前回の記事では、すべての企業が遵守しなければならない「個人情報保護の基本動作」を紹介しました。しかし、最新の予告である「個人情報ファイル安全維持管理弁法」草案(以下、草案)に基づき、企業が「大型非公務機関」に分類された場合、その法令遵守義務は著しくレベルアップし、より厳格な組織管理と技術規範に直面することになります。本稿では、企業が自身がこの対象に該当するかどうかの判断を支援し、それに伴う加重責任について解説します。
1. 誰が「大型非公務機関」なのか?2大基準の検証
草案第3条の定義に基づき、以下の2つの条件に「同時に」該当する場合、大型非公務機関とみなされます。
- 中小企業に属さないこと:すなわち規模が「中小企業認定基準」を超える企業(払込資本金が新台湾ドル1億元以上、または常時雇用する従業員数が200人以上の者)。
- 保有する個人情報の件数が1万件以上であること:中小企業でなく、かつ保有する個人情報が1万件を超えれば、「大型非公務機関」に格上げされます。
1万件はどのように計算するのか?草案第4条は、件数の計算方法を「単日に保有する各自然人の各収集特定目的の合算」と規定しています。草案の立法説明によれば、いわゆる「単日」とは機関が棚卸しを行う当日を指します。また、件数の計算は単純な「自然人の人数」を基準とするのではなく、個人情報収集の異なる目的ごとに個別に累計計算します。言い換えれば、同一の当事者であっても、企業が異なる特定目的に基づいて分別してファイルを管理している場合、件数計算時には重複して累計されます。膨大な会員データベース、サプライヤーリスト、または多重の事業ラインを持つ中堅・大企業にとって、1万件というハードルは極めて容易に到達します。
2. 加重義務一:組織体制の強制要件
ひとたび大型非公務機関となれば、法務部門や情報部門が個人情報業務を兼務するだけでは、法規制の要件を満たすには不十分となる恐れがあります。草案第17条は、専属の組織体制構築を求めています:
- 専任担当者の指定:個人情報保護事項を担当する専任者を指定しなければなりません。
- 執行チームの設置:単独での対応は許されず、部門横断的な「個人情報保護管理執行チーム」を立ち上げ、政策の検討と執行を担わせる必要があります。
- 職務分離の原則:草案は、執行を担当する「管理専任担当者」と監査を担当する「査核(監査)担当者」の兼任を禁止しています。企業は内部に職務権限の分離メカニズムを確立し、監査の独立性と客観性を確保しなければなりません。
3. 加重義務二:書面化された「安全維持計画」
一般企業は管理メカニズムを構築するだけで足りますが、大型非公務機関は草案第16条に基づき、正式な「個人情報ファイル安全維持計画」を策定しなければなりません。これにはリスク評価、事故対応、認識啓発などの項目が含まれ、かつ当該計画の策定または修正は、企業の代表者(董事長、総経理など)またはその指名する者の承認を経なければなりません。
この計画は一度限りの文書ではありません。草案第19条と第26条は、企業に対し毎年定期的にリスク評価を行い、その評価結果に基づいて計画を検討・修正することを求めています。
この部分はまさに法規がPDCA(Plan-Do-Check-Act)サイクルの実践を求めている核心的な精神です。多くの企業の個人情報計画は形式的なものに留まりがちで、事故が発生して初めて計画が全く実行不可能であることに気づくケースが後を絶ちません。定期的な点検と修正を確実に実行し、貴社のPDCAが Plan(計画)、Delay(遅延)、Cancel(中止)、Apology(謝罪) に変わってしまわないようにしてください。
4. 加重義務三:より厳格なセキュリティ技術指標
情報通信システムについて、草案第23条は大型非公務機関に対し、より高い技術基準を設定しています:
- システム稼働前の検査:企業の情報通信システムが対外サービス(公式サイト、アプリなど)を提供している場合、システム稼働(ローンチ)前に必ずソースコード検査、脆弱性スキャン、およびペネトレーションテストを完了し、脆弱性の修正を終えてからでなければ稼働できません。稼働後も、関連する検査を継続して実施する必要があります。
- データのマスキングと暗号化:個人情報の表示に関わる場合はマスキング機能(身分証番号の一部非表示など)を有しなければならず、送信時は暗号化しなければなりません。
- 侵入防止:外部ネットワークからの侵入を防止する対策(ファイアウォール、Webアプリケーションファイアウォール WAFなど)を確立しなければなりません。
5. 提言:今すぐ棚卸しを
企業の規模が中小企業に属さない場合、直ちに「個人情報件数の棚卸し」を行うことを強く推奨します。
- 1万件に近い、または超えている場合:即刻「安全維持計画」の策定に着手し、現在の人員配置が「専任担当者」と「監査担当者」の職務分離の要件を満たせるか検討してください。
- 1万件未満の場合:上記の加重義務は一時的に免除されますが、草案第4条に基づき、将来的に業務拡大により件数が基準に達した場合、企業には全てのコンプライアンス導入を完了するために6ヶ月の猶予期間しか与えられません。
大企業にとって、個人情報保護はもはや単なる法令遵守の課題ではなく、コーポレートガバナンス(ESG)の重要な指標です。
当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が組織体制の調整、安全維持計画の執筆、またはセキュリティ検査の適合性についてご疑問をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた正確な法的分析と解決策をご提供いたします。
※特記事項:本文で言及している関連子法の草案(安全維持弁法など)は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。
