過去わずか3年の間に、台湾の「個人情報保護法(個資法)」は2度の重大な改正を経ました。多くの企業の法務担当者や経営者は、「なぜ改正したばかりなのにまた改正するのか?」と疑問に思うことでしょう。実のところ、これら2回の改正の目的は全く異なり、段階的に進展しています。2023年の改正が詐欺被害の嵐に対応するための「緊急の止血措置」(厳罰化による抑止)であったとするならば、2025年の改正は憲法の要請に応えるための「体質改善」(独立した監督制度の構築)を目的としています。本稿では、この重要な法改正の進化の過程を整理します。
1. 第1段階:2023年5月31日改正——まずは「厳罰化」
2023年の法改正の背景を振り返ると、当時猖獗を極めていた詐欺事件や頻発する個人情報漏洩に対する社会的圧力への対応が主な目的でした。当時の改正の重点は「罰則の強化」と「所管官庁変更の予告」にありました。
当時改正された第48条に基づき、非公務機関が適切な安全維持措置を講じておらず、かつ期限内に是正しなかった場合、または情状が重い場合、過料(罰鍰)の上限が従来の新台湾ドル20万元から新台湾ドル1,500万元へと大幅に引き上げられました。これにより、企業は初めて個人情報保護法違反がもたらす財務的打撃を実感することとなり、少額の罰金を払えば済むような行政コストではなくなりました。また、当時第1条の1が増設され、「個人情報保護委員会(個資会)」を所管官庁とすることが初めて明文化され、その後の独立監督への道が開かれました。
2. 第2段階:2025年11月11日改正——「全面的監督」の確立
第1段階が「止血」であったなら、第2段階は「根本治療」と言えます。行政院は2025年3月27日に草案を提出し、審議を経て同年10月17日に立法院で三読通過(可決)、11月11日に正式に公布されました。今回の改正の核心的な動機は、憲法法廷2022年憲判字第13号判決(健康保険データベース事件)にあり、大法官は旧法に「独立した監督メカニズム」が欠如していることを明確に指摘しました。
そのため、2025年の改正の重点は「個資会への実質的な監督権限の付与」と「官民部門に対する監督メカニズムの完備」にあり、主な変更点は以下の通りです:
- 独立機関の権責確立と「過渡期間」の設計(第1条の1、第51条の1改正):新法では個資会を独立した監督機関として確立しました。しかし、個資会設立当初は監督リソースがまだ整っていないことを考慮し、立法者は特に「6年間の過渡メカニズム」を設計しました。現在、明確な所管官庁がない事業者は、個資会が直接監督します。一方で、明確な所管官庁がある事業者(金融業など)については、当面の間現状を維持し、2年ごとに見直しを行い、段階的に権限の統一を図ります。
- 通報義務の強化(第12条改正):旧法では事実関係を「究明」した後に本人へ通知することのみを求めていましたが、新法ではこれをより厳格な「本人への通知」と「所管官庁への通報」という二重の義務に修正しました。個人情報事故(窃取、改竄、毀損、滅失、または漏洩を含む)の発生を「知った」時点で、直ちに通報手続きを開始しなければならず、企業が「まだ内部調査中である」ことを理由に先延ばしにすることはもはや許されません。
- 行政検査権の増設(第22条改正):旧法では往々にして違法の疑いがなければ検査を発動できませんでしたが、新法では所管官庁が「必要と認める」場合、企業の個人情報保護法の遵守状況を確認するために、職権で行政検査を発動できるようになりました。検査権限には、資料提供の要求、事業所への立ち入り検査、さらには証拠の留置や複写が含まれ、企業は正当な理由なくこれを回避、妨害、または拒否してはなりません。
- 公的部門の監督強化(第18条改正):公務機関に「個人情報保護長(DPO)」の設置を義務付ける規定が増設されました。機関の長が適切な人員を指名して兼任させ、「トップダウン」方式で個人情報保護文化を定着させます。この条文は直接的には公務機関を規制するものですが、これは民間部門の「大企業」が将来的に専任者を設置する際の重要な参考指標となるでしょう。
3. 結論:企業コンプライアンスのニューノーマル
新法の条文は2025年11月に公布されましたが、企業は新法の正式な施行日が未定であることに注意する必要があります。個資会準備室の説明によれば、個資会の正式な設立には「個人情報保護委員会組織法」の立法手続き完了を待つ必要があるため、行政院は組織法の審議状況および関連する行政準備(子法の制定など)を考慮した上で、別途施行日を指定することになります。
しかし、2023年から2025年にかけての法改正の軌跡を見れば、個人情報保護に対する国家の姿勢が、受動的な「違反への処罰」から、能動的な「制度的監督」へと転換したことは明らかです。共通基礎版となる「安全維持管理弁法」草案が順次予告される中、将来のコンプライアンスは「72時間以内の通報」や「定期的な演習」などの詳細に具体的に落とし込まれることになります。企業が依然として旧法の考え方に留まっていれば、新法施行後に対応が遅れる可能性が極めて高いでしょう。
当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が新法への適応、安全維持計画の策定、または個人情報・セキュリティインシデントへの対応について疑問をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた解決策をご提供いたします。
※特記事項:本文で言及している関連子法の草案(安全維持弁法、事故通報弁法など)は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。
