総統は2025年9月24日、立法院で可決された「サイバーセキュリティ管理法」(以下「サイバーセキュリティ法」という)の改正条文を公布しました。施行日については、行政院が別途定めることとなっています。
サイバーセキュリティ法の規制対象は、公的機関及び特定の非公的機関に分類されます。特定の非公的機関には、(1)重要インフラ提供者、(2)公営事業、(3)特定財団法人又は政府の管理下にある事業、団体若しくは機関が含まれます。重要インフラとは、国家安全保障、社会又は経済に重大な影響を及ぼす資産、システム又はネットワークを指し、行政院が指定する分野を公告し、その提供者は中央目的事業主務機関により指定され、行政院の承認を経て管理下に置かれます。
日々進化するサイバーセキュリティの脅威に対応するため、2019年の施行以来初めての改正となる本法では、所管機関がデジタル発展部に変更されるとともに、複数のセキュリティガバナンス規制が強化されました。主な改正内容は以下の通りです:
- 国家サイバーセキュリティを脅かす製品の使用制限
公的機関は、国家サイバーセキュリティを脅かす製品のダウンロード、インストール又は使用を禁止されることが明確に規定されました。ここでいう国家サイバーセキュリティを脅かす製品とは、所管機関により国家サイバーセキュリティに対するリスクがあると認定され、政府運営又は社会の安定性に影響を及ぼす可能性のあるシステム、サービス又は製品を指し、国家安全法及び反浸透法で定める外国、中国大陸地域、国外の敵対勢力又はそれらの実質的支配者が提供する製品を含みます。この禁止範囲は、機関が自ら又は外部委託により運営する場所で提供される公衆視聴設備及びネットワークアクセスサービスにも及びます。ただし、業務上の必要性があり代替案がない場合は、所管機関の承認を得た上で、特別プロジェクトとして使用を認め、管理台帳に記録することを条件とします。
特定の非公的機関については、中央目的事業主務機関に対し、当該機関の運営場所で提供される公衆視聴設備及びネットワークアクセスサービスを含む、これらの製品の使用を制限又は禁止する権限が付与されています。
- 特定の非公的機関におけるサイバーセキュリティ責任者及び専任担当者の設置義務
特定の非公的機関は、代表者又は適任者をサイバーセキュリティ責任者として任命し、サイバーセキュリティ維持業務を監督することが新たに義務付けられました。また、特定のサイバーセキュリティ責任レベルに該当する機関は、サイバーセキュリティ業務を担当する専任職員を配置しなければなりません。
- 特定の非公的機関における重大なサイバーセキュリティ事案に関する中央目的事業主務機関の調査権限の新設
調査範囲には、当事者又は関係者の出頭要請及び意見聴取、第三者報告書の提出要請、並びに立入検査の実施が含まれます。調査対象者は、これらの調査を回避、妨害又は拒否してはならず、違反した場合は10万台湾ドルから100万台湾ドルの過料が科されます。
- 特定の非公的機関の違反に対する罰則の強化
サイバーセキュリティ事案の報告義務違反に対する罰則の上限が1,000万台湾ドルに引き上げられました。その他、サイバーセキュリティ維持計画の未実施、実施状況の未報告、改善報告書の未提出、報告・対応メカニズムの未整備、事案調査報告書の未提出、報告内容や訓練実施規定違反等について、期限を定めて改善を求めたにもかかわらず是正されない場合、罰則の上限が500万台湾ドルに引き上げられ、違反回数に応じて科すことができるものとされました。
- サイバーセキュリティ業務の外部委託における書面契約の義務付け
機関がサイバーセキュリティ業務を外部委託する場合、受託者との間で権利義務を明記した書面契約を締結し、デジタル発展部が計画するサイバーセキュリティ訓練に協力しなければなりません。
- サイバーセキュリティと個人情報に関する事案の二元的処理
サイバーセキュリティ事案が個人情報の漏洩に関係する場合、規制目的が異なることから、個人情報保護法及び関連法令に基づく別途の対応が必要であることが明確化されました。
