台湾では主要な政府機関や大企業のウェブサイトが、頻繁にサイバー攻撃の標的となっており、その対応として、行政院(内閣)は最近、サイバーセキュリティを監視、規制する全く新しい機関である、デジタル発展省(MoDA)を設立しました。
8月27日に業務を開始したMoDAは、電子商取引、電子署名、電子政府、データ管理を中心とした全般的なデジタル開発も管轄しています。
サイバーセキュリティ法
サイバーセキュリティ管理法は、台湾におけるサイバーセキュリティを管理する主要な法律です。しかし、本法は政府機関、ならびに重要インフラ提供者、国有企業、政府出資の財団法人など特定の非政府機関にのみ適用されます。
金融機関または通信事業者など特定の業種に適用できる特定のサイバーセキュリティ要件を除いて、すべての非政府事業体に全般的に適用できるサイバーセキュリティ要件はありません。
同法の対象となるすべての機関は、サイバーセキュリティの責任レベルに従い、独自のサイバーセキュリティ保全計画を策定および実施し、サイバーセキュリティインシデントの報告および対応メカニズムを構築しなければなりません。
サイバーセキュリティインシデントは、発見後1時間以内に報告しなければならず、被害対策または修復に関するあらゆる措置を、その深刻度に応じて、発見から36~72時間以内に完了する必要があります。
さらに同法によって、関連業界を担当する中央の所轄官庁は、その監督下にある特定の非政府機関のサイバーセキュリティ問題に関する規制ガイドラインを公布する権限を与えられており、そうしたガイドラインでは、情報セキュリティ管理に関するISO/IEC 27001国際規格に基づいた関連要件が、参照および推奨されています。
行政院は、サイバーセキュリティ対策を強化するために、政府機関、公立学校、国有企業、および行政法人に対して、国家のサイバーセキュリティを危険にさらす恐れのある情報通信技術製品の使用を制限するガイドラインも定めました。政府機関もまた、その監督下にある重要インフラ提供者や政府出資の財団法人に対して、本ガイドラインに従うよう要請しなければなりません。
ガイドラインのポイント3および4に従い、行政院は、関連事業者が調達または使用してはならない情報通信技術製品、およびサービスの禁止ブランドのリストを公表することができます。
最近発生した電光掲示板などのハッキング事件の後、経済部は、店舗用の電光掲示板のサイバーセキュリティ管理に関するガイドラインを公布し、電光掲示板に中国製ソフトの使用を禁じるとともに、事業者に中国製の電光掲示板の使用を控えるよう求めています。
サイバー犯罪
種々のサイバー犯罪行為は、以下の法律を中心とする、さまざまな台湾の法律に違反しています。
- 刑法第358条から第362条までの条項では、以下の特定の種類のサイバー犯罪を禁止しています。正当な理由なく他人のコンピュータおよび付属機器、またはそのいずれかに侵入すること、正当な理由なく、コンピュータおよび付属機器、またそのいずれかに保存されている電磁的記録の取得、削除、または改ざん(フィッシングなど)、コンピュータプログラムまたはその他の電磁技術を使用して、正当な理由なく、他人のコンピュータおよび付属機器、またそのいずれかを妨害すること(サービス拒否(DoS)攻撃またはマルウェアなど)、ならびにこうした犯罪を行うために特別にコンピュータプログラムを作成すること。
- 刑法におけるその他の関連条項は以下の通りです。第210条(偽造罪)、第309条から第313条まで(名誉および信用毀損罪)、第315条または第318条第1項(プライバシー侵害罪)、第339条第3項(詐欺罪)、第346条(恐喝罪)、ならびに第352条(器物損壊罪)。
- その一方で、個人情報保護法の第41条および第42条は、個人情報侵害罪に対処するものであり、著作権法の第92条および第93条では、著作権侵害を禁じています。電気通信法第56条では、他人の電気通信設備への不正なアクセスや使用を禁止しています。また、通信セキュリティおよび監視法(Communication Security and Surveillance Act)の第24条では、違法な通信監視を禁止しています。
サイバーセキュリティに悪影響を与え、脅かすいかなる行為も、当該行為に関する現状に応じて、上記に挙げた1つ以上の犯罪行為とみなされる可能性があります。
こうした犯罪は、台湾領土内における行為および人物、またはそのいずれか、もしくはサイバー犯罪の発生場所に適用され、台湾の裁判所が管轄します。
個人情報保護
個人情報保護法は、台湾において個人情報の収集、処理、および使用を規制する一般法です。
データ漏洩の通知に関して、同法の第12条では、個人情報の盗難、漏洩、改ざんまたは侵害などの事件が発生した場合、情報管理者は、当該事件の調査後に、適切な方法で被害を受けたデータ主体に通知しなければならない、と定めています。
データセキュリティの義務に関して、同法の第27条第1項では、情報管理者に対して、個人情報の盗難、改ざん、毀損、破壊、紛失、開示を防ぐ適切な対策の整備を求めています。
同法の施行規則の第12条第2項ではさらに、情報管理者が、比例原則、つまり関連する個人情報の質と量に基づいて講じることを検討できる、特定の技術的および組織的な対策について規定しています。
厳密にいえば、個人情報保護法もその施行規則も、情報管理者に対して、特定のセキュリティ対策の整備を義務付けていません。具体的なセキュリティ対策を講じるかどうかは、情報管理者の判断に委ねられています。
しかしながら、同法第27条第2項に従い、中央の所轄官庁は、その監督の下、1つ以上の業種を指定し、そうした業種に対して、個人情報ファイルのセキュリティ保守計画を策定するよう求めることができます。
省庁および委員会に対して、その管轄下にある非政府機関の監督を行うよう要請するために、行政院は、2020年以来、定期的に共同会議を招集、開催してきました。
2021年2月3日付けの会議決議では、情報漏洩に関する継続的な報告を確実に行い、時系列を把握するために、省庁および委員会に対して、その監督下にある特定の業種の既存の情報保護規制を修正するよう明確に要請するとともに、非政府機関に対して、提供された報告様式を用いて、データ漏洩について72時間以内に中央の所轄官庁に報告するように求めました。
行政院は2021年8月に、さらに個人情報保護の実施に関する共同実践ガイドライン(collaborative practice guideline)を定め、省庁や委員会に対して、その監督下にある特定の業種の既存の情報保護規制を修正するよう要請するとともに、ITシステムを利用して個人情報を収集、処理、使用している非政府機関に対して、情報セキュリティを確保するために追加的な対策を講じるように求めました。
同ガイドラインでは、非政府機関の規模、保管している個人情報の量または性質、データ漏洩の結果、データ主体に及ぼす可能性のある影響、データの越境移転の頻度、ならびにその他の要因を考慮し、省庁および委員会に対して、その監督下にある特定の業種の新たなデータ保護規則を策定する必要性についても、定期的に見直すよう要請しました。
コーポレートガバナンス
台湾では、取締役は企業に対して信認義務を負い、その義務に違反した場合、責任を問われます。しかし、企業がサイバーセキュリティインシデントの防止、軽減、管理、または対応を怠った場合、取締役がその信認義務に違反したとは必ずしも結論付けられない場合があります。
むしろ、それは、当該インシデントが取締役会に報告されるべきであったかどうか、また取締役会が措置を講じる義務を負っていたかどうかによって決まります。
その一方で、台湾の法律は、金融機関などの特定の業種を除いて、企業に対して、情報セキュリティ最高責任者(CISO)の任命を義務付けていません。
しかし、金融監督管理委員会は現在、台湾証券取引所(TWSE)または台北証券取引所(TPEx)に上場する以下の企業に対して、情報セキュリティポリシーの実施責任者であるCISOを任命し、さらに2022年12月31日までに少なくとも役員1名とスタッフ2名が在籍する情報セキュリティに特化した部署を設置するよう要請しています。100億ニュー台湾ドル(3億2520万米ドル)以上の払込資本金を持つ企業、前年末時点でTWSE台湾50インデックスを構成する企業、主として電子商取引を行っている企業が対象となります。
その他のTWSEまたはTPExの上場企業は、さらに裁量が与えられており、2023年12月31日までにCISOおよび情報セキュリティを専門とする少なくともスタッフ1名を任命する必要があります。ただし、上記企業のうち、過去3年間で損失を計上している企業、または1株当たりの正味価額が1株当たりの額面金額を下回っている企業は対象外となります。
LEE AND LI
8/F No.555, Sec. 4, Zhongxiao E. Rd.
Taipei – 11072, Taiwan
電話: +886 2 2763 8000
Eメール: attorneys@leeandli.com