ホーム >
記事/コラム >
台湾版個人情報保護法（PDPA）の概要：収集・利用・第三者提供のルール

台湾版個人情報保護法（PDPA）の概要：収集・利用・第三者提供のルール

2026.02.12

日本企業にとって、台湾はエレクトロニクスや半導体産業だけでなく、小売、飲食、SaaS、フィンテックなどのデジタル領域でも重要なパートナーです。多くの日本企業が親日的でビジネスがしやすいというイメージを抱いて台湾進出を果たしています。しかし法務・コンプライアンス、とりわけ個人情報の保護については、かつてないほど厳格な対応が求められる転換点を迎えています。

2023年5月に施行された個人資料保護法（PDPA）の改正は、行政指導を主体とした比較的緩やかな規制環境を一変させました。改正の背景には、台湾の大手カーシェアリングサービス「iRent」で発生した大規模な個人情報漏洩事件があります。旧法下での制裁金があまりに軽微であったことへの世論の反発を受け、違反企業に対する制裁金の上限は一気に引き上げられました。日本円にして数千万円規模の罰金が課される強力な執行体制へと移行しています。

加えて、憲法法廷判決を受けて、独立した強力な監督機関である個人資料保護委員会（PDPC）の設置も決定しました。日本企業が台湾のルールは日本より緩やかだろうという従来の認識のままビジネスを展開することは、今や経営上の重大なリスク要因です。

本記事では、日本企業が誤解しやすい収集・利用・第三者提供のルールや2023年改正の詳細について解説します。日本の法律との比較も交えながら体系的に整理していきます。

台湾PDPAの法体系と適用範囲

法令の構造と非公務機関

台湾の個人情報保護法制は、基本法である個人資料保護法（PDPA）と、その細則を定めた個人資料保護法施行細則によって構成されています。日本の個人情報の保護に関する法律（APPI）と同様に、この法律は官民双方を規律する包括的なものです。ただし条文上は、政府機関である公務機関と、民間企業や団体を指す非公務機関に対する規定が明確に区分されています。日本企業が台湾でビジネスを行う場合は、非公務機関としての規制が適用されます。

特に注意すべきは適用除外の範囲です。かつての日本の旧法には、取り扱う個人情報数が5,000人分以下の小規模事業者を適用除外とする規定がありました。しかし台湾のPDPAにはそのような免除規定は存在しません。駐在員事務所のような小規模な拠点であっても、テストマーケティング段階であっても、顧客や従業員の個人情報を収集・利用する以上はPDPAの完全な遵守が求められます。

台湾における個人資料の定義と間接識別性

PDPAにおける個人資料（個人情報）の定義は非常に広範です。氏名、生年月日、パスポート番号はもちろん、特徴、指紋、職業、病歴、さらには社会活動に関する情報も含まれます。最も重要なのが、その他の直接または間接に当該自然人を識別することができる情報も保護の対象となる点です。

間接に識別することができるとは、そのデータ単体では個人を特定できなくても、当該機関が保有する他の情報と照合・結合・連結することで個人を識別できる状態を指します。これは日本の個人情報保護法における「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」という定義と類似しています。ただし台湾の実務ではデジタルデータへの適用解釈がより厳格化しつつあります。

具体的には、Cookieや広告ID、IPアドレスといったオンライン識別子について、これらが会員データ等と紐付く形で管理されている場合には個人資料として扱われるリスクが高いと考えられます。DMP（データマネジメントプラットフォーム）を通じて個人を特定しうる場合も同様です。

台湾における特種個人資料（センシティブ情報）の範囲

PDPA第6条は、特に慎重な取り扱いを要する特種個人資料について、原則として収集・処理・利用を禁止しています。許容されるのは、法令に明文規定がある場合、公務機関が職務遂行上必要な場合、当事者が自ら公開した場合などに限られます。

日本企業が注意すべきは、日本の要配慮個人情報と台湾の特種個人資料の範囲が完全には一致しない点です。病歴・医療情報や犯罪歴は両国で厳格な保護対象とされています。一方、性生活や遺伝子情報は台湾では特種個人資料として明記されていますが、日本では解釈に委ねられる部分があります。逆に人種や信条は日本では要配慮個人情報に含まれますが、台湾法では特種個人資料のリストに明記されていません。ただし差別的取り扱いを避ける一般法理には注意が必要です。

特に犯罪前科や健康診断の結果は、採用活動や労務管理において日本企業が日常的に取り扱う可能性があります。台湾ではこれらが最も厳格な保護対象となるため、取得には慎重な判断と厳密な法的根拠が必要です。

台湾における個人情報の収集・処理に関するルール

収集・処理の適法性根拠と契約による収集の有用性

民間企業が個人情報を収集または処理するためには、特定された目的を有し、かつ法が定める適法性根拠のいずれかに該当する必要があります。日本の実務では、個人情報の取得に際して利用目的の通知・公表があれば足りる場面が多いです。しかし台湾PDPAはGDPR（EU一般データ保護規則）に近く、取得そのものに明確な法的根拠を求めます。主な根拠としては、当事者の同意がある場合や法律の明文規定がある場合などが挙げられます。実務上極めて重要なのが、当事者との契約または契約に類似する関係があり、かつ適切な安全措置を講じている場合という規定です。

日本企業が台湾でECサイトやサービスを提供する場合、利用規約や売買契約が存在していれば、契約履行に必要な範囲内で個人情報を収集することについて別途同意を取得する必要がないと解釈されています。すべての収集に同意を求める必要がないため、スムーズなUX（ユーザー体験）設計において有利に働きます。ただしあくまで契約関係に基づく収集であるため、契約履行に無関係なマーケティング情報の収集などについては別途同意を取得する必要があります。

台湾における告知義務：直接収集と間接収集の違い

適法性根拠があっても、それだけでは十分ではありません。PDPAは事業者に対し、厳格な告知義務を課しています。日本の公表（本人の知り得る状態に置く）よりも積極的な通知が求められます。本人から直接書面やウェブフォーム等で個人情報を収集する場合（直接収集）、事業者は収集時に以下の事項を明確に告知しなければなりません。事業者名、収集目的、個人情報の分類、利用期間・地区・対象・方式、当事者の権利、情報を提供しない場合の影響です。

特に利用地区（例：台湾及び日本）や利用対象（提供先を含む）、提供しない場合の影響（例：会員登録ができません）まで具体的に記載する必要がある点は、日本のプライバシーポリシーよりも詳細な記述が求められる部分です。第三者提供を受けるなど本人以外から収集した場合（間接収集）は、原則として処理または利用する前に、上記の事項および情報の出処を本人に告知しなければなりません。

日本企業が台湾子会社の従業員データを日本で一元管理するようなケースでは、この間接収集の告知義務が重荷となることがあります。そのため台湾側でのデータ取得時（直接収集時）に、日本への移転と利用についてあらかじめ包括的に告知を済ませておく運用が推奨されます。

台湾における利用および第三者提供のルール

利用と提供の概念的統合

日本の法律では利用（目的内利用）と第三者提供は明確に区別され、第三者提供には原則として本人の同意が必要です。しかし、台湾PDPAにおいては利用（Use）という概念の中に、組織内部での利用だけでなく第三者への提供（外部への移転）も含まれると解釈される点が大きな特徴です。

具体的には、収集時の告知において利用対象として第三者（グループ会社、業務委託先、提携パートナー等）を明記し、かつそれが収集の目的の範囲内であるならば、その第三者への提供は特定目的内の利用として適法となります。収集時の設計さえ適切であれば、日本のように提供の都度、個別の同意やオプトアウト手続きを踏む必要がなくなる可能性があります。逆に収集時の告知が曖昧で提供先が含まれていない場合、後述する厳しい目的外利用の制限を受けることになります。

台湾にはオプトアウト届出制度がない

日本との決定的な違いとして、台湾にはオプトアウト届出制度が存在しません。日本の法律には、個人情報保護委員会への届出を条件に本人の同意なく第三者提供を可能にする制度（いわゆる名簿屋スキーム等）が存在します。しかし台湾PDPAにはこのような一般的な第三者提供のためのオプトアウト届出制度はありません。

もし収集時に特定した目的の範囲を超えてデータを第三者に提供したい場合、公共の利益等の例外を除けば、実質的には当事者の書面同意を取得する以外に適法化の道はありません。この書面同意には電子的な同意も含まれますが、黙示の同意や事後的な通知では不十分です。積極的な同意取得プロセスが必要となります。

台湾におけるマーケティング利用と拒絶権

目的内の利用であっても、マーケティング（販売促進）目的で利用する場合には特有の義務が課されます。事業者は、当事者がマーケティング目的での利用を拒絶した場合、直ちに利用を停止しなければなりません。さらに重要なルールとして、事業者が初めて個人情報をマーケティング目的で利用する際、当事者に対し利用を拒絶できる旨を提供しなければなりません。かつその拒絶に要する費用（フリーダイヤルの通話料や返信郵送料など）は事業者が負担する必要があります。

日本企業が台湾の顧客に初めてDMやメールマガジンを送る場合、その文面内に「今後このメールを受け取りたくない場合は、こちらのリンク（無料）から配信停止できます」といった案内を目立つように記載することが法的義務となります。

台湾におけるセキュリティ義務と罰則の強化

安全維持措置義務

PDPA第27条は、個人情報を保有する民間企業に対し、個人情報の盗取、改ざん、毀損、滅失又は漏洩を防止するための適切な安全維持措置を講じることを義務付けています。具体的には、管理人員の配置、リスク評価、事故対応メカニズム、監査メカニズム、ログファイルの保存などが求められます。

これらは日本の安全管理措置と類似しています。ただし台湾では特にiRent事件以降、これらの措置が計画（Plan）として文書化され、実行され、記録（Log）されているかが厳しく問われるようになっています。

2023年改正による台湾の制裁金の大幅引き上げ

2023年5月の法改正により、セキュリティ義務違反に対する罰則が抜本的に強化されました。改正前は違反があってもまずは是正命令が出され、それに従わない場合にのみ少額の罰金が科される仕組みでした。改正後は違反が発覚した時点で罰金を科すことが可能となりました。

罰金額についても、2023年改正により大幅に引き上げられました。従来は概ね2万〜20万台湾ドルの範囲にとどまっていましたが、改正後は2万〜200万台湾ドルへと上限が拡大されています。さらに、情状が重大な場合には15万〜1,500万台湾ドルの制裁金が科され得る構造となり、違反態様によっては高額な行政処分が現実的なリスクとなりました。

この金額は欧州のGDPRなどを意識した水準であり、台湾におけるコンプライアンス違反のリスクコストを劇的に高めました。漏洩事故が発生すれば高額罰金という厳しい運用への転換は、日本本社の経営陣が最も認識すべきリスクです。

台湾における刑事罰と民事損害賠償

行政処分にとどまらず、刑事責任や民事責任が問われる可能性もあります。営利目的で個人情報を違法に収集・処理・利用し、他人に損害を生じさせた場合には、個人資料保護法第41条に基づき、5年以下の拘禁刑（台湾法上の有期徒刑）および罰金が科され得ます。

民事損害賠償については、同法第29条第1項により、不法に個人情報を収集・処理・利用した場合に損害賠償責任を負うとされており、同条第2項は過失の推定を定めています。すなわち、漏洩事故等が発生した場合、被害者が事業者の過失を立証するのではなく、事業者側が故意・過失がなかったことを立証しなければ責任を免れない構造です。

さらに、同法第34条は一定の場合に団体による訴訟提起を認めており、消費者保護法の団体訴訟制度とあわせて、実務上も企業が提訴される事例が存在します。

台湾における越境データ移転と新監督機関

越境データ移転の原則と例外

データの越境移転について、日本の法律は外国にある第三者への提供として原則同意を要求します。一方、台湾PDPAは原則自由のスタンスをとっています。他の規定（収集・利用のルール）を遵守している限り、海外へのデータ移転そのものに追加の同意は必須ではありません。

ただし、中央目的事業主管機関（各省庁）は、重大な国家利益に関わる場合や、移転先国の法制度が不十分で当事者の権益を害する恐れがある場合などに限り、命令によって越境移転を制限することができます。近年では特に中国（香港・マカオを含む）へのデータ移転に関して、国家安全保障の観点から制限命令が出されるリスクが高まっています。データの保管場所（リージョン）の選定には地政学的な配慮が必要です。

台湾の新監督機関PDPCの設置

2023年の改正に伴い、これまで各省庁に分散していた監督権限を一元化する独立機関である個人資料保護委員会（PDPC）の設置が進められています。PDPCは立入検査権や行政処分権を持つ強力な規制当局となり、2025年から2026年にかけての完全移行が見込まれています。法令解釈の統一化が進む一方で、外資系企業に対する監視の目も厳しくなることが予想されます。

まとめ

台湾の個人情報保護法制は、2023年の改正を経て、これまでの努力義務的な色彩から企業の存続をも左右しかねない重大な経営リスクへと変貌を遂げました。特に1,500万台湾ドルという制裁金の上限引き上げ、懲罰的要素を含む損害賠償制度、新設されるPDPCによる強力な監督体制は、日本企業に対して最高レベルの警戒と対応を求めています。

しかしPDPAの根底にあるのはGDPRや日本の法律と共通する透明性、目的拘束、安全管理といった理念です。適切なガバナンス体制を構築すれば、過度に恐れる必要はありません。重要なのは、日本のルールをそのまま持ち込むのではなく、台湾独自の差異を正確に理解し、現地の法制度に合わせてローカライズすることです。間接識別の広さ、契約による収集の活用、オプトアウト制度の不在、マーケティング時の拒絶費用負担といった点が特に重要な差異といえます。

モノリス法律事務所は、IT・ビジネス法務の専門知識と、現地提携事務所である椽智商務科技法律事務所との強固なパートナーシップを通じて、日本企業の皆様が台湾市場で安全かつ持続的に成長できるよう、法務面からのサポートを提供いたします。