第282回 個人情報データベースの安全措置
個人情報保護法(以下、「法」といいます)第27条第1項では、企業が「個人情報データベースを保有する場合、個人情報の窃盗、改ざん、毀損(きそん)、滅失または漏えいを防止するため、適切な安全措置を講じなければならない」とされています。
そして、「個人情報データベース」とは、「システムによって作成された、自動化機器または非自動化の方式で検索・整理できる個人情報の集合物」を指します(法第2条第2号)。この点、紙媒体であっても、検索・整理できるのであれば個人情報データベースに該当し得るのでご注意ください。なお、個人資料保護法施行細則(以下、「施行細則」といいます)第5条では、個人情報データベースには、バックアップファイルも含むとされています。
会社の規模で異なる安全措置
施行細則第12条第1項によると、適切な安全措置とは、「個人情報の窃盗、改ざん、毀損、減失または漏えいを防止するために技術上および組織上の措置を採用すること」を指します。同条第2項では、この実施には、以下の事項を含むことができると定めています。
- 管理者および適切な資源の配置
- 個人情報の範囲の設定
- 個人情報のリスク評価および管理体制
- 事故の予防、通報および対応の体制
- 個人情報の収集、処理および利用に関する内部の管理手続き
- 情報の安全管理および人員管理
- 周知指導および教育訓練
- 設備の安全管理
- 情報の安全検査体制
- 使用記録、履歴情報および証拠の保存
- 個人情報の安全保護のための全体的な継続的改善
また、これらの事項と達成しようとする個人情報保護目的との間で適切な比率を有することを原則とします(同条第2項)。つまり、各社で会社の規模が異なり、また、全ての企業が大量の資源を投入して個人情報の保護措置を実施できるわけではないので、組織の規模、保有する個人情報の数量または内容、支出する費用などを考慮して技術上・組織上必要な措置を取ればよく、必ずしも全ての事項を実施する必要はありません。
なお、法第27条第1項に違反して適切な安全措置を講じておらず、市政府が期限内に是正するよう命じたにもかかわらず、期限内に是正しない場合、その回数に応じて2万台湾元(約7万円)以上20万元以下の過料に処せられます(法第48条)。
*本記事は、台湾ビジネス法務実務に関する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。台湾ビジネス法務実務に関する具体的な法律問題についての法的助言をご希望される方は弊事務所にご相談下さい。
執筆者紹介
大学時代に旅行で訪れて以来、台湾に興味を持ち、台湾に関連する仕事を希望するに至る。 司法修習修了後、高雄市にて短期語学留学。2017年5月より台湾に駐在。 クライアントに最良のリーガルサービスを提供するため、台湾法および台湾ビジネスに熟練すべく日々研鑽を積んでいる。
本記事は、ワイズコンサルティング(威志企管顧問(股)公司)のWEBページ向けに寄稿した連載記事です。
