タイ最大の通信会社True Corporation(ทรู コーポレーション)が2026年4月3日、自社システムへのハッキングを否定する公式声明を発表した。顧客の個人データがオンラインで売りに出されているとの告発が拡散しており、ユーザーの間に不安が広がっている。
発端はデータ売買の告発
問題が浮上したのは、ブロックチェーン技術の専門家でDomeCloudのCEO、タナラット・カウワッタナーパン氏がSNSに投稿したことがきっかけだ。タナラット氏は「Trueの顧客データが流出し、オンラインで販売されている証拠がある」と指摘し、個人情報の一部とされるデータのスクリーンショットを公開した。
投稿はSNSで急速に拡散し、Trueの顧客を自称する多くのユーザーが「自分のデータも漏れているのか」と懸念するコメントを書き込んだ。
Trueの否定声明
True Corporation は同日、公式声明を発表した。「詳細に調査した結果、システムへの不正アクセス(システムブリーチ)は確認されなかった」と明言。関連するユーザーアカウントのアクセス設定を見直して強化したと説明した。また、個人情報保護規制当局(PDPC)とサイバーセキュリティ当局に対し、事実関係を透明性をもって説明したとも述べた。
「個人情報の保護と情報セキュリティを最高の優先事項として取り扱っており、継続的に審査・強化を行っている」とTrueは強調した。
データ流出の疑問は残る
しかし、Trueの否定声明で疑念が晴れたわけではない。セキュリティの専門家は「内部からのデータ持ち出しや、第三者ベンダー経由の漏えいは、直接的なシステム侵入がなくても起きうる」と指摘しており、「システムへの不正アクセスがない」という説明だけでは個人データの流出を完全に否定できないとの声もある。
タイの個人情報保護法
タイでは2022年6月から個人情報保護法(PDPA)が全面施行されており、企業は個人データの漏えいを知った場合、72時間以内に当局へ通知する義務がある。違反した場合は最大500万バーツ(約2,300万円)の罰金が科される。
Trueは加入者数が約3,300万人と、タイ最大の通信事業者だ。仮にデータ漏えいが事実であれば、PDPA違反として大規模な調査・処分の対象になりうる。
今後、PDPC(個人情報保護委員会)による公式調査が行われるかどうかが焦点となる。

