免責事項: 本記事は情報提供を目的としたものであり、法的助言を構成するものではありません。具体的な法的判断については、ラオス法に精通した弁護士にご相談ください。法令の翻訳は筆者による参考訳であり、正文はラオス語版です。

ラオスで事業を展開する企業が「デジタル法」と聞いて最初に直面するのは、何を守ればいいのか分からないという問題だ。タイには PDPA、ベトナムには個人データ保護政令があるが、ラオスには包括的データ保護法がまだ存在しない。

だからといって「規制がない」わけではない。ラオスには電子データ保護法・サイバー犯罪法・電子商取引法の 3 法があり、個人データの不正利用や越境移転、サイバー攻撃への対応はすでに法的義務として定められている。AI 利用についても、既存法の枠組みで責任が問われる場面は確実に存在する。

本記事では、ラオスのデジタル関連法規を 全 25 項目のチェックリストに整理した。経営者・法務担当者が自社のデータ管理と AI 利用を点検し、コンプライアンス上の抜け漏れを特定するために使える実務ツールとして設計している。

本チェックリストは、以下の 3 カテゴリ・全 25 項目で構成されている。

使い方: 各項目の ☐ を順に確認し、未対応の項目を洗い出す。自社だけで判断が難しい項目は、ラオス法に詳しい現地弁護士への相談を推奨する。チェックリストの PDF 版が必要な場合は、ページ末尾の CTA からダウンロードできる。

ラオスのデジタル規制を理解するには、まず「1 本の包括法」ではなく「3 本の個別法の組み合わせ」で成り立っている点を押さえる必要がある。

2017 年制定。電子的に処理される個人データの保護を定めた法律で、ラオスにおけるデータ保護の中核的な法令だ。

主な規定:

• 個人データの定義: 個人を特定できる電子データ（氏名、ID 番号、位置情報等）
• 収集の原則: 目的の明示、本人の同意取得
• 保管義務: 適切な技術的・組織的措置による安全管理
• 越境移転: 国外へのデータ移転には条件が付される
• 罰則: 違反に対する行政罰・刑事罰の規定あり

クライアントのデータ基盤を構築した際、この法律の存在を知らない現地 IT ベンダーが少なくなかった。法律は存在するが、実務での認知度にはまだギャップがある。

2015 年制定。不正アクセス、データ改ざん、オンライン詐欺などのサイバー犯罪を類型化し、罰則を定めている。

企業が特に注意すべき点:

• 不正アクセスの禁止: 自社システムへの不正侵入だけでなく、従業員が権限外のデータにアクセスする行為も対象
• データ改ざん・破壊: 意図的なデータ操作に対する刑事責任
• インシデント報告: サイバー攻撃を受けた場合の当局への報告義務
• 証拠保全: 電子的証拠の保全・提出義務

ラオスでのスマートフォン詐欺の実態と対策については、関連記事でサイバー犯罪法の適用事例を詳しく解説している。

2012 年制定、2018 年改正。電子署名の法的有効性、電子契約の成立要件、消費者保護を規定する。

• 電子署名の有効性: 一定の要件を満たす電子署名は手書き署名と同等の法的効力
• 電子契約: オンラインでの契約成立要件を明確化
• 消費者保護: EC 事業者の情報開示義務、返品・返金ルール
• データ保存: 取引記録の電子保存に関する要件

ASEAN 加盟国の多くが包括的データ保護法を制定・施行する中、ラオスはまだ PDPA 型の統一法を持たない。しかし、これは「規制が緩い」ことを意味しない。

現状の構造を整理すると:

ラオス科学技術省（MoST）はデジタル変革を推進しており、ASEAN デジタル経済枠組み協定（DEFA）への参加もあって、今後数年で包括法の制定が進む可能性は高い。現時点で最低限のデータガバナンス体制を構築しておくことが、将来の規制強化への最善の備えとなる。

ラオスの電子データ保護法を中心に、企業が確認すべきデータ保護の項目を整理した。

☐ 項目 1: 個人データの収集目的を明文化しているか

収集するデータごとに「何のために」「どの範囲で」使用するかを文書化する。ラオスの電子データ保護法は目的の明示を求めており、「将来的に使うかもしれない」という曖昧な理由での収集は認められない。

☐ 項目 2: データ主体（本人）から同意を取得しているか

従業員データ、顧客データを問わず、個人データの収集には原則として本人の同意が必要だ。同意取得の記録（いつ、どの範囲で同意を得たか）も保管する。

ラオスプロジェクトでは、同意書のラオス語版を用意せず英語のみで運用していたクライアントがいた。現地スタッフが内容を理解できず「形式的な同意」に留まっていた — 同意の実質性を担保するには現地語での説明が不可欠だ。

☐ 項目 3: 収集するデータを必要最小限に絞っているか

業務に不要なデータ（宗教、民族、健康情報等のセンシティブデータ）を収集していないか確認する。特に HR システムで「とりあえず全項目入力」にしているケースが多い。

☐ 項目 4: データ収集時にプライバシーポリシーを提示しているか

Web サイト、アプリ、紙のフォームいずれの収集手段でも、プライバシーポリシーを本人が閲覧できる状態にする。ラオス語版の提供が望ましい。

☐ 項目 5: データの保管場所と保管期間を定義しているか

「どこに」「いつまで」保管するかを明確にする。クラウドサービスを利用している場合、データセンターの物理的な所在地も把握しておく必要がある。

☐ 項目 6: アクセス権限を最小権限の原則で管理しているか

「全員がすべてのデータにアクセスできる」状態はサイバー犯罪法上もリスクだ。部門・役職ごとにアクセス権限を設定し、定期的に棚卸しする。

☐ 項目 7: データの暗号化と安全管理措置を実施しているか

保存時の暗号化（encryption at rest）と通信時の暗号化（encryption in transit）の両方が求められる。特にラオス国内のインターネット環境は不安定な地域もあり、通信経路のセキュリティ確保は重要だ。

☐ 項目 8: 個人データの越境移転の有無を把握しているか

SaaS ツール（Google Workspace、Salesforce 等）を利用するだけでも、データは国外に移転される。自社が利用するすべてのサービスについて、データの保管先を棚卸しする。

☐ 項目 9: 越境移転先の国・地域のデータ保護水準を確認しているか

ラオスの電子データ保護法は越境移転に条件を付している。移転先の国に十分なデータ保護制度があるか、契約上の保護措置（Standard Contractual Clauses に相当する条項）を設けているかを確認する。

☐ 項目 10: グループ会社間のデータ共有ルールを整備しているか

親会社（日本・タイ等）とのデータ共有も越境移転に該当する。「グループ内だから問題ない」は誤り。グループ会社間でもデータ共有契約を締結し、移転の根拠を明確にする。

5 年前、ラオスのプロジェクトで機密情報を共有した際、「契約書に共有の範囲が書いていない」と指摘され、急遽データ処理契約を追加作成した。後付けの対応は工数も信頼コストもかかる。

ラオスには AI 専用の規制法は存在しない。しかし、既存の 3 法と一般的な契約法・労働法の枠組みで、AI 利用に関する法的責任は発生する。

☐ 項目 11: AI システムが処理するデータの種類を特定しているか

AI が個人データを処理する場合、電子データ保護法の適用を受ける。チャットボット、採用スクリーニング、顧客分析など、AI が扱うデータの種類と量を棚卸しする。

☐ 項目 12: AI の意思決定プロセスに人間の監督を組み込んでいるか

ラオスに EU AI Act のような「ハイリスク AI」の分類はないが、人事評価・与信判断・医療診断など、個人に重大な影響を与える AI の判断には、人間によるレビューを挟むことを強く推奨する。行政指導のリスクを低減するだけでなく、判断の透明性を確保する実務上のメリットも大きい。

EU AI Act との比較や、グローバルな AI ガバナンスの動向については、AI ガバナンスの関連記事で詳しく解説している。

☐ 項目 13: AI ベンダーとの契約にデータ処理条項を含めているか

外部の AI サービス（ChatGPT API、Claude API 等）を利用する場合、入力データがベンダー側でどう処理されるかを契約で確認する。特にモデルの学習に使用されるかどうかは重要な確認ポイントだ。

☐ 項目 14: AI 生成コンテンツの著作権・知的財産権の帰属を整理しているか

ラオスの著作権法は AI 生成物の権利帰属を明確に規定していない。社内での利用ルール（AI 生成物を誰の成果として扱うか、外部公開時の表記方針）を定めておく。

☐ 項目 15: AI の出力結果に対するファクトチェック体制があるか

AI が生成した情報をそのまま顧客や行政機関に提出することは、誤情報による責任リスクを生む。特に法的文書や公的申請に AI 出力を利用する場合、専門家による確認プロセスを必須とする。

☐ 項目 16: 従業員が業務で使用してよい AI ツールを定義しているか

無許可の AI ツール利用（シャドー AI）は、意図しないデータ流出の原因になる。許可ツールのリスト化と、利用時のルール（入力してはいけない情報の定義）を策定する。

☐ 項目 17: AI 利用に関する研修・教育を実施しているか

ポリシーの存在だけでは不十分だ。特にラオスの現地スタッフには、ラオス語での研修資料を用意し、AI 利用のリスクと適切な使い方を理解してもらう必要がある。

☐ 項目 18: AI 利用によるインシデント発生時の報告フローを定めているか

AI の誤判断による損害、AI 経由のデータ漏洩など、AI 固有のインシデントに対応するエスカレーションフローを定義する。サイバーセキュリティのインシデント報告フローと統合するのが現実的だ。

AI セキュリティの技術的な対策については、ラオス AI セキュリティチェックリストで補完的に解説している。

サイバー犯罪法を中心に、企業のセキュリティ体制を確認する。

☐ 項目 19: サイバーインシデント発生時の報告先と報告期限を把握しているか

サイバー犯罪法はインシデント発生時の当局への報告を義務付けている。報告先（科学技術省傘下の LaoCERT 等）と報告手順を事前に確認しておく。インシデントが起きてから調べ始めるのでは遅い。

☐ 項目 20: インシデント対応計画（IRP）を策定し、定期的に訓練しているか

計画を策定するだけでなく、年に 1 回以上の訓練（テーブルトップ演習）を実施する。ラオスの通信環境では、本社との緊急連絡手段が通常と異なる場合もある — 衛星通信やオフライン連絡手段も計画に含める。

☐ 項目 21: ログの保管期間と保全手順を定めているか

サイバー犯罪法は電子的証拠の保全を求めている。システムログ、アクセスログを最低 1 年間保管し、改ざん防止措置を施す。捜査機関からの提出要請に対応できる体制を整えておく。

☐ 項目 22: ファイアウォール・侵入検知システム（IDS/IPS）を導入しているか

基本的な境界防御に加え、ラオス国内のネットワーク特性（帯域の不安定さ、ISP の多様性）を考慮した設計が必要だ。ビエンチャンのオフィスと地方拠点では通信品質に大きな差がある場合がある。

☐ 項目 23: ソフトウェアの脆弱性パッチを定期的に適用しているか

パッチ管理は基本中の基本だが、ラオスの現地オフィスでは「帯域が足りなくてアップデートできない」という実態もある。オフライン更新の手順も用意しておく。

☐ 項目 24: 従業員のセキュリティ意識向上プログラムを実施しているか

フィッシングメール訓練、パスワード管理の教育、物理的セキュリティ（USB メモリの持ち込み制限等）を含む包括的なプログラムを、最低年 2 回実施する。

☐ 項目 25: バックアップと災害復旧（DR）計画を策定しているか

データのバックアップは国内外の複数拠点に保管する。ラオスは自然災害（洪水等）のリスクもあるため、物理的な分散も考慮する。復旧目標時間（RTO）と復旧目標地点（RPO）を明確に定義する。

ラオスの法整備は「遅れている」のではなく「追いかけている」段階にある。その加速装置が DEFA だ。

2025 年に ASEAN 10 か国が署名した DEFA は、域内のデジタル貿易・データ流通のルールを統一する枠組みだ。以下の領域をカバーする:

• 越境データ流通の円滑化
• デジタル決済の相互運用
• サイバーセキュリティ協力
• AI ガバナンスの共通原則
• 消費者保護

ラオスは ASEAN の中でデジタル経済の規模は小さいが、DEFA への参加によって、国内法の整備を加速させる外圧（と支援）を受けることになる。

DEFA は「信頼に基づくデータ流通」を原則としており、各国に最低限のデータ保護水準を求める。これは事実上、ラオスに PDPA 型の包括法制定を促すシグナルだ。

企業が今やるべきことは明確で、DEFA の要求水準を先取りしたデータガバナンス体制を構築することだ。具体的には:

1. データマッピング（どのデータが、どこに、どう流れているか）の実施
2. データ処理契約の整備（ベンダー・グループ会社間）
3. プライバシーポリシーの多言語化（ラオス語・英語）
4. インシデント対応体制の構築

この 4 つは、将来どのような法律が制定されても必ず求められる基本要件であり、投資が無駄になることはない。

包括的データ保護法がないことを「規制がない」と読み替える企業は少なくない。しかし、電子データ保護法とサイバー犯罪法は確実に存在し、違反には罰則がある。さらに、ラオスの法執行は属人的な面があり、問題が起きた際に「法律を知らなかった」では通用しない。

筆者が実際に見たケースでは、ある外資系企業が顧客データベースをラオス国外のサーバーに無断移転していた。当局の調査が入った際、「ラオスにはデータ保護法がないと聞いていた」と主張したが、電子データ保護法の条文を示されて初めて事態の深刻さを認識した。結果的に是正命令と罰金が科された。

ラオスでは法律の条文だけでなく、省庁の行政指導（通達・ガイドライン）が実質的な規制力を持つ場面がある。科学技術省（ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ）はデジタル政策の主管官庁であり、法律に明記されていない事項でも指導が行われることがある。

対策としては:

• MoST の公式発表を定期的にモニタリングする
• 現地法律事務所との顧問契約で最新情報を入手する
• 業界団体（ラオス商工会議所等）のネットワークを活用する

ラオスで事業展開する多くの外資系企業は、現地パートナー（合弁先、代理店、外注先）とデータを共有する。この際の典型的な盲点:

• データ処理の委託先管理: パートナーが適切なセキュリティ措置を取っているか未確認
• 契約終了時のデータ返却・消去: 契約に明記していないケースが多い
• 再委託の制限: パートナーが第三者にさらにデータを渡すケースへの対応
• 監査権: パートナーのデータ管理状況を確認する権利の確保

ない。ラオスは電子データ保護法（2017 年）で個人データの保護を部分的に規定しているが、GDPR やタイ PDPA のような包括的な法律は未制定だ。ただし、ASEAN DEFA への参加もあり、今後数年で包括法が制定される可能性がある。現時点では既存 3 法の遵守が最低ラインとなる。

現時点では AI 利用に特化した届出・許可制度は存在しない。ただし、AI が個人データを処理する場合は電子データ保護法の適用を受ける。また、金融・医療・教育などの規制業種では、業種固有の規制が AI 利用にも及ぶ可能性がある。業種ごとの規制当局に事前確認することを推奨する。

電子データ保護法は越境移転に条件を付しているが、具体的な手続き（十分性認定や SCC に相当するもの）は GDPR ほど詳細には規定されていない。実務上は、移転先のデータ保護水準の確認、データ処理契約の締結、本人への通知を最低限実施する。クラウドサービスの利用も越境移転に該当する点に注意が必要だ。

法律により異なる。サイバー犯罪法では不正アクセスやデータ改ざんに対して懲役刑（最大 5 年）と罰金が規定されている。電子データ保護法では行政罰（是正命令、業務停止命令等）が中心だ。罰則の金額自体は GDPR（売上の 4%）ほど高額ではないが、ラオスでの事業許可の取消しや当局との関係悪化という実質的なリスクの方が深刻だ。

25 項目のチェックが完了したら、以下の優先順位でアクションを進める。

1. 未対応項目の優先度分類

2. 専門家への相談

ラオス法に精通した弁護士に、未対応項目のリスク評価と対応策の策定を依頼する。ビエンチャンには国際法律事務所の拠点もあり、英語・日本語対応が可能な事務所も存在する。

3. 関連記事で知識を深める

• AI ガバナンスの全体像 — EU AI Act を含むグローバルな AI 規制の比較
• ラオス AI セキュリティチェックリスト — 技術的なセキュリティ対策の詳細
• ラオスのスマホ詐欺防止ガイド — サイバー犯罪法の実例と対策

4. 定期レビューの実施

ラオスの法規制は変化の途上にある。本チェックリストを四半期に 1 回見直し、新たな法令・通達・DEFA の進展を反映する。