ内だから問題ない」は誤り。グループ会社間でもデータ共有契約を締結し、移転の根拠を明確にする。

5 年前、ラオスのプロジェクトで機密情報を共有した際、「契約書に共有の範囲が書いていない」と指摘され、急遽データ処理契約を追加作成した。後付けの対応は工数も信頼コストもかかる。

ラオスには AI 専用の規制法は存在しない。しかし、PDP Law・電子データ保護法・サイバー犯罪法、および一般的な契約法・労働法の枠組みで、AI 利用に関する法的責任は発生する。ASEAN レベルでは DEFA が AI ガバナンスの共通原則を含んでおり（出典: WEF）、今後ラオス国内法への反映が見込まれる。

☐ 項目 11: AI システムが処理するデータの種類を特定しているか

AI が個人データを処理する場合、PDP Law の適用を受ける。チャットボット、採用スクリーニング、顧客分析など、AI が扱うデータの種類と量を棚卸しし、データ処理活動の登録対象に含める必要がある。

☐ 項目 12: AI の意思決定プロセスに人間の監督を組み込んでいるか

ラオスに EU AI Act のような「ハイリスク AI」の分類はないが、DEFA が AI ガバナンスの共通原則を含んでおり（出典: WEF、ASEAN公式）、今後 ASEAN レベルでの規制が国内法に反映される可能性がある。人事評価・与信判断・医療診断など、個人に重大な影響を与える AI の判断には、人間によるレビューを挟むことを強く推奨する。

EU AI Act との比較や、グローバルな AI ガバナンスの動向については、AI ガバナンスの関連記事で詳しく解説している。

☐ 項目 13: AI ベンダーとの契約にデータ処理条項を含めているか

外部の AI サービス（ChatGPT API、Claude API 等）を利用する場合、入力データがベンダー側でどう処理されるかを契約で確認する。PDP Law ではデータ処理の委託先管理も求められており、特にモデルの学習に使用されるかどうかは重要な確認ポイントだ。

☐ 項目 14: AI 生成コンテンツの著作権・知的財産権の帰属を整理しているか

ラオスの著作権法は AI 生成物の権利帰属を明確に規定していない。社内での利用ルール（AI 生成物を誰の成果として扱うか、外部公開時の表記方針）を定めておく。

☐ 項目 15: AI の出力結果に対するファクトチェック体制があるか

AI が生成した情報をそのまま顧客や行政機関に提出することは、誤情報による責任リスクを生む。特に法的文書や公的申請に AI 出力を利用する場合、専門家による確認プロセスを必須とする。

☐ 項目 16: 従業員が業務で使用してよい AI ツールを定義しているか

無許可の AI ツール利用（シャドー AI）は、PDP Law 上の意図しないデータ流出の原因になる。許可ツールのリスト化と、利用時のルール（入力してはいけない情報の定義）を策定する。

☐ 項目 17: AI 利用に関する研修・教育を実施しているか

ポリシーの存在だけでは不十分だ。特にラオスの現地スタッフには、ラオス語での研修資料を用意し、AI 利用のリスクと適切な使い方を理解してもらう必要がある。

☐ 項目 18: AI 利用によるインシデント発生時の報告フローを定めているか

AI の誤判断による損害、AI 経由のデータ漏洩など、AI 固有のインシデントに対応するエスカレーションフローを定義する。サイバーセキュリティのインシデント報告フローと統合するのが現実的だ。新サイバーセキュリティ法が成立すれば、インシデント報告の法的要件がさらに明確化される見通しだ（出典: KPL）。

AI セキュリティの技術的な対策については、ラオス AI セキュリティチェックリストで補完的に解説している。

サイバー犯罪法（2015年制定）を中心に、企業のセキュリティ体制を確認する。新サイバーセキュリティ法が国民議会で審議中であり（出典: KPL）、成立すれば技術基準や緊急時対応の要件がさらに具体化される。

☐ 項目 19: サイバーインシデント発生時の報告先と報告期限を把握しているか

サイバーインシデントの報告先は、テクノロジー・通信省（MoTC）傘下の LaoCERT（国家コンピュータ緊急対応チーム）だ。LaoCERT は APCERT（Asia Pacific CERT）のメンバーでもある（出典: LaoCERT公式、APCERT）。最新の連絡先・届出手順は LaoCERT の公式サイト（laocert.gov.la）で確認できる。インシデントが起きてから調べ始めるのでは遅い。

☐ 項目 20: インシデント対応計画（IRP）を策定し、定期的に訓練しているか

計画を策定するだけでなく、年に 1 回以上の訓練（テーブルトップ演習）を実施する。ラオスの通信環境では、本社との緊急連絡手段が通常と異なる場合もある — 衛星通信やオフライン連絡手段も計画に含める。

☐ 項目 21: ログの保管期間と保全手順を定めているか

サイバー犯罪法（2015年）は電子的証拠の保全を求めている。保存期間は条文や当局ガイドラインに従う必要があるが、実務上は少なくとも1年程度のログ保管が一般的に推奨される。捜査機関からの提出要請に対応できる体制を整えておく。

☐ 項目 22: ファイアウォール・侵入検知システム（IDS/IPS）を導入しているか

基本的な境界防御に加え、ラオス国内のネットワーク特性（帯域の不安定さ、ISP の多様性）を考慮した設計が必要だ。ビエンチャンのオフィスと地方拠点では通信品質に大きな差がある場合がある。

☐ 項目 23: ソフトウェアの脆弱性パッチを定期的に適用しているか

パッチ管理は基本中の基本だが、ラオスの現地オフィスでは「帯域が足りなくてアップデートできない」という実態もある。オフライン更新の手順も用意しておく。

☐ 項目 24: 従業員のセキュリティ意識向上プログラムを実施しているか

フィッシングメール訓練、パスワード管理の教育、物理的セキュリティ（USB メモリの持ち込み制限等）を含む包括的なプログラムを、最低年 2 回実施する。

☐ 項目 25: バックアップと災害復旧（DR）計画を策定しているか

データのバックアップは国内外の複数拠点に保管する。ラオスは自然災害（洪水等）のリスクもあるため、物理的な分散も考慮する。復旧目標時間（RTO）と復旧目標地点（RPO）を明確に定義する。

ラオスの法整備が加速している背景には、ASEAN デジタル経済枠組み協定（DEFA）の存在がある。PDP Law の施行もこの流れの一環だ。

DEFA は ASEAN 域内のデジタル貿易ルールを統一する専用の枠組み協定だ。14ラウンドの交渉を経て、24条98段落（全体の73%）で合意に至っている（出典: WEF、The Star）。署名は目標とされている。以下の領域をカバーする:

• 越境データ流通の円滑化
• デジタル決済の相互運用
• サイバーセキュリティ協力
• AI ガバナンスの共通原則
• 消費者保護

ASEAN のデジタル経済は現在約3,000億ドル規模だが、DEFA の成功により2030年までに最大2兆ドルに成長すると予測されている（出典: ASEAN公式）。ラオスは ASEAN の中でデジタル経済の規模は小さいが、DEFA への参加が PDP Law 制定の外圧（と支援）として機能した。

DEFA は「信頼に基づくデータ流通」を原則としており、各国に最低限のデータ保護水準を求める。ラオスの PDP Law 施行は、この DEFA の要求に応える形でもある。

PDP Law が施行された今、企業が次に備えるべきは DEFA の詳細規則と国内実施規則の策定だ。具体的には:

1. データマッピングの更新: PDP Law の登録要件に対応したデータフローの再棚卸し
2. データ処理契約の見直し: PDP Law の要件に合致した契約条項への更新
3. プライバシーポリシーの改訂: PDP Law の透明性要件に対応した多言語化（ラオス語・英語）
4. データ保護当局への登録: MoTC 傘下のデータ保護当局への処理活動の届出

PDP Law の施行後も下位規則（政府規制）の整備が続いており、今後さらに具体的な義務が追加される見通しだ（出典: Rajah & Tann Asia）。

包括的データ保護法がなかった時代でさえ、電子データ保護法とサイバー犯罪法は確実に存在し、違反には罰則があった。PDP Law 施行後の現在、「ラオスには規制がない」という認識は法的リスクそのものだ。

筆者が実際に見たケースでは、ある外資系企業が顧客データベースをラオス国外のサーバーに無断移転していた。当局の調査が入った際、「ラオスにはデータ保護法がないと聞いていた」と主張したが、電子データ保護法の条文を示されて初めて事態の深刻さを認識した。結果的に是正命令と罰金が科された。

PDP Law 施行後はこうした事案への対応がさらに厳格化される可能性が高い。罰則も行政罰（LAK 2,500万〜1億）に加え、悪質な場合は刑事罰が適用される。

ラオスでは法律の条文だけでなく、省庁の行政指導（通達・ガイドライン）が実質的な規制力を持つ場面がある。テクノロジー・通信省（MoTC、ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ）はデジタル政策の主管官庁であり、PDP Law の監督機関でもある（出典: DLA Piper、MoTC InfoComm Asia）。法律に明記されていない事項でも指導が行われることがある。

対策としては:

• MoTC の公式発表を定期的にモニタリングする
• 現地法律事務所との顧問契約で最新情報を入手する
• 業界団体（ラオス商工会議所等）のネットワークを活用する

ラオスで事業展開する多くの外資系企業は、現地パートナー（合弁先、代理店、外注先）とデータを共有する。PDP Law の施行により、委託先管理の法的義務がより明確になった。典型的な盲点:

• データ処理の委託先管理: PDP Law はデータ処理の委託先にも適切な保護措置を求めている。パートナーが適切なセキュリティ措置を取っているか確認が必須
• 契約終了時のデータ返却・消去: 契約に明記していないケースが多い
• 再委託の制限: パートナーが第三者にさらにデータを渡すケースへの対応
• 監査権: パートナーのデータ管理状況を確認する権利の確保

サイバー犯罪法（2015年制定）は懲役刑や罰金を規定しており、PDP Law は行政罰（LAK 2,500万〜1億）と悪質な場合の刑事罰を定めている。刑期・罰金の具体的上限は条文ごとに異なるため、罰則の詳細は当該条文を参照する（出典: Digital Watch Observatory、DLA Piper）。

ある。 ラオス国民議会は個人データ保護法（PDP Law）を可決し、施行されている（出典: Rajah & Tann Asia）。従来の電子データ保護法（2017年）で個人データの保護を部分的に規定していたが、PDP Law により包括的な法的枠組みが整った。タイの PDPA やベトナムの個人データ保護政令と同様、ラオスも ASEAN で包括的データ保護法を持つ国の一つとなった。PDP Law と既存の電子データ保護法・サイバー犯罪法の3法を合わせて遵守する必要がある。

現時点では AI 利用に特化した届出・許可制度は存在しない。ただし、AI が個人データを処理する場合は PDP Law および電子データ保護法の適用を受ける。また、金融・医療・教育などの規制業種では、業種固有の規制が AI 利用にも及ぶ可能性がある。業種ごとの規制当局に事前確認することを推奨する。なお、DEFA が AI ガバナンスの共通原則を含んでおり（出典: WEF）、今後 ASEAN レベルでの規制が策定される可能性がある。

PDP Law は越境移転に評価と承認を求めている（出典: DLA Piper）。電子データ保護法でも越境移転には本人同意が必須とされている。具体的な手続き（十分性認定や SCC に相当するもの）は GDPR ほど詳細には規定されていないが、実務上は、移転先のデータ保護水準の確認、データ処理契約の締結、本人への通知を最低限実施する。クラウドサービスの利用も越境移転に該当する点に注意が必要だ。PDP Law の下位規則でさらに具体的な要件が追加される可能性がある（出典: Rajah & Tann Asia）。

法律により異なる。PDP Law では行政罰（LAK 2,500万〜1億、日本円で約15万〜60万円相当）が中心で、悪質な場合は刑事罰（懲役含む）が適用される。サイバー犯罪法（2015年） では不正アクセスやデータ改ざんに対して懲役刑と罰金が規定されている（出典: Digital Watch Observatory、Council of Europe）。

罰則の金額自体は GDPR（売上の 4%）ほど高額ではないが、ラオスでの事業許可の取消しや当局との関係悪化という実質的なリスクの方が深刻だ。PDP Law の下位規則の策定が続いており、罰則の詳細が今後さらに具体化される可能性がある。

25 項目のチェックが完了したら、以下の優先順位でアクションを進める。

1. 未対応項目の優先度分類

2. 専門家への相談

ラオス法に精通した弁護士に、PDP Law の具体的な適用と未対応項目のリスク評価を依頼する。ビエンチャンには国際法律事務所の拠点もあり、英語・日本語対応が可能な事務所も存在する。PDP Law の下位規則が策定中のため、最新動向のモニタリングも重要だ。

3. 関連記事で知識を深める

• AI ガバナンスの全体像 — EU AI Act を含むグローバルな AI 規制の比較
• ラオス AI セキュリティチェックリスト — 技術的なセキュリティ対策の詳細
• ラオスのスマホ詐欺防止ガイド — サイバー犯罪法の実例と対策

4. 定期レビューの実施

ラオスのデジタル規制は急速に変化している。PDP Law の下位規則の策定、新サイバーセキュリティ法の動向、DEFA の署名・発効を注視し、本チェックリストを四半期に 1 回見直す。