第464回 個人情報漏えい
今年2月初めに、台湾のあるレンタカー会社(以下「同社」)でユーザー情報の漏洩事件が発生しました。
クラウドサーバー上の個人情報(▽クレジットカード番号、▽身分証明書、▽写真、▽サイン、▽カーレンタル状況──など)保存用のデータベースがパスワードで保護されておらず、IPアドレスさえ分かれば誰もが見られるようになっており、被害に遭ったユーザーは40万人、漏えい期間は9カ月に及びました。
主管機関である台北市政府交通局と新北市政府交通局は同社を計38万台湾元(約170万円)の過料に処しました。同社は後に、漏えいの原因は「社内のアプリケーションプログラムのログファイル記録用の一時保存用データベースへの外部からのアクセスを適切に遮断していなかった」ためと判断しました。
対策の義務
個人情報保護法(以下「本法」)第27条第1項の規定によりますと、個人情報ファイルを保有する企業は、適切な安全措置を講じて個人情報の窃取、改ざん、毀損、滅失または漏えいを防止しなければならないとされています。同条第3項は中央目的事業主管機関に関連規則を制定する権限を与えています。
交通部は汽車運輸業(タクシー業、レンタカー業など含む)について、消費者の個人情報保有件数が100件以上に達する事業者は、個人情報ファイルの安全保護計画を策定、修正および実行しなければならないことを規定しています。
また、本法第48条では、事業者が本法第27条に違反した場合、2万元から20万元までの過料に処することができると定めています。
本件は被害者数が40万人にも上り、違法期間も9カ月に及んでいるため、同社は法定最高額である20万元の過料処分を受けました。
その後、台北市政府、新北市政府も同社がそれぞれの自治条例に違反したと認定し、それぞれ同社を法定最高額の9万元という過料に処しました。
民事賠償請求の可能性も
しかし、過料の総額は高くなく、しかも「一の行為について再度処罰しない」に違反しているおそれがある(行政罰法第24条では、一の行為が複数の行政法上の義務に違反し過料に処するべき場合、最も重い規定のみに従って処分することができ、二重に処罰できないと定めています)ものの、商業上の信用は既に著しく傷つけられており、将来、もし誰かが今回の漏えい事件による害を被った場合、同社は高額な民事賠償請求に直面する可能性があります。
*本記事は、台湾ビジネス法務実務に関する一般的な情報を提供するものであり、専門的な法的助言を提供するものではありません。また、実際の法律の適用およびその影響については、特定の事実関係によって大きく異なる可能性があります。台湾ビジネス法務実務に関する具体的な法律問題についての法的助言をご希望される方は弊事務所にご相談下さい。
執筆者紹介
陽明大学生命科学学部卒業後、台湾企業で特許技術者として特許出願業務に従事した後、行政院原子能委員会核能研究所での勤務を経験。弁護士資格取得後、台湾の法律事務所で研修弁護士として知的財産訴訟業務に携わる。一橋大学国際企業戦略研究科を修了後、2017年より黒田法律事務所にて弁護士として活躍中。
本記事は、ワイズコンサルティング(威志企管顧問(股)公司)のWEBページ向けに寄稿した連載記事です。