改正個人情報保護法についてのご紹介
昨年11月、改正個人情報保護法(中国語:個人資料保護法)(以下、「同法」といいます)が公布されました。施行日は本稿執筆時点で未定であるものの、今回の改正は企業にも広く影響が及ぶことが見込まれます。早期に改正内容を踏まえた社内体制・運用の見直しを検討いただくべく、対応の起点となる主なポイントをご紹介いたします。
1.「個人情報保護委員会」への監督権限付与
2023年5月改正では、個人情報保護法の主管機関は「個人情報保護委員会」(中国語:個人資料保護委員會)(以下、「PDPC」といいます)である旨が記されました(本稿執筆時点で未施行)。これにより、これまで各省庁に分散していた個人情報保護の監督権限については今後、PDPCが一元的に有することとなります。今回の改正は、PDPCに必要な監督権限を付与することを目的として行われました。具体的な改正点としては、個人情報漏洩等事故に関する通報義務、個人データファイル安全維持管理規則の制定及び個人データの国際移転の制限、並びに監査・検査等を通じた公的部門及び私的部門全体に対する個人データ保護の監督メカニズムに関する規定の新設が挙げられます。
2. 個人データ事故に関する通報義務
個人データに関する、盗取、改ざん、毀損、滅失または漏えい等の事件が生じてしまった場合における、本人への通知、PDPCへの通報、即時かつ有効な対応措置の構築及び、当該措置の記録及び関連記録の保存が義務付けられました(同法第12条第1項、第2項第2号、第3項)。
3. 民間企業に対するガバナンス強化
個人情報保護法の適用主体は同法上、(1)法令に基づき公権力を行使する中央または地方機関、若しくは行政法人を指す「公的機関」(中国語:公務機關)と(2)公的機関以外の自然人、法人またはその他の団体を指す「非公的機関」(中国語:非公務機關)(いわゆる民間企業)に二分されているのはご承知のとおりです。従来は、管理対象となっている非公的機関に対しては個人データファイル安全維持事項の遵守が義務付けられていましたが、今回の改正により、管理対象外であった他業種事業者にも広く安全維持事項の遵守が義務付けられることとなりました(同法20条の1第1項)。
このほかにも、同法違反の恐れが認められた場合における、PDPCから求められた意見陳述対応、PDPCから求められた関連書類提出及び、同法履行状況確認にかかるPDPCによる立ち入り検査への協力等の義務が課せられています(同法第22条ないし第26条)。
今後順次、同法の下位法令及び公告が制定・公布される予定です。動向に注意しつつ専門家のアドバイスも受けながら、改正法施行に備えることをお勧めいたします。
*本記事は、台湾ビジネス法務実務に関する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。台湾ビジネス法務実務に関する具体的な法律問題についての法的助言をご希望される方は当事務所にご相談ください。
【執筆担当弁護士】
