2025年11月11日、総統府は「個人情報保護法」改正案を正式に公布しました。正式な施行日は行政院により別途定められますが、今回の改正は一般民間企業に実質的な影響を及ぼすため、大きな注目を集めています。

今回の法改正（以下「新法」という）は、個人情報保護委員会（以下「個資会」という）の設立に対応し、個資会に公的機関及び非公的機関を監督する権限を付与するとともに、公的機関に個人情報保護責任者（データ保護監督者、data protection officer：DPO）の設置義務を明確に課し、DPOが公的機関内における個人情報保護業務の推進及び監督を担うこととしています（ただし、新法は一般民間企業に対してはDPOの設置義務を課していません）。

非公的機関（すなわち一般民間企業）に対しては、新法第12条において、事故が発生した企業に対し、即時かつ有効な対応措置を講じ、記録を保存することを求めており、具体的な通報の内容、方法、期限及び範囲等の詳細事項については、個資会が後日法規命令により定めることとしています。次に、新法第48条では、事故の通報及び処理義務を明確化し、違反者に対する罰則を設定しています。

さらに、新法第20条の1は、個資会に一般的な個人情報セキュリティ維持計画に関する規則を制定する権限を付与しており、今後個資会が制定を完了した場合、現在既に管理対象となっている事業者以外にも、他の業種の企業もその規則の内容を遵守しなければなりません。また、新法第22条では、今後の個人情報に関する行政検査の計画及び協力措置について詳細に規定しています。

新法第51条の1では経過措置条項が新設され、個資会設立初期の監督資源がまだ十分に整備されていないことを考慮し、経過措置の仕組みを設計しています。これにより、現在明確な所管行政庁を持たない事業者については個資会が直接監督し、既に明確な所管行政庁を持つ事業者については、個資会設立後6年以内に、行政院の公告する範囲に従い、引き続き所管行政庁による監督を受け、2年ごとに見直しを行って段階的に削減し、監督権限の統一を完成させることとしています。