台湾個人情報保護法の改正と観光業・小売業・デジタル産業への影響

台湾個人情報保護法改正の背景

近年、世界中でサイバー攻撃による個人情報流出が多発しており、各国の個人情報保護対応の強化やEU一般データ保護規則（GDPR：General Data Protection Rules）の施行によるプライバシー保護強化といった流れが続いています。台湾においても2023年3月の行政院会議において国家発展委員会は「防止非公務機關個資外洩精進措施（非公共機関の個人情報漏洩防止対策の強化）」を報告し、「①連絡会議機能の強化」、「②個人情報保護法違反に対する罰則の強化」、「③個人情報保護のための独立した監督機関の設立」を含む3つの主要な戦略の推進を公表しました。本会議において国家発展評議会が提案した方針に沿って各省庁・委員会に対して個人情報保護措置を強化するように要請され、2023年5月の個人情報保護法の改正により各省庁・委員会に個人情報保護措置を推進する権限が付与されることになりました。

台湾個人情報保護法の改正ポイント

今回の個人情報保護法の改正では、第1条1項（個人情報保護法の所管省庁）が追加され、第48条（非公共機関の安全管理義務違反に対する罰金）、第56条（公布・施行日）が修正されています。まず、第１条第１項では個人情報保護委員会の設置が記載されており、個人情報保護法の所管官庁が明確化されました。当該委員会の役割として、国際動向への対応などを含む個人情報に関わる様々な課題を推進することが予定されています。次に、第48条では非公共機関の安全保持義務違反に対する罰則の方法と金額が改正されています。個人情報保護法の違反時には2万元以上200万元以下の罰金、重大な影響がある場合は15万元以上1500万元以下の罰金が課されることになりました。加えて、期限内に個人情報保護の対策が完了しない場合も追加の罰金が課されることとなります。改正以前は是正を命じてから少額の罰金を課すという方法でしたが、事業者に対する個人情報保護を義務づけることが難しいとの各界から広く寄せられた意見に対応して今回の罰則・罰金の見直しが行われることになりました。

【台湾個人情報保護法の概要】

参考：「個人資料保護法」

観光業・小売業・デジタル産業への影響

個人情報保護法の第27条において、業界毎の個人情報の保護計画や廃棄の基準・規則は、各業界の監督省庁が定めるものとすると規定されています。したがって、今回の個人情報保護法の改正は、各業界における個人情報保護規制に対して大きな影響があり、各業界に属する日本企業を含む在台湾企業に対応が求められます。2022年には観光業に関する個人情報保護規制、2023年には小売業とEコマースを含むデジタル産業に関する個人情報保護規制が改訂されており、下表のような対象業種・適用条件・主な対応が公表されています。 

【観光業・小売業・デジタル産業に関する個人情報保護規制の概要】

参考：全國法規資料庫の以下資料；
・交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法
・綜合商品零售業個人資料檔案安全維護管理辦法
・數位經濟相關產業個人資料檔案安全維護管理辦法

各規制に該当する企業は、台湾個人情報保護法の12条に規定された個人情報保護計画を策定し、対応を進める必要があります。一般的な個人情報保護のための管理態勢構築や管理台帳・管理手順の整備と監査証跡の準備だけでなく、サイバー攻撃を防御するための適切なサイバーセキュリティ対策の整備も求められます。台湾の個人情報保護委員会や各業界の所管省庁の検査において十分な対策を実施していると判断される水準を満たすために、外部の専門家の知見を活用する企業も増えています。

【台湾個人情報保護法の対応方法】

参考：「個人資料保護法」

本稿に関連するデロイト トーマツ グループのサービスのご紹介

• 個人情報保護対策のアセスメント・対応計画立案
• 個人情報保護対策の構築・内部監査の支援
• 個人情報保護マネジメントシステムの認証取得の支援