ニューズレター
個人情報保護委員会準備室による個人情報保護法施行細則改正案および三つの関連付属法規法案の事前公示
個人情報保護委員会準備室による個人情報保護法施行細則改正案および三つの関連付属法規法案の事前公示
曾更瑩/潘誼鎂/鄭凱耀
個人情報の保護に関する法律(中国語:個人資料保護法)は2025年11月11日に改正公布され(以下「個人情報保護法改正条文」と称す)、その施行日は行政院が定めることとなっています。改正内容に対応するため、個人情報保護委員会準備室(中国語名:個人資料保護委員會籌備處、以下「保護委員会準備室」といいます。)は2026年1月22日に「個人情報保護法施行細則」の一部条文改正案、及び個人情報保護法改正条文に基づき、以下の3つの関連付属法規草案の合わせて4つを事前公示しました。
・「個人情報保護長及び関連人員の職務上の責任と役割の条件及び訓練規則(中国語:個人資料保護長及相關人員職掌職能條件及訓練辦法)」
・「個人情報ファイル安全維持管理規則(中国語:個人資料檔案安全維護管理辦法」
・「個人情報セキュリティアクシデント通知通報及び対応規則(中国語:個人資料事故通知通報及應變辦法」
そのうち、「個人情報保護長及び関連人員の職務上の責任と役割の条件及び訓練規則」草案は、個人情報保護法改正条文において公務機関に個人情報保護長の設置を義務付ける規定に基づき制定されるため、公務機関にのみ適用されます。ここでは民間企業の視点から、残り3つの草案の要点を要約して説明します。
一、「個人情報保護法施行細則」改正草案
今回事前公示された改正内容は、個人情報保護法の改正条文に対応して現行細則の必要な調整を行うとともに、新たにできた付属法規草案に対応して一部既存の条文を削除するものです。
重要な実質的内容としては、個人情報保護法施行細則第17条における「特定の当事者を識別できない」の定義の調整です。従来の定義では実務上判断する際にしばしば争いが生じたため、保護委員会準備室は憲法法廷の2022年憲判字第13号判決の趣旨を参考にし、この定義を「その時点で存在する技術や方法を用いて、その個人情報が『その表現方法により少なくとも直接的に特定の自然人を識別できない』ものとする」と修正しましたが、間接的識別の可能性はなお排除していません。
二、「個人情報ファイル安全維持管理規則」草案
現行法では、民間企業は目的事業主務官庁が特定業種および範囲において公布する規則が適用される場合に限り、個人情報安全維持計画の策定や関連安全措置の実施など、より具体的な規範義務を負わなければならないとされています。
本草案では規制の一貫性を確保し、個人情報保護管理水準を向上させるため、すべての公務機関および非公務機関は「共通安全維持措置」を遵守しなければなりません。さらに、公務機関および一定規模で大量の個人情報ファイルを保有する「大型非公務機関」は追加の強化措置を講じる必要があり、規制は二段階に分かれています。
1. 共通安全維持措置:草案第2章第5条から第15条に規定され、すべての公務機関または非公務機関に適用されます。内容は個人情報の現状の定期調査と管理範囲の特定、通報・通知・対応の仕組み、人員の安全管理、教育訓練、設備および情報通信システムの安全管理、業務終了後の削除・破棄などを含みます。センシティブな特種個人情報(診療記録、医療、遺伝子、性生活、健康診断、犯罪前科等)を保有する場合は、草案第11条に基づき特別なデータの安全管理措置を講じる必要があります。
2. 強化安全維持措置:草案第3章第16条から第26条に規定され、公務機関および大型の非公務機関にのみ適用されます。
※大型の非公務機関とは、中小企業に該当しない会社、有限責任組合または事業者で、個人情報ファイルを1万件以上保有する機関を指します。
これらの機関は個人情報ファイル安全維持計画を策定し、専任担当者、実行チームおよび監査担当者を指定しなければなりません。また、個人情報ファイルの確認管理リストおよびプロセス説明書を作成し、毎年リスク評価、内部監査および委託先監査(該当する場合)を実施し、草案で求められるその他の強化安全措置を講じる必要があります。
また、特定業種の非公務機関は個人情報保護法改正条文施行後にもなお、行政院の公告によって目的事業主務官庁の管轄下におかれ、かつその主務官庁が特定業種の個人情報安全維持規則をすでに制定している場合は、その規則を優先適用します。ただし、本個人情報ファイル安全維持管理規則の規定の方がより厳格な場合は、より厳格な方が適用されるとしています。
三、「個人情報セキュリティアクシデント通知通報及び対応規則」草案
個人情報保護法改正条文は、保有する個人情報が盗取、改ざん、毀損、消滅または漏洩(以下これらを全て「セキュリティアクシデント」と呼びます)したことを知った場合、当事者への通知および主務官庁への通報義務を明確に規定しています。本草案はこれらの規定に基づき制定され、主な内容は以下の通りです。
1. 当事者への通知:個人情報のセキュリティアクシデントを知った時点から72時間以内に適切な方法で個別に当事者に通知しなければなりません。ただし、個別通知が不可能な場合や特定の状況に該当する場合は、インターネット、報道メディア、またはその他適切な方法で少なくとも30日間連続公開しなければなりません。草案は通知内容およびその方法も規定しています。
2. 主務官庁への通報:セキュリティアクシデントがセンシティブな特種個人情報に関わる場合、または関係する情報通信システムが1万件以上の個人情報を保有する場合、あるいは影響を受ける個人情報が100件以上の場合は、知った時点から72時間以内に指定された方法で通報しなければなりません。草案は通報内容および特別な事情で規定通り通報できない場合の対応方法も規定しています。
さらに、セキュリティアクシデント発生後に講じるべき対応措置やセキュリティアクシデント調査記録の記載事項および保存期間についても規定しています。委託関係に関しては、受託機関が本法適用範囲内で個人情報のセキュリティアクシデントを知った場合、委託機関も既に知っているものとみなし、直ちに委託機関に通知しなければなりません。受託機関が通知義務を履行しない場合でも、セキュリティアクシデントが発生した機関はなお個人情報保護法関連義務違反の責任を負わなければなりません。
以上の草案の事前公示期間は60日間で、その期間に各方面の意見を広く募集いたします。公示している本草案は各産業の民間企業に重大な影響を及ぼす可能性があるため、関連する付属法規立法の進展は業界にとって注目すべき事項です。
当事務所はデジタル産業、通信業及び個人情報の保護」のプラクティスチームを設けており、長年にわたり企業の個人情報保護に関する事項についてサポートしております。関連法規に関してご質問やサポートが必要なこと等ございましたら、いつでも当事務所の朱百強弁護士(marrosju@leeandli.com)、林莉慈弁護士(litzulin@leeandli.com)までお問い合わせいただければ幸いです。