台湾、個人データ保護法の重要な改正を可決
2025年11月11日、台湾の個人データ保護法(PDPA)の改正法が総統によって公布されました。改正法はまだ正式に施行されていませんが、その規定はPDPAをEU一般データ保護規則(GDPR)と整合させており、注目に値します。
改正法で主に注目すべき規定は第12条であり、個人データの侵害、すなわち個人データの窃盗、改変、損傷、破壊、または開示に関して、データ主体への通知義務および管轄当局への通知義務を明示しています。
- データ主体への通知義務について、企業が自ら保有する個人データが個人データ侵害の対象となったことを認識した場合、第12条第1項に基づきデータ主体に通知する必要があります。また、GDPR第34条第1項と同様に、その通知は「事実の確認」を条件とせず、データ主体への通知が企業の最優先義務となります。企業の通知が遅れ、定められた期間内に修正を命じられたにもかかわらず修正を怠った場合、管轄当局は罰金を科すことがあります。
- 管轄当局への通知義務について、第12条第2項に基づき、個人データ侵害が管轄当局が別途公表する関連規則に定められた「報告可能な事案」に該当する場合、企業はデータ主体に通知するだけでなく、管轄当局にも通知する必要があります。これはGDPR第33条第1項の要件と類似しています。企業がこの義務を果たさない場合、管轄当局は直接罰金を科すことがあります。
改正法第18条第1項に新たに追加された要件である、政府機関がデータ保護オフィサー(DPO)を指定することの要件は、台湾のPDPAに基づく政府機関の監督レベルがGDPRと同等に引き上げられていることをさらに示しています。また、改正法の第18条全体を見直すと、その中核となる原則は主にGDPR第37条から第39条と一致していることがわかります。加えて、立法上の理由は、DPO制度の実施はまず政府機関によって実施されるべきであることを強調しています。したがって、企業やその他の非政府機関も将来的にDPOを指定する義務が生じるかどうかは注目する必要があります。
企業にとって、改正法の最も重要な影響は、第12条に定められた個人データ侵害の取り扱いにあります。企業が改正法施行前に内部のポリシーを更新すれば、その準備は企業が円滑に改正に対応するのに役立ちます。
本アラートは、台湾の個人データ保護法の改正に関する重要なトピックであり、台湾でのビジネスにおいて個人データを取り扱う日本企業に大きな影響を有すると考えられることから紹介する次第です。詳細は、Jones Day Alert “Taiwan Passes Major Amendments to the Personal Data Protection Act”(オリジナル英語版)をご参照ください。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。
