鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
ニュースレター
韓国:改正個人情報保護法(2023年9月15日施行)のポイント(2024年5月)
2023年9月15日、韓国の個人情報保護法(Personal Information Protection Act)(以下、「PIPA」といいます。)※1の改正法が施行されました。PIPAは、2011年の制定以来、何度か改正が行われていますが、今回の改正は初の実質的全面改正であり、その内容は多岐にわたります。オンライン・オフライン二重規制の一元化、個人情報の収集・利用・提供に関する規律の合理化等、事業者の観点から好ましい内容がある一方、データ主体の権利保護強化、課徴金制度の拡大等、事業者として留意すべき点もあります。本ニュースレターにおいては、実務上重要と思われる点を中心に解説を行います。
改正法(以下、この改正後のPIPAを単に「PIPA」又は「法」といい、改正前のPIPAを「改正前PIPA」といいます。)は、同時に施行された個人情報保護法施行令(大統領令)(以下、「施行令」といいます。)※2により規律が具体化されています。また、韓国の個人情報保護委員会(以下、「PIPC」といいます。)が改正法の解説案(以下、「PIPC解説案」といいます。)※3を公表しており、改正事項に関する詳細な説明がなされています。
PIPAには域外適用に関する明示的な条文はないものの、PIPCは執行に積極的な姿勢を有しており、韓国法人を有しないものの韓国で事業を行っていると評価される海外企業に対してもPIPAを執行した実例があります。そのため、韓国で事業を展開している日本企業におかれては、今回の改正の内容を確認されることをお勧め致します。
改正前PIPAでは、個人情報処理者全般に対する規制に加えて、オンラインでサービスを提供する者を含む情報通信サービス提供者等(Information Communication Service Provider, etc.)(以下、「ICSP」といいます。)※4に対する特別の規制が存在していました。
今回の改正により、ICSPのみに適用がある条文はなくなり、個人情報処理者に対する規制のみに一元化されました。ICSPにとって実務的な負担になっていた内容で削除されたものもある(例:削除・分離保管義務等)一方で、個人情報処理者全般に対する規制として引き継がれ、引き続き存続しているものもある点には注意が必要です。例えば、以下のような改正事項があります。
改正前PIPA | 改正後PIPA | |
---|---|---|
個人情報の収集にかかる同意 | ICSPは、利用者の個人情報収集時には、①個人情報の収集・利用目的、②収集する個人情報の項目、③当該個人情報の保有・利用期間を通知した上で、同意を取得することが必要(改正前PIPA39条の3第1項)。 | 削除(個人情報処理者に統一的な同意取得義務(法15条)が適用)。 |
削除・分離保管義務 | ICSPは、1年間サービスの利用がない利用者の個人情報について、破棄又は別途分離して保管しなければならない(改正前PIPA39条の6、施行令48条の5)。 | 削除(なお、全個人情報処理者について、不要になった個人情報を遅滞なく削除するとの一般的な削除義務(法21条)が適用)。 |
14歳未満の児童からの同意の取得 | ICSPは、①14歳未満の児童から個人情報の収集、利用又は第三者提供にかかる同意を取得する際には、当該児童の法定代理人の同意を確認する義務、②14歳未満の児童に対して個人情報の処理に関する事項の通知等を行う際には理解しやすい形式及び明確かつ分かりやすい言葉で行わなければならないとの義務を負う(改正前PIPA39条の3第4項・5項)。 | 左記義務の適用範囲を全個人情報処理者に拡大(法22条の2)。 |
漏えい等報告 | ICSPには特別の漏えい等の報告義務(漏えい等を知った時から24時間以内の報告義務)あり(改正前PIPA39条の4)。 | 全個人情報処理者に同一の漏えい等報告義務(漏えい等を知った時から72時間以内の報告義務)が課される※5(法34条、施行令39・40条)。 |
安全管理措置 | ICSPにのみ適用がある安全管理措置の特則(利用者の個人情報を処理する者を最小限に制限する義務)が存在(改正前PIPA39条の5)。 | 全個人情報処理者に適用のある安全管理措置の規定に一元化(法29条)。 |
国内代理人の指定義務 | 一定規模以上のICSPは国内代理人を指定する必要がある(改正前PIPA39条の11)。 | 一定規模以上※6の全個人情報処理者に、国内代理人の指定義務を拡大(法31条の2)。 |
なお、課徴金等のエンフォースメントに関する規定も、オンライン・オフラインいずれのサービスかを問わず個人情報処理者で一元化されましたが、この点は下記6で述べます。
PIPA上、個人情報の収集、利用及び提供にあたっては、原則としてデータ主体の同意が必要となります(法15条1項1号、17条1項1号等)。この点は改正前PIPAから変更はありませんが、同意取得の方法について、以下の4要件の全てを満たす必要があることが規定されました(施行令17条1項)。なお、この規定は、個人情報処理者の同意取得手続のアップデートに時間を要すると想定されることに鑑み、2024年9月15日から施行予定とされています※7。
改正前PIPAでは、データ主体との契約を締結・履行するためにやむを得ず必要がある場合には、例外的に同意は不要とされていましたが、改正により「やむを得ず」との要件がなくなり、データ主体と締結した契約を履行したり、契約を締結する過程でデータ主体の要請に応じた措置をとるために必要な場合には、同意なく個人情報の収集及び利用目的の範囲内での利用を行うことができるようになりました(法15条1項4号)。例えば、PIPC解説案によれば、以下のような事例では、データ主体の同意は不要となります。
また、改正前PIPAでは、データ主体又はその法定代理人が意思表示できない状態あるいは住所不明等の理由で予め同意を取得することができない場合にデータ主体の同意が不要とされていましたが、改正により当該限定が緩和され、データ主体又は第三者の生命、身体又は財産の利益を差し迫った危険から保護するために明らかに必要と認められる場合には、同意なく個人情報の収集及び利用(目的外利用を含む。)を行うことができるとされました(法15条1項5号、18条2項3号)。さらに、公衆衛生等の公共の安全及び福祉のために緊急に必要な場合にも、同様に個人情報の収集及び利用(目的外利用を含む。)ができることとなりました(法15条1項7号、18条2項10号)※8。
PIPAでは、データ主体の同意なしに第三者提供できる場面が一部拡大され、①個人情報処理者の正当な利益を達成するために必要な場合で、かかる正当な利益がデータ主体の権利より明らかに優先する場合、②データ主体又は第三者の生命、身体又は財産の利益を差し迫った危険から保護するために明らかに必要と認められる場合、③公衆衛生等の公共の安全及び福祉のために緊急に必要な場合にも、データ主体の同意なく個人情報を第三者に提供できる(②③の場合は目的外提供を含む。)こととなりました(法17条1項2号、18条2項3号・10号)。
PIPAは、改正前より、個人情報処理者に個人情報処理方針の作成及び開示義務を課しています(法30条)が、ほとんどの個人情報処理者が同じテンプレートを用いている、データ主体にとって理解がしにくく、結果としてデータ主体が個人情報処理方針を確認しない、といった課題が指摘されていました。そのため、改正により、PIPCが個人情報処理方針について、その適正性、容易に内容を理解できるか、アクセス性等を評価する個人情報処理方針評価制度が導入されました(法30条の2、施行令31条の2)。評価のための基準は今後公表されます※9が、評価の結果、PIPCが改善を要すると認めた場合、PIPCは改善勧告をすることができます。
個人情報処理方針の評価においては、単にその記載内容のみならず、個人情報処理者の売上規模や処理する個人情報の規模といった事情も総合的に考慮されます(施行令31条の2第1項)。韓国において一定の規模の事業を行っている企業は、いま一度プライバシーポリシーの記載を見直すことが望ましいと考えられます。
改正前PIPAでは、個人情報の国外移転にあたっては常にデータ主体の同意を取得する必要がありましたが、グローバルにサービスを提供する事業者の増加や、個人情報の国外移転に関する各国法の整備を受けて、韓国における法改正の必要性が指摘されていました。改正により、データ主体から国外移転に関する同意を取得した場合以外にも、以下の場合に国外移転を行うことができるようになりました(法28条の8)。
上記のとおり個人情報の国外移転の要件が緩和された一方で、国外移転によりデータ主体に被害が生じることを防止する観点から、上記要件に違反した国外移転が行われた場合、又は保護水準が脆弱でデータ主体に損害が生じる可能性が著しく高い場合には、PIPCは当該国外移転の中止を命じることができるとされました(法28条の9)。
PIPAには従前から、①全個人情報処理者に適用がある、データ主体以外から収集した個人情報の収集元等をデータ主体の要求に基づき通知する制度と、②一定の要件を満たすICSPにのみ適用がある、収集した個人情報の利用状況を定期的にデータ主体に通知する制度が併存していました。しかし、上記2で述べたとおり、オンライン・オフラインサービスに対する規制が一元化されたことに伴い、上記①と②を統合したより合理的な通知制度に改正されます。
具体的には、当該通知義務の適用対象となる個人情報処理者は、前年度の10月1日から12月31日までの1日あたりの平均保存・管理されているデータ主体の人数を基準として、(a) 5万人以上のセンシティブ個人情報※11若しくは固有識別情報※12を処理する者、又は(b) 100万人以上の個人情報を処理する者と定められています。
適用対象となる個人情報処理者は、データ主体からの要求があれば個人情報の収集元等の通知を行う義務を負うと共に、収集した個人情報の利用・提供内容又はそれを確認できる情報システムにアクセスする方法を年1回以上の頻度でデータ主体に通知する義務※13を負います(法20条、20条の2、施行令15条の2※14、15条の3)。
改正後のPIPAでは課徴金制度が大幅に拡大・強化されています。これは、刑罰よりも経済的制裁を設ける方が個人情報処理者によるPIPA違反を実質的に抑止可能であるとの考えに基づいており、厳格な課徴金を賦課するという世界的な潮流に合わせた改正であるといえます。
具体的には、個人情報処理者による以下の行為が課徴金の対象となります(法64条の2第1項各号)※15。
また、課徴金の上限額について、改正により、全売上高の3%又は20億ウォンに変更されました(法64条の2第1項)。ただし、「全売上高」の算定においては、違反行為に関連しない売上高※16は除くものとすると規定されています(法64条の2第2項)。課徴金が賦課された場合、PIPCはその事実を公表し、あるいは課徴金の賦課を受けた者に公表を命じることができます(法66条)。
上記のとおり、全個人情報処理者に適用のある課徴金の制度が整備されたことを受けて、課徴金の対象と重複が生じる行為について刑事罰が廃止されています。例えば、従前は安全管理措置の不備により個人情報の漏えいが生じた場合の刑罰規定、ICSPが同意なく個人情報を収集したり削除義務に違反した場合の刑罰規定がありましたが、いずれも削除されました。
同様に、課徴金がエンフォースメントの中心となったことに伴い、過料に関する規定は大幅に修正され、固定型映像情報処理機器の設置の際の案内の不履行や、個人情報の削除義務違反等、課徴金賦課事由には該当しない一定の類型の違反行為(PIPCの是正措置命令違反を含みます。)に過料を課すという建付けに改正されました(法75条)。
PIPAには、公の場所に設置されたカメラ等の「映像情報処理機器」の利用に関する規制があります。改正前PIPAでは、一定の場所に固定されて映像を他の場所に伝達するタイプのカメラ(「固定型映像情報処理機器」)のみが規制対象でしたが、改正により、移動型のカメラ※17(「移動型映像情報処理機器」)も規制対象となりました(法2条7号、7号の2)。改正前PIPAにおける「映像情報処理機器」に関する規定は「固定型映像情報処理機器」に関する規定として存続しています(法25条)※18。
「移動型映像情報処理機器」については、「業務を目的として」公の場所で同機器を利用して個人映像情報を撮影する行為は原則として禁止されています。例外的に、①同意等の個人情報の収集・利用の根拠がある場合、②撮影の事実を明確に表示してデータ主体がそのことを知ることができるようにしたにもかかわらず撮影を拒否しなかった場合(ただし、データ主体の権利を不当に侵害するおそれがなく、合理的な範囲を超えない場合に限られます。)にのみ、撮影が可能とされています(法25条の2第1項)。
また、「移動型映像情報処理機器」を用いて撮影を行う際には、音・光・案内板等を用いて、撮影中であることをデータ主体が容易に知り得る状態にする必要があります(同3項、施行令27条の2)※19。
改正により、データ主体が、個人情報処理能力等を考慮して施行令で定める基準に該当する個人情報処理者に対し、以下の要件を満たす個人情報を自身(又は第三者)に転送することを求めることができる権利、いわゆるデータポータビリティ権を定める条文が新設されました(法35条の2)。ただし、当該条文は、現時点では未施行※20であり、具体的な施行日も未定です。
データ主体から個人情報転送要求を受けた個人情報処理者は、時間・費用・技術的に許容される合理的な範囲で、当該情報をコンピュータ等の情報処理装置で処理可能な形式でデータ主体(又は第三者)に転送する必要があります(法35条の2第3項)。
人工知能等の自動化されたシステムにより、個人情報を処理してなされる決定(以下、「自動化された決定」といいます。)に関して、データ主体は、個人情報処理者に対し、①当該自動化された決定が当該データ主体の権利義務に重大な影響を与える可能性が高い場合において※21、当該自動化された決定の適用を拒否する権利、及び②当該自動化された決定について説明等を要求する権利を有するとの規定が新設されました(法37条の2)。
データ主体から上記の権利行使を受けた個人情報処理者は、正当な理由がない限り、当該データ主体に自動化された決定を適用しない、又は当該データ主体の個人情報を人の手により再度処理し若しくは必要な説明を行う義務を負います(法37条の2第3項)。
本条は現時点では未施行ですが、改正法の公布から1年後の2024年3月15日から施行されます※22。
今回の改正事項は多岐にわたり、その全てを列挙することは困難ですが、上記で詳述したもの以外にも、例えば以下のような事項が含まれます。
センシティブ個人情報の処理制限 | 個人情報処理者は、商品又はサービスを提供する過程において、開示される情報にデータ主体のセンシティブ個人情報が含まれることによりプライバシー侵害の危険性があると判断する際には、商品又はサービスの提供前にセンシティブ個人情報の開示可能性及び非開示を選択する方法をデータ主体に分かりやすく通知しなければならない(法23条3項)。 |
個人情報処理の委託先に対する規制の整備 |
委託に関する規制を受ける「委託先」の範囲に、再委託先も含まれることになったほか、再委託にあたっては委託者の同意が必要になった(法26条2項、6項)。 さらに、従来は、委託先がPIPAに違反した場合でも課徴金・刑事罰・過料の対象とならなかったが、改正法では、委託先であっても対象となり得る(法26条8項、64条の2、71~73条、75条)。 |
個人情報紛争調停制度の改善 |
PIPAには、個人が個人情報に関する個人情報処理者との間の紛争の調停を紛争調停委員会に申し立てることができる制度が従前からある(法43条)ところ、紛争調停に参加する義務を負う主体が公共機関のみならず民間企業を含む全ての個人情報処理者に拡大された(法43条3項)。 また、紛争調停の当事者が紛争調停委員会の調停案をその提示の日から15日以内に拒否しなければそれを受諾したものとみなされるようになり(法47条3項)、その場合でも調停の内容は裁判上の和解と同一の効力を有するため(法47条5項)、調停制度の救済機能の強化が行われた。 |
2024年以降も、今回の施行に含まれなかったPIPAの条文の施行や、関連するガイドラインのアップデートが予定されています。また、PIPCが改正後PIPAを適用した事例も早速確認されており、今後PIPCが改正法をどのように運用・執行してくるかも注視が必要と思われます。今回の改正を機に、韓国向けビジネスにおける個人情報の取扱いやプライバシーポリシーの記載等について、いま一度確認しておくことが望ましい対応と思われます。
※1
PIPAの条文の英訳(韓国法制研究院による公式の参考訳です。)につきましては、PIPCのウェブサイトからアクセスが可能です。
※2
施行令の条文の英訳(Enforcement Decree of the Personal Information Protection Act)につきましても脚注1のウェブサイトからアクセス可能です。
※3
PIPC「개인정보_보호법_개정_안내서_초안(공개)_배포」(2023年9月27日)(個人情報保護法及び施行令改正事項の解説(案))。なお、PIPCによれば、同解説案の正式版は2023年12月中に公表される予定であるとのことです。
※4
情報通信サービス提供者等(ICSP)とは、情報通信サービス提供者(①電気通信事業法による登録又は届出を完了し、電気通信役務を提供する者及び②営利を目的として電気通信事業者の電気通信役務を利用して情報を提供し、又は情報の提供を媒介する者をいいます(改正前PIPA18条、情報通信網利用促進及び情報保護等に関する法律2条1項3号、電気通信事業法2条8号)。)及び情報通信サービス提供者から改正前PIPA17条1項の規定によるデータ主体の同意等の要件を満たし、利用者の個人情報の提供を受けた者をいいます(改正前PIPA39条の4)。
※5
具体的には、個人情報処理者は、次のいずれかに該当する個人情報の漏えい等を知った時は、原則として72時間以内にPIPC等に申告を行う必要があります(施行令40条1項)。
※6
以下に該当する個人情報処理者をいいます(施行令32条の2)。
※7
施行令の附則1条1号。
※8
元々改正前PIPAでは、「公衆衛生等の公共の安全及び福祉のために緊急に必要な場合として一時的に処理される個人情報」には改正前PIPA第3章から第7章までの規定を広範に適用除外としていました(改正前PIPA58条1項3号)。しかし、新型コロナウイルス感染症の流行下において、同号の情報につき安全管理措置、破棄義務、データ主体の権利に関する規定まで一切排除されていることを問題視する指摘を受けて、この適用除外規定は削除され、代わりに本規定が新設されました。
※9
PIPC解説案によれば、2023年末までに個人情報処理方針評価のための基準を公表し、試験的に評価を実施した後、2024年に評価計画を発表して、実際の評価の実行を開始する予定であるとのことです。
※10
PIPC解説案によれば、このPIPCによる認定を受ける国又は国際機関に関しては、今後検討に着手する予定であるとのことです。
※11
思想・信念、労働組合・政党の加入・脱退、政治的見解、健康、性生活等に関する情報、その他データ主体のプライバシーを著しく侵害するおそれがあるものとして定められた以下の情報をいいます(施行令18条)。
※12
住民登録番号、パスポート番号、運転免許番号、外国人登録番号をいいます(法24条1項、施行令19条)。
※13
ただし、データ主体に通知を行うことが可能となる個人情報を収集又は保有していない場合には、通知しないことも可能です(法20条の2第1項但書)。
※14
2024年1月1日から施行されます(施行令の附則1条2号)。
※15
ただし、これらの行為が認められる場合であっても、個人情報処理者に課徴金を支払う能力がない場合、当該行為が違法でないと誤認したことについて正当な事由がある場合、軽微な違反である場合等には、PIPCは課徴金を賦課しないことができます(法64条の2第5項)。
※16
個人情報の処理と関係しない商品又はサービスの売上高、及び提出された資料等に基づき、PIPCが違反行為により直接又は間接の影響を受ける商品又はサービスの売上高ではないと認める売上高を意味します(施行令60条の2)。
※17
具体的には、眼鏡・時計等の人の身体や衣服に着用するカメラ(施行令3条2項1号)、携帯端末やデジタルカメラ等のカメラ(同2号)、車両やドローンに装着して用いるカメラ(同3号)が挙げられています。
※18
なお、「固定型映像情報処理機器」に関する規定にも若干の改正があります。駐車場の料金徴収等に同機器が広く活用されていることを反映し、同機器の設置・運営可能事由に施設管理目的が追加されました(法25条1項3号)。また、撮影された映像情報を保存しない場合として、人口密集度の分析、デジタル広告等、統計値又は特性値を算出するために当該映像情報を一時的に処理する場合にも、同機器を設置・運営することができるようになりました(法25条1項6号、施行令22条1項)。
※19
ドローンを利用した航空撮影等、撮影方法の特性により、データ主体に撮影の事実を通知しにくい場合には、PIPCが指定するウェブサイトを通じて公表することが可能です(施行令27条の2但書)。
※20
PIPAの附則1条2号によると、法35条の2は、公布(2023年3月14日)後1年が経過した日から公布後2年を超えない範囲で施行令で定める日から施行するものの、未だこれに関する施行令の規定は設けられておらず、施行のためには施行令の追加改正が必要となります。
※21
ただし、当該自動化された決定がデータ主体の同意、法律上の規定、又はデータ主体と個人情報処理者との間の契約の履行の必要性に基づきなされたものである場合は除きます(法37条の2第1項但書)。
※22
PIPAの附則1条1号。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
中翔平
(2024年9月)
森大樹、早川健(共著)
長谷川良和
(2024年9月)
箕輪俊介、中翔平(共著)
中翔平
宰田高志
(2024年10月)
山本匡
(2024年9月)
松本岳人