icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

韓国:外国事業者に対する個人情報保護法の適用に関するガイドライン(2024年4月4日公表)のポイント

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2024年4月4日、韓国の個人情報保護委員会(Personal Information Protection Commission)(以下、「PIPC」といいます。)は、外国事業者に対する個人情報保護法(Personal Information Protection Act)(以下、「PIPA」といいます。)の適用に関するガイドライン(以下、「本ガイドライン」といいます。)を公表しました※1

 PIPCは、PIPAの執行に積極的であり、海外から韓国で事業を行っていると評価される外国事業者に対してもPIPAを域外適用することがあります。しかし、2023年9月に施行された改正PIPA※2においても、域外適用についての明文規定はなく、従前、その要件は必ずしも明確ではありませんでした。

 本ガイドラインは、PIPAが域外適用される場面を具体例と共に説明していますが、域外適用の範囲は広範であり、韓国において事業を展開している日本企業におかれては、本ガイドラインの内容を確認しておくことが望ましいと思われます。

 具体的には、本ガイドラインでは、オンラインでグローバルにサービスを提供する外国事業者を念頭に、(i)外国事業者が韓国のデータ主体に対して商品又はサービスを提供する場合、(ii)外国事業者による個人情報処理が韓国のデータ主体に影響を及ぼす場合、又は(iii)外国事業者の事業所が韓国国内に存在する場合には、当該外国事業者に対してPIPAの域外適用の可能性があることが指摘されています。以下、上記(i)~(iii)の域外適用の判断要素について詳述します。

外国事業者が韓国のデータ主体に対して商品又はサービスを提供する場合

 外国事業者が韓国のデータ主体に対して商品又はサービスを提供している場合、当該外国事業者にPIPAが域外適用される可能性があります。もっとも、オンラインサービスにおいては、外国事業者は韓国国外からサービスを提供することが可能であるため、韓国のデータ主体を対象にサービスが提供されているか否かが不明確な場合があり、そのような場合、PIPCは、サービス提供時の言語、通貨、商品又はサービスの提供形態及び方式等を総合的に考慮して域外適用の可否を判断するとしています。本ガイドラインでは、以下の具体例が挙げられています。

1. 域外適用が肯定される事例

 以下の事例については、外国事業者が韓国のデータ主体を対象に商品又はサービスを提供する場合に該当すると判断されます。

  • a.  グローバルに提供されるサービスにおいて韓国がサポート対象エリアに含まれることが明示されている場合
  • b.  外国事業者の運営するウェブサイトが韓国ドメイン(.kr)であるか、又はその他の韓国をターゲットとするドメイン(「ko-kr.xxx.com」や「www.xxx.com/ko-kr」等)である場合
  • c.  アプリサービスにつき、韓国のアプリストアでアプリを販売する場合、又はグローバルのアプリストアでの販売ではあるものの基本言語が韓国語に設定されている場合
  • d.  韓国語のみでサービスを提供する場合

2. 総合考慮の結果域外適用ありと判断されうる事例

 以下の事例については、外国事業者が提供する商品やサービスの言語、通貨、提供形態等を総合的に考慮して、韓国のデータ主体に対して商品又はサービスを提供すると判断されることがあります。

  • a.  外国事業者が商品又はサービスを提供する際に、データ主体が韓国の国籍又は住所を選択できるようにしており、韓国のデータ主体の個人情報が収集されることを当該外国事業者自身が認識しうる場合
  • b.  サービスページに翻訳機能を実装し、データ主体が別途の翻訳サービスを利用しなくても、韓国語で商品又はサービスの提供を受けることが可能である場合
  • c.  データ主体の韓国国内の住所を収集して配送を行うと共に、韓国語でカスタマーサポートサービスを提供したり、韓国のデータ主体専用のカスタマーサポート窓口を提供したり、韓国のデータ主体を対象に広告を配信したりする場合

3. 域外適用が否定される事例

 外国事業者が外国においてオフラインで提供する商品又はサービスを韓国人が利用しただけの場合、あるいは外国事業者がオンラインで提供する商品又はサービスの範囲から韓国を明示的に除外しているにもかかわらず、韓国のデータ主体が利用した場合には、域外適用が否定されます。具体的には、以下の場合、他の特別な事情がない限り、域外適用は否定されます。

  • a.  宿泊事業を営む外国事業者が外国において韓国人に宿泊サービスを提供することに伴って韓国人の個人情報を取得利用するのみの場合
  • b.  外国事業者のシステムがハックされ、韓国人従業員の個人情報が漏えいしたのみの場合
  • c.  オンラインストアを運営する外国事業者が自身では韓国への配送を行っていない場合において、韓国人利用者が購入した商品を韓国への配送サービスを提供する配送エージェントに配達させることに伴い、当該外国事業者が当該韓国人の個人情報を取得利用するのみの場合
  • d.  外国事業者のウェブサイトが韓国からのアクセスを遮断する(又は、アプリサービスの場合、韓国のアプリストアで販売しない)等により韓国のデータ主体の利用を明示的に制限したものの、韓国人の利用者がかかる制限を回避して同サービスを利用し、これに伴い、当該外国事業者が当該韓国人の個人情報を取得利用するのみの場合

外国事業者による個人情報処理が韓国のデータ主体に影響を及ぼす場合

 外国事業者が韓国のデータ主体を対象に商品又はサービスを提供していないと判断される場合であっても、外国事業者が行う韓国人又は韓国のデータ主体に関する個人情報処理が韓国のデータ主体に直接かつ重大な影響を及ぼす場合には、PIPAが域外適用されます。韓国のデータ主体に対する影響の有無や程度は個別具体的に判断されます。PIPCが挙げている具体例は以下のとおりです。

1. 外国事業者が、韓国のデータ主体に商品又はサービスを提供せずに、その個人情報の処理のみを行う場合

 例えば、外国事業者が韓国のデータ主体を対象にサービスを提供していなくても、韓国のデータ主体の個人情報(氏名、韓国国内の住所及び電話番号等)を収集してウェブサイト上で公表するという事業を行う場合には、PIPAの遵守が必要であると指摘されています。

2. 外国事業者が、韓国国内の事業者(以下、「韓国事業者」といいます。)と取引する場合

 以下のような場合に、PIPAが域外適用される可能性があるとされています。

  • a.  外国事業者が、韓国事業者に対してチャットAPIソリューション等の商品又はサービスを提供する過程で、それを利用する韓国のデータ主体の個人情報を取得又は利用する場合
  • b.  外国事業者が、韓国事業者との業務委託関係に基づいて、委託者又は受託者として韓国のデータ主体の個人情報を処理する場合
  • c.  外国事業者が、韓国事業者から韓国のデータ主体の個人情報の提供を受け、自己の事業目的(例えば、AIモデルの開発)のために当該個人情報を処理する場合

外国事業者の事業所が韓国国内に存在する場合

 外国事業者が韓国国内に事業所を有する場合には、原則として域外適用が肯定されます※3。ここでいう「事業所」には、法人のみならず、外国事業者の営業所、駐在事務所及び受託者の事業所等も含まれます。

 ただし、外国事業者による個人情報の処理が、当該外国事業者の韓国国内の事業所の活動に関連しない場合には、域外適用が否定される場合もあります。例えば、韓国国内の事業所においてソフトウェアの販売及びメンテナンスを行う外国事業者が、これとは別にオンラインショッピングモールを韓国国外で、韓国のデータ主体を対象にサービスを提供しない形で運営している場合、当該外国事業者はオンラインショッピングモールの運営に関して域外適用を受けない可能性があります。

域外適用が肯定される場合の遵守事項

 本ガイドラインでは、外国事業者にPIPAの域外適用がある場合に遵守が必要となる義務の内容が説明されています(第4章)。主な内容は以下のとおりです。

  • 個人情報の漏えいの通知及び報告
  • プライバシーポリシーの作成及び開示
  • データ主体の権利の保証
  • 14歳未満の子どもの個人情報の保護
  • 個人情報の越境移転の制限
  • 損害賠償責任の負担
  • 個人情報に関する紛争調停
  • 個人情報処理の委託
  • 国内代理人の選任
  • PIPCによる違法行為の調査、是正措置、行政罰等の制裁措置

最後に

 上記のとおり、PIPCは、海外事業者に対してPIPAの執行を行っていますので、特に韓国に向けてオンラインサービスを提供している日本企業におかれては、本ガイドラインを踏まえてPIPAの域外適用の有無を整理し、PIPCの執行の傾向をモニタリングしておくことが望ましい対応と思われます。

脚注一覧

※1
本ガイドラインはPIPCのウェブサイト(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=10059)からアクセスが可能です。なお、本稿執筆時点では、韓国語版に加えて英語版も公表されています。

※2
この改正法では、データ主体の権利保護強化、オンライン・オフライン二重規制の改善、グローバルスタンダードに合わせた制度の整備等、多岐に亘る改正がなされました。詳細については、NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~ No. 38「韓国:改正個人情報保護法(2023年9月15日施行)のポイント」を参照。

※3
なお、商品又はサービスをグローバルに提供する外国事業者が韓国で事業所を設立し、当該事業所を韓国のデータ主体の個人情報処理者として明示した場合は、他の事情(例えば、韓国のデータ主体から発生する売上高を韓国の税務当局に申告していること等)次第では、当該事業所が商品又はサービスの提供主体であるとみなされて、当該事業所にPIPAが適用される可能性があります。例えば、「ABC」というグローバルサービスプロバイダが、韓国のデータ主体の個人情報の個人情報処理者は「ABC Korea」という韓国法人であるとプライバシーポリシー上明示している場合、「ABC Korea」にPIPAが適用される可能性があります。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

アジア・オセアニアに関連する著書/論文

その他アジア地域に関連する著書/論文

決定 業務分野を選択
決定