台湾における個人データ保護

台湾には個人情報に関する事項を幅広く規定する法律、「個人情報保護法（PDPA）」が存在します。 PDPAは企業や個人と同様に政府機関にも適応されます。

また、金融、健康、保険など特定の分野における個人データの保護をする法律や規則も存在します。

基本的なデータ保護を提供するPDPAは、台湾人および外国人の両方に適用されます。台湾人の個人データを収集、処理、または使用する外国の事業体も、PDPAで定められた義務の対象となります。

監督官庁

個人情報保護法（PDPC）準備室は2023年12月に設立されました。PDPCはPDPAの施行、解釈、およびデータ保護に関する諸問題を監督する唯一の機関として2025年8月に業務を開始する予定です。

同時に、特定の産業に権限を持つ他の政府機関も、それぞれの分野でデータ保護に関する事項を規制し続けています。

例えば、デジタル産業を管轄するデジタル発展省（MODA）は、PDPAの枠組みに基づく高度なデータ保護要件を定めた「デジタル経済産業における個人データの安全管理に関する規則」（MODA規則） を定めました。

MODA規制は、電子商取引、ソフトウェア、コンピュータプログラミング、データ管理、情報サービスなどの事業に適用されます。

インフォームド・コンセント

PADAに基づき、情報主体が有効なインフォームド・コンセントを行うことができるのは、情報主体が以下の事項を通知された場合に限られます：

1. 1. 収集／処理／使用主体の名称；
   2. 収集／処理／使用の目的；
   3. 収集される個人データの種類；
   4. 収集した個人データの利用期間、地域、人、利用方法；
   5. 情報主体の権利； そして
   6. 個人データを開示するかどうかについてのデータ主体の決定

上記は事項は個人の権利と利益に影響を与えてはならなりません。

データ主体は同意をデジタル形式で与えることができるが、個人データを収集する主体は、データ主体は収集が適切に同意を得たことを証明する責任を負います。

民間企業は、データ主体がその二次的使用について明示的な同意を与えた場合に限り、データ主体の個人データを収集目的とは異なる目的で使用することができます。言い換えれば、黙示の同意は二次利用には適応されません。

データ主体による明示的な同意が得られない場合、企業はその二次利用について別の法的根拠を見つけなければなりません。

データ保護責任者

現行のPDPAの下、個人データを含むファイルを管理する民間企業は、管理者を含めて管理者担当者を含めて適切な安全対策を講じなければなりません。MODA規則の下、デジタル産業にかかわる企業は以下の責任を負います：

1. 1. プライバシー保護ポリシーの策定・改定、そして
   2. 安全管理計画の策定・改定・実施。

2024年12月、PDPAはPDPAの改定を提案し、政府機関とPDPCが指定した民間企業に、人事管理同様にデータ管理責任者の任命の義務を課した。PDPA改正の行方に関心を持つ業界は慎重になるでしょう。

セキュリティ対策

PDPAとMODA規制はともに、収集され保管されている個人情報の安全性確保の義務を持つ民間企業に対する詳細な規則を定めています。PDPAのもと、民間企業は以下のデータセキュリティ対策を講じなければならりません。

1. 1. 管理者の配置；
   2. 個人データの範囲を特定すること；
   3. リスクを評価し、管理する仕組みを採用すること,
   4. 情報漏えいの防止、情報漏えいの報告、情報漏えいの即時対応のための社内規程の制定；
   5. 収集、処理、利用に関する社内SOPの制定；
   6. 情報セキュリティ担当者を任命・確保すること；
   7. 従業員に対して研修を実施すること；
   8. 情報サービス機器のセキュリティを確保する仕組みを導入すること；
   9. 情報セキュリティ監査を実施すること；
   10. 利用記録、追跡記録、証拠記録を保存すること；
   11. データ保護の実践を改善する計画を採用すること；

MODA規制のもと、デジタル経済産業の企業は従業員に対して以下の管理活動がが求められます。

1. 1. 従業員とNDA（秘密保持契約）を締結する；
   2. 個人データの収集、処理、使用に関する事項を取り扱う従業員を特定する；
   3. 必要に応じ、各従業員の個人データへのアクセス権限を決定し、定期的に当該権限を見直すこと。さらに
   4. 退社する従業員に対し、個人データが保存された機器の返却および業務上保有する個人データの消去を求めること。

さらにMODA規制のもと、以下の記録は少なくとも5年間は保護しなければなりません：

1. 1. 収集、加工、使用の記録収集、加工または使用の記録
   2. 自動機器の追跡情報
   3. 企業のデータ・セキュリティ計画の遵守を裏付ける証拠。

データ漏洩の通知

現行の個人情報保護法では、データ漏洩が発生した場合、民間企業は、漏洩の詳細を把握した後データ主体に通知しなければなりません。

この通知は、口頭／書面、電話、メッセージ、電子メール、ファックス、その他の適切な方法によってデータ対象者に行われる。PDPAは通知期限を特に定めていません。

一方、MODA規則では、デジタル経済産業の事業者は、情報漏洩の事態がが発生してから72時間以内に関係当局に報告することが義務付けられています。

PDPA改正案では、情報漏洩が発覚した場合、そして漏洩がデータ主体の権利と利益を著しく損ねる場合、民間企業は当局に報告し、データ主体に通知をしなければなりません。 PDPA改正の行方に関心を持つ業界は慎重になるでしょう。

マーケティング利用

PDPAでは、データ主体がマーケティング目的の通信を拒否した場合、民間企業はデータ主体の個人データをマーケティング目的で使用することを直ちに中止しなければならない。

民間企業がデータ主体に初めてマーケティング目的で接触した時点から、情報提供拒否のための手段を提示されるべきです。広義の「マーケティング」には、 eDM、パーソナライズされたサービス、推奨など、製品やサービスを促進する事実上あらゆる種類の活動が含まれます。

海外への通信

PDPAのもと、民間企業は政府当局は、以下の場合、個人情報を台湾以外の以外の地域に送ることを制限できます：

1. 1. 重大な国益に関わる場合；
   2. 国際協定または条約に基づく場合；
   3. 相手国が個人情報を適切に保護していない場合；
   4. PDPAに規定された要件を迂回するために送信する場合；

外国企業も同様の義務を負う。MODA規制のもと、個人情報を国外に送信する場合、デジタル経済産業の企業は、MODAの送信が規制対象かどうかを確認しなければなりません。さらに企業はデータ主体に個人データの転送先地域を通知し、転送先企業による当該個人データのその後の利用を監督しなければなりません。

FORMOSA TRANSNATIONAL
Taipei 13th Fl, 136, Sec 3, Jen-Ai Road
Taipei 106 Taipei Taiwan
Tel: 886 2 2755 7366
Email: brian.hsieh@taiwanlaw.com
www.taiwanlaw.com/en/