1.台湾の個人情報保護法の改正

2025年11月11日、台湾において個人情報保護法の改正法（「本改正法」）が公布されました。本改正法においては、これまで台湾において求められていなかった、個人情報漏えい（以下「インシデント」）発生時における、個人情報保護委員会への報告義務が含まれている点で注目されます。今後、台湾における個人情報漏えいが生じた場合には、台湾の個人情報保護委員会への報告検討も含めて、インシデント対応を行うことが求められます。その他、個人情報保護委員会による検査の規定や、罰則規定が新設されます。なお、本改正法の施行日は行政院によって別途指定される予定です。

2. 個人情報保護委員会に対するインシデント報告義務の新設

本改正法の最大の特徴は、台湾の個人情報保護委員会に対するインシデント報告義務の新設です。台湾においては、前回2023年の個人情報保護法改正によって個人情報保護委員会の設立が定められるまで、個人情報保護委員会が存在していませんでした。したがって、インシデント発生時の報告義務についても、データ主体本人に対する通知は必要だったものの、行政機関当局に対する報告義務は個人情報保護法上明記されていないという状況でした。本改正法により、新設された個人情報保護委員会へのインシデント報告義務があらたに定められています。

本改正法において定められたインシデント報告義務の内容は以下の通りです（第12条）。

報告要件の詳細については、個人情報保護委員会が定める下位規則によって規定される予定ですが、世界的には非常に短期間（例：GDPRの72時間）での当局報告を求める法制度が多くなっており、台湾においてどの程度厳格なルールが定められるのかが注目されます。

特に、グローバルにビジネスを展開する日本の事業者の場合、一回のインシデントによって複数国にまたがる多数のデータ主体に対して影響が生じることも多く、このような場合には、インシデント報告も複数の当局に対して短期間で行わなければならないという事態が生じます。

実際にインシデントが生じてから報告要件を確認するのでは間に合わない可能性が高いため、その国の個人情報を多く取り扱っている場合には、あらかじめ当該国のインシデント報告要件や報告先を整理しておき、万が一の事態に備える必要があります。

3. 個人情報保護委員会による検査と罰則

本改正法においては、個人情報保護委員会による事業者に対する検査について、その計画、評価方法、考慮要素、関係機関の協力事項等の詳細を個人情報保護委員会が定めることがあらたに規定されました（第22条）。このような規定が追加されることにより、個人情報保護委員会による検査活動が活発化する可能性があります。

なお、以下の表の通り 、台湾の個人情報保護法に基づく当局の検査権限としては、(a)事業者に対する意見陳述を求めること、(b)事業者に対する文書、資料、物品の提供その他協力を求めること、(c)事業所への立入検査が規定されています。事業者は、正当な理由なく検査を拒むことはできず（第22条4項）、検査の結果として個人情報保護法違反が認定された場合には、当該個人情報の利用停止、データ削除、違反状況と事業者名の公表といった処分が可能とされます（第25条）。

当局による検査（第22条4項）	(a)意見陳述の要請 (b)文書、資料、物品の提供その他の協力要請 (c)事業所の立入検査
当局による処分（第25条）	・当該個人情報の利用停止 ・データ削除 ・違反状況と事業者名の公表

4. 台湾個人情報保護法に違反した場合の課徴金

本改正法は、2023年12月に台湾でも個人情報保護委員会の準備室が設立され、個人情報保護委員会の設立準備が進んでいることを受けて、（https://www.pdpc.gov.tw/en/は準備室のまま）個人情報保護委員会の権限を拡張するとともに、事業者に対しても追加的な義務を定めるものです。

台湾の個人情報保護法においては、違反した場合に最大で1500万台湾ドル（日本円で約7500万円）の課徴金（第48条）が科される可能性があるほか、裁判において被害額の証明が困難な場合には、一人当たり500-20000台湾ドルの損害を、裁判所が認定（第28条、第29条）することができます（同一の原因事実に対しては2億台湾ドル、すなわち約10億円が上限）。

今後、台湾において個人情報保護法の執行が強化される可能性が高く、日本の事業者においても、台湾事業にかかる個人情報保護法コンプライアンスについて一層の注意を払う必要があります。