第598回　個人情報保護法の改正

　台湾では、今年11月11日、個人情報保護法の大幅な改正案が公表され、独立した監督機関である「個人情報保護委員会（PDPC）」新設後の体制について詳細な規定がなされました。今回の改正は、台湾で事業を行う方に影響を与える大きな転換点といえますので、改正のポイントを以下のとおり紹介します。

一、PDPCの発足と監督体制の一本化

　これまで個人情報保護の監督権限は各省庁に分散していましたが、改正後は PDPCが一元的に担当することになります。また、個人情報漏えい事故についてPDPCへの通報義務が新設され、PDPCが安全管理基準を策定する権限も持つことになっています。事故が発生した際には、機関・企業は速やかな通報と記録の保存が求められ、透明性と迅速性がこれまで以上に求められます。

二、公的部門でのガバナンス強化

　改正では、公的部門に個人情報保護長を設置する義務が新設されました。組織全体の個人情報管理を統括する役割を担うことで、公的部門の保護体制が段階的に底上げされます。また、上級機関の指導とPDPCによる外部監査を組み合わせた二重構造の監督制度も整備されます。

三、企業への影響

　企業には、直ちに個人情報保護長設置義務が課されるわけではありませんが、PDPCの検査権限は、例えば意見陳述や資料提出の要求、立ち入り検査といった権限が明確化されるなど強化され、必要に応じて抜き打ち検査が行われる可能性もあります。

四、企業を対象とした「移行期間」

　PDPCの発足初期は、監督管理の資源がまだ整っていないことを考慮し、企業に対しては移行メカニズムが設けられます。現在、明確な対象事業主管機関がない事業者については、PDPCが直接監督管理を実施します。既に明確な対象事業主管機関がある事業者については、PDPC発足後6年間、行政院が公告する範囲内で引き続き元の対象事業主管機関が監督管理を実施します。この監督管理の範囲は2年ごとに見直しや削減が行われ、徐々にPDPCへの監督管理権限の一本化が進められます。

　今回の改正に伴い、企業としては、この法改正の動向を常に注視し、自社の個人情報保護体制が新たな法令要件を満たしているか、継続的に確認・改善していく必要があります。特に、事故通報義務の創設やPDPCによる立ち入り検査権限の強化は、リスク管理の観点から非常に重要です。

＊本記事は、台湾ビジネス法務実務に関する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。台湾ビジネス法務実務に関する具体的な法律問題についての法的助言をご希望される方は弊事務所にご相談下さい。