台湾の個人情報保護法(PDPA)解説
台湾でのビジネス展開を検討されている日本の経営者や法務担当者の皆様にとって、現地の個人情報保護法(Personal Data Protection Act, PDPA)への理解は不可欠です。台湾PDPAは、EUの一般データ保護規則(GDPR)に類似した厳格な原則を掲げており、特に2023年の大幅な改正を経て、その規制はさらに厳格化が進んでいます。
台湾のPDPAは、日本の個人情報保護法と比較して、いくつかの決定的な違いが存在します。まず、保護対象となる「個人資料」の定義は、日本の「個人情報」や「個人データ」よりも包括的で、より広範な情報を対象としています。また、これまで各省庁に分散していた監督権限が、日本の個人情報保護委員会(PPC)と同様の独立した機関である個人資料保護委員会(PDPC)に一元化されることになりました。この独立した監督機関の設立は、憲法裁判所の判決を契機とする、台湾政府のデータ保護強化への強い意志の表れです。さらに、個人データの越境移転は「原則許可」ではあるものの、主管官庁の裁量により突然制限されるリスクを内包しており、日本法のような明確なルールに慣れている企業にとっては予期せぬリスクとなり得ます。加えて、違反に対する罰則は、高額な行政罰金に加えて、懲役刑を含む刑事罰や、集団訴訟による高額な損害賠償請求も可能であり、日本の個人情報保護法に比べてはるかに厳格な体系となっています。
本稿では、これらの違いに焦点を当て、単なる法令知識を超えた、実務上のリスクとコンプライアンス上の課題を詳細に掘り下げていきます。
この記事の目次
台湾個人情報保護法(PDPA)の基本原則と「個人資料」の定義
台湾PDPAにおける「個人資料」の概念
台湾の個人情報保護法は、その根幹をなす概念として「個人資料」(Personal Data)を定めています。これは、自然人を直接的または間接的に識別するために使用される情報全般を指し、氏名、生年月日、身分証番号、パスポート番号、病歴、医療記録、犯罪記録などの情報が含まれます。
日本法は、「個人情報」(氏名など特定の個人を識別できる情報)と、そのうち電子化され検索可能な「個人データ」を区別し、それぞれに異なる義務を課しています。一方、台湾PDPAでは、中国語の原文である「個人資料」のみを概念として扱い、日本のように「個人情報」と「個人データ」を使い分けることはありません。
個人資料の収集、処理、利用に関する基本原則
台湾PDPA第5条は、個人資料の収集、処理、利用は、誠実かつ信義に則った方法で、データ主体の権利利益を尊重し、特定の目的の必要範囲を超えてはならないと定めています。
また、収集時には、データ主体に対し、収集目的、個人資料の種類、利用期間、地域、データ主体の権利(閲覧、複製、訂正、利用停止、削除の権利など)を明確に通知する義務があります。この通知義務は、日本個人情報保護法の「利用目的の特定・公表」と類似していますが、台湾PDPAでは「収集時」の「明示的な通知」が原則であり、より積極的な情報提供が求められます。特に、データ主体が個人資料を提供しない場合の権利・利益への影響についても通知しなければなりません。したがって、日本のプライバシーポリシーを単純に翻訳するだけでは不十分であり、台湾の法要件に合わせたローカライズが不可欠となります。例えば、台湾でウェブサービスやアプリを展開する場合、ユーザー登録時などに、PDPA第8条に準拠した通知画面や文章を設ける必要があります。
機微な個人資料の取り扱い
台湾PDPA第6条は、医療記録、ヘルスケアデータ、遺伝子データ、性生活、健康診断、犯罪記録などの機微な個人資料の収集、処理、利用を原則として禁止しています。これは、EUのGDPRにおける「特別カテゴリーの個人データ」と同様に、特に厳格な保護が求められる情報です。例外的に許容されるのは、「法律で明示的に定められている場合」や「当事者の書面による同意がある場合」など、特定の条件が満たされた場合に限られます。
日本の個人情報保護法でも、人種、信条、病歴などの「要配慮個人情報」は、原則として取得が制限されており、両法とも同様の保護レベルにあるといえるでしょう。
2023年の台湾PDPA改正による監督体制の強化
監督権限のPDPCへの一元化
2023年5月のPDPA改正は、台湾の個人情報保護ガバナンスを根本的に変える、最も重要な変化をもたらしました。これまで各事業分野の主管官庁(例:金融監督管理委員会、交通部など)が担っていた監督権限が、独立した監督機関である「個人資料保護委員会(PDPC)」に一元化されることになったのです。
この変更は、国家健康保険研究データベース事件に関する台湾憲法裁判所の判決(111年憲判字第13號判決)を受けて行われました。この判決は、個人情報とプライバシーの憲法上の権利を保護するためには、独立したデータ保護メカニズムを確立する必要があると判断したものです。これは、特定の省庁に属さない独立性と専門性を持つ日本の個人情報保護委員会(PPC)の設立経緯と軌を一にするものであり、台湾が日本のデータ保護ガバナンスのモデルを参考にしていることがうかがえます。監督機関が一つにまとまることで、事業者にとっては問い合わせ先が明確になるというメリットがある一方、専門機関による厳格な監督と制裁のリスクが高まります。PDPCは、データ侵害事件の報告を一元的に受け付け、迅速な調査と対応を促進する役割を担います。
PDPCによる今後の監督強化と移行期間
PDPCの設立は、データ保護責任者(DPO)の任命義務化(公務部門)や、データ侵害時の報告義務化、高リスク産業への優先的な検査など、新たなコンプライアンス義務の導入を伴います。民間部門への監督権限の移管には、6年間の移行期間が設けられる予定です。
この移行期間は、企業に準備期間を与えていると解釈できますが、6年と長期であるからといって、コンプライアンス対応を先延ばしにすることは賢明ではありません。PDPCの籌備處(Preparatory Office)は、すでに法規の改正や解釈、監督体制の企画、国際協力など、広範な業務を掌っています。これは、PDPCが本格稼働するまでに、監督体制やガイドラインが着々と整備されていくことを示唆しています。また、台湾政府は、GDPRとの「相互的適正性(adequacy)」の獲得を目指し、独立した監督機関の設立を進めてきました。この動向は、台湾が国際的なデータ保護基準に準拠していくという強い意志の表れであり、今後、台湾法がよりGDPRに類似した厳格な方向へと進化していくと見られます。
台湾における越境データ移転の制限
台湾では、個人データの国際移転は原則として禁止されておらず、これは日本企業にとって一見すると利便性が高いように感じられます。しかし、PDPA第21条は、以下の4つの状況下では、中央目的事業主管官庁がデータ移転を制限できると規定しています。
- 重要な国家利益に関わる場合
- 国際条約や協定に特別な規定がある場合
- 受領国に適切な保護規制がなく、データ主体の権利・利益を侵害する恐れがある場合
- 法律を回避するために、迂回的な方法で第三国へデータを移転する場合
日本の個人情報保護法では、個人データの越境移転について、(1) 個人情報保護委員会(PPC)による十分性認定国への移転、(2) データ主体からの同意、(3) PPC規則が定める基準に適合する措置(例:APEC CBPRシステム認定、契約による義務付けなど)を講じること、という明確な要件が定められています。これに対し、台湾の第21条は、明確な法的基準というよりは、リスクに基づく「制限権限」を規制当局に与えているという側面が強いです。この「原則許可、例外禁止」のルールは、実務的には「グレーゾーン」や「不確実性」を内包しています。特に、当局が「受領国に適切な保護規制がない」と判断した場合、移転が突然制限されるリスクがあります。実際に、労働部が人力仲介業者の個人データを中国大陸へ移転することを制限した事例が存在します。これは、抽象的な条文が具体的な行政処分に繋がることを示唆しています。
したがって、日本企業は、単に法律が禁止していないからと安易にデータを台湾外に移転するのではなく、自社の事業分野を管轄する主管官庁に事前に確認を行うなど、慎重な対応が求められます。
| 台湾の個人情報保護法 | 日本の個人情報保護法 | |
|---|---|---|
| 対象となる概念 | 「個人資料」という包括的概念 | 「個人情報」と「個人データ」の区別 |
| 監督機関 | 独立した個人資料保護委員会(PDPC)への一元化(移行期間あり) | 独立した個人情報保護委員会(PPC)による一元化 |
| 罰則体系 | 行政罰、刑事罰、民事賠償の三本立て | 行政指導・命令・勧告が主体(刑事罰は限定的) |
| 越境データ移転ルール | 原則許可、例外制限(主管官庁の裁量) | 十分性認定国への移転、本人同意、契約義務付けなど明確なルール |
台湾PDPAの罰則と実例
行政罰・刑事罰・民事賠償
台湾PDPAの最も厳格な側面の一つは、その多岐にわたる罰則体系です。違反者には、行政罰、刑事罰、そして民事賠償の三つの法的責任が同時に科される可能性があります。
- 行政罰:適切な安全管理措置を怠った事業者に対しては、情状が重大な場合、直接15万〜1,500万台湾ドル(約70万〜7,000万円)の高額な罰金が科されます。
- 刑事罰:違法な利益を得る目的や、他人の利益を損なう目的で個人データを不正に取得、処理、利用した場合、最大で5年の懲役刑および/または100万台湾ドル(約470万円)以下の罰金が科されることがあります。
- 民事賠償:被害者は、証明が困難な場合でも、1人あたり500〜20,000台湾ドルの法定損害賠償を請求でき、集団訴訟の場合には、総額2億台湾ドル(約9.4億円)までの賠償額を請求することが可能です。
この罰則体系は、日本の個人情報保護法との決定的な違いを浮き彫りにします。日本の個人情報保護法では、個人情報保護委員会による命令違反や虚偽報告など、限定的な場合にのみ刑事罰が適用されますが、不正なデータ取得・利用そのものに懲役刑を科す規定はありません。また、日本のPPCには、行政罰として直接高額な罰金を科す権限がないため、不正行為にはまず指導や勧告、命令といった行政処分が先行します。これに対し、台湾では重大な違反の場合、直接高額な罰金が科される可能性があります。この罰則体系は、台湾でのコンプライアンス違反が、単なる企業のリスクに留まらず、現地の責任者や担当者の「個人のリスク」に直結することを意味します。特に、故意や不正目的の違反には懲役刑が科されるため、日本の本社は、台湾子会社や現地の担当者に対するコンプライアンス教育と管理体制を、日本国内の基準よりも厳格に構築しなければならないという強い示唆となります。
| 対象 | 罰則内容 | |
|---|---|---|
| 行政罰 | 適切な安全管理措置を怠った事業者 | 最高1,500万台湾ドル(約7,000万円)の罰金 |
| 刑事罰 | 違法な利益を得る目的や、他人の利益を損なう目的で個人データを不正に取得・処理・利用した場合 | 最大5年の懲役および/または100万台湾ドル(約470万円)以下の罰金 |
| 民事賠償 | 違法な個人データの利用により被害を受けたデータ主体 | 1人あたり500〜20,000台湾ドルの法定損害賠償、集団訴訟では総額2億台湾ドル(約9.4億円)まで |
個人情報保護法違反に関する実例
台湾では、個人情報保護法違反に関する実例がすでに多く存在します。例えば、人気YouTuberが元夫の医療記録を不正に利用したとして刑事告発された事例や 、データ漏洩によりカーシェアリングサービスやEC事業者が行政罰を科された事例は、コンプライアンス違反が事業に与える影響の大きさを具体的に示しています。これらの事例は、台湾の規制当局が、単なる形式的な違反だけでなく、データ侵害や不正利用といった実質的なリスクに対して厳格な姿勢で臨んでいることを物語っています。
結論
2023年の改正を経て、台湾の個人情報保護法は、日本の個人情報保護法と比較して、より厳格で独立した監督体制へと移行し、高額な行政罰や、時には懲役刑を伴う刑事罰を科すなど、その法的リスクを大幅に高めています。また、越境データ移転についても、形式的な許可制とは異なり、主管官庁の裁量による制限リスクを常に考慮に入れる必要があります。
台湾のPDPAは、保護対象となる「個人資料」の範囲が広く、また、2023年の改正により、独立した監督機関であるPDPCが設立され、これまで各省庁に分散していた監督権限が一元化されることになりました。これにより、日本のPPCと同様に、より専門的かつ厳格な監督と執行が期待されます。また、越境データ移転は、受領国に適切な保護法規がない場合に当局が制限できるため、日本法のように明確なルールがあるわけではなく、実務上はより高い不確実性が存在します。最も重要な点は、違反した場合の罰則が極めて厳しいことです。最高1,500万台湾ドル(約7,000万円)の行政罰金に加えて、不正目的のデータ利用には最大5年の懲役刑が科される可能性があり、これは日本の個人情報保護法にはない、個人を直接対象とする重いリスクを意味します。
これは、日本の個人情報保護法に準拠しているからといって、台湾でも安全であるとは限らないという明確な警鐘です。台湾での事業を成功させるためには、日本の基準を上回る、現地の法規制に特化した厳格なコンプライアンス体制を構築することが不可欠です。
モノリス法律事務所では、台湾のPDPAに関する最新の動向を深く分析し、日本企業が直面する固有の課題に対する実務的な解決策を提供しています。台湾における個人情報保護法対応、データガバナンス構築、データ侵害時の対応など、専門的な知見に基づいた法務コンサルティングを通じて、お客様が台湾で円滑かつ安全に事業を遂行できるよう、専門的なサポートを提供しています。台湾でのビジネス展開をご検討中の方は、ぜひお気軽にご相談ください。
関連取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
