前回の記事では、新版「個人情報保護法」第12条により確立された「当事者への通知」と「所管官庁への通報」という二重の義務について検討しました。そのうち、「当事者への通知」は被害者の知る権利を保障するためのものであり、原則として事故が発生し、当事者の権益に影響が及ぶ場合は通知しなければなりません。 

しかし、「所管官庁への通報」についても「全件通報」が必要なのでしょうか？これは企業の行政負担と監督リスクに多大な影響を与えます。最新の予告である「個人情報事故通知通報および応変弁法」草案（以下、草案）に基づき、所管官庁は3つの明確な「強制通報の基準（門檻）」を画定しました。本稿では、これらの基準の具体的な内容と、企業が備えるべき対応標準作業手順書（SOP）について解析します。 

1. 強制通報の基準：3つのうち1つでも該当すれば通報必須 

草案第3条第1項の規定に基づき、個人情報事故が以下のいずれかの状況に該当する場合、企業は知った時から72時間以内に所管官庁（個資会）に通報しなければなりません。 

1. 本法第6条第1項に規定する個人情報（特種個人情報）が含まれる場合： 事故に病歴、医療、遺伝子、性生活、健康診断、犯罪前科などの高度に機微な情報が含まれる場合、件数の多寡にかかわらず通報しなければなりません。医療機関、バイオテクノロジー企業、保険業者にとっては、実質的にほぼ全てのセキュリティインシデントを通報しなければならないことを意味します。 
2. 当該情報通信システムが保有する個人情報の件数が1万件以上の場合： この条項は「システムの規模」に着目しています。たとえ今回の事故で漏洩したのがごく少数のデータであっても、事故が発生した情報通信システム自体が大量の個人情報（1万件以上）を保有するデータベースである場合、そのシステムの脆弱性がシステミックリスクを引き起こす可能性があるため、通報が必要です。 
3. 影響を受ける個人情報の件数が100件以上の場合： これは一般のB2C企業に最も影響を与える条項です。100件というのは極めて低いハードルであり、ECプラットフォーム、会員制サイト、サービス業であれば、ひとたび漏洩やランサムウェアによる暗号化が発生すれば、影響人数は容易に100人を超えます。この基準は、企業の「重大事故でなければ通報不要」という過去の迷信を打ち砕き、通報義務を常態化させるものです。 

企業は「件数」の計算方法に特に注意する必要があります。草案の説明によれば、件数の計算は「単日に保有する各自然人の各収集特定目的」を合算して計算します。言い換えれば、同一顧客のデータが複数の異なる目的で使用されている場合、重複して計算される可能性があるため、企業は基準に達しているか評価する際、保守的に認定すべきです。 

2. 対応措置：通報以外に何をすべきか？ 

通報は単にフォームを記入するだけではありません。所管官庁は、企業がその場でどのような「止血」措置（損害擴大防止措施）を講じたかをより重視します。草案第4条には、企業が講ずべき即時かつ有効な応変措置が明記されており、これらは通報内容の必須項目となります： 

1. 遮断と封鎖：漏洩経路を検査（脆弱性修正など）し、隔離（ネットワーク切断など）または封鎖措置を講じる。 
2. 権限の見直し：アクセス権限を検査し、異常なアクセス経路を直ちに阻止する（ハッキングされたアカウントのパスワードリセットなど）。 
3. データの回収：ファイルの誤送信であれば回収を試みる。または受領した第三者に対してデータの削除・廃棄を要求する。 
4. ネット上の忘却（忘れられる権利）：データが既にインターネット上に公開されている場合、検索エンジン事業者に対してキャッシュページの削除を要請するか、公開状態を解消する措置を講じる。 

企業は事故発生時、これらの処置を同時に進行させるとともに、記録（ログファイル、やり取りのメールなど）を保存し、後日行政調査に直面した際に、損害拡大防止に尽力した証拠とする必要があります。 

3. 罰則リスク：未通報の代償 

もし企業が「通報しなければバレないだろう」と僥倖を願い、新法の枠組み下で隠蔽を図れば、極めて高いリスクに直面します。 

2025年改正「個人情報保護法」第48条第2項の規定に基づき、通報義務に違反（内容、方法、期限の不備を含む）した場合、所管官庁は新台湾ドル2万元以上20万元以下の過料（罰鍰）を科し、期限付きで是正を命じることができます。期限内に是正しない場合、回数に応じて処罰されます。 

20万元の過料は高額ではないように見えますが、未通報は往々にして「適切な安全維持措置を講じていない」という違反事実を伴います。ひとたび所管官庁に能動的に摘発されれば、未通報による処罰に加え、安全維持の不備について最高で新台湾ドル1,500万元の重い罰則が科される可能性があります。通報は所管官庁の介入を招きますが、自主的な通報と調査への協力は、行政裁量において責任軽減に有利な要素となります。 

4. 提言：段階的通報メカニズムの構築 

「100件」という低いハードルと「72時間」という期限に直面し、当事務所は企業に対し、内部の「事故等級表」を作成することを推奨します。例えば、事故を「赤信号（特種個人情報に関わる、または100人超）」と「黄信号（一般個人情報かつ100人未満）」に分類します。セキュリティチームが事故レベルを赤信号と確認した場合、法務部門は直ちに介入して通報書類を準備し、黄金時間内にコンプライアンス要件を確実に満たすようにすべきです。 

当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が通報基準の判定、対応SOPの策定、またはシミュレーション演習についてご要望をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた正確な法的分析と解決策をご提供いたします。 

---

※特記事項：本文で言及している関連子法の草案（安全維持弁法、事故通報弁法など）は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。