![](https://www.noandt.com/wp-content/uploads/2020/11/ams.jpg)
鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
ニュースレター
韓国:改正個人情報保護法(2023年9月15日施行)のポイント(2023年11月)
2024年4月4日、韓国の個人情報保護委員会(Personal Information Protection Commission)(以下、「PIPC」といいます。)は、外国事業者に対する個人情報保護法(Personal Information Protection Act)(以下、「PIPA」といいます。)の適用に関するガイドライン(以下、「本ガイドライン」といいます。)を公表しました※1。
PIPCは、PIPAの執行に積極的であり、海外から韓国で事業を行っていると評価される外国事業者に対してもPIPAを域外適用することがあります。しかし、2023年9月に施行された改正PIPA※2においても、域外適用についての明文規定はなく、従前、その要件は必ずしも明確ではありませんでした。
本ガイドラインは、PIPAが域外適用される場面を具体例と共に説明していますが、域外適用の範囲は広範であり、韓国において事業を展開している日本企業におかれては、本ガイドラインの内容を確認しておくことが望ましいと思われます。
具体的には、本ガイドラインでは、オンラインでグローバルにサービスを提供する外国事業者を念頭に、(i)外国事業者が韓国のデータ主体に対して商品又はサービスを提供する場合、(ii)外国事業者による個人情報処理が韓国のデータ主体に影響を及ぼす場合、又は(iii)外国事業者の事業所が韓国国内に存在する場合には、当該外国事業者に対してPIPAの域外適用の可能性があることが指摘されています。以下、上記(i)~(iii)の域外適用の判断要素について詳述します。
外国事業者が韓国のデータ主体に対して商品又はサービスを提供している場合、当該外国事業者にPIPAが域外適用される可能性があります。もっとも、オンラインサービスにおいては、外国事業者は韓国国外からサービスを提供することが可能であるため、韓国のデータ主体を対象にサービスが提供されているか否かが不明確な場合があり、そのような場合、PIPCは、サービス提供時の言語、通貨、商品又はサービスの提供形態及び方式等を総合的に考慮して域外適用の可否を判断するとしています。本ガイドラインでは、以下の具体例が挙げられています。
以下の事例については、外国事業者が韓国のデータ主体を対象に商品又はサービスを提供する場合に該当すると判断されます。
以下の事例については、外国事業者が提供する商品やサービスの言語、通貨、提供形態等を総合的に考慮して、韓国のデータ主体に対して商品又はサービスを提供すると判断されることがあります。
外国事業者が外国においてオフラインで提供する商品又はサービスを韓国人が利用しただけの場合、あるいは外国事業者がオンラインで提供する商品又はサービスの範囲から韓国を明示的に除外しているにもかかわらず、韓国のデータ主体が利用した場合には、域外適用が否定されます。具体的には、以下の場合、他の特別な事情がない限り、域外適用は否定されます。
外国事業者が韓国のデータ主体を対象に商品又はサービスを提供していないと判断される場合であっても、外国事業者が行う韓国人又は韓国のデータ主体に関する個人情報処理が韓国のデータ主体に直接かつ重大な影響を及ぼす場合には、PIPAが域外適用されます。韓国のデータ主体に対する影響の有無や程度は個別具体的に判断されます。PIPCが挙げている具体例は以下のとおりです。
例えば、外国事業者が韓国のデータ主体を対象にサービスを提供していなくても、韓国のデータ主体の個人情報(氏名、韓国国内の住所及び電話番号等)を収集してウェブサイト上で公表するという事業を行う場合には、PIPAの遵守が必要であると指摘されています。
以下のような場合に、PIPAが域外適用される可能性があるとされています。
外国事業者が韓国国内に事業所を有する場合には、原則として域外適用が肯定されます※3。ここでいう「事業所」には、法人のみならず、外国事業者の営業所、駐在事務所及び受託者の事業所等も含まれます。
ただし、外国事業者による個人情報の処理が、当該外国事業者の韓国国内の事業所の活動に関連しない場合には、域外適用が否定される場合もあります。例えば、韓国国内の事業所においてソフトウェアの販売及びメンテナンスを行う外国事業者が、これとは別にオンラインショッピングモールを韓国国外で、韓国のデータ主体を対象にサービスを提供しない形で運営している場合、当該外国事業者はオンラインショッピングモールの運営に関して域外適用を受けない可能性があります。
本ガイドラインでは、外国事業者にPIPAの域外適用がある場合に遵守が必要となる義務の内容が説明されています(第4章)。主な内容は以下のとおりです。
上記のとおり、PIPCは、海外事業者に対してPIPAの執行を行っていますので、特に韓国に向けてオンラインサービスを提供している日本企業におかれては、本ガイドラインを踏まえてPIPAの域外適用の有無を整理し、PIPCの執行の傾向をモニタリングしておくことが望ましい対応と思われます。
※1
本ガイドラインはPIPCのウェブサイト(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=10059)からアクセスが可能です。なお、本稿執筆時点では、韓国語版に加えて英語版も公表されています。
※2
この改正法では、データ主体の権利保護強化、オンライン・オフライン二重規制の改善、グローバルスタンダードに合わせた制度の整備等、多岐に亘る改正がなされました。詳細については、NO&T Data Protection Legal Update ~個人情報保護・データプライバシーニュースレター~ No. 38「韓国:改正個人情報保護法(2023年9月15日施行)のポイント」を参照。
※3
なお、商品又はサービスをグローバルに提供する外国事業者が韓国で事業所を設立し、当該事業所を韓国のデータ主体の個人情報処理者として明示した場合は、他の事情(例えば、韓国のデータ主体から発生する売上高を韓国の税務当局に申告していること等)次第では、当該事業所が商品又はサービスの提供主体であるとみなされて、当該事業所にPIPAが適用される可能性があります。例えば、「ABC」というグローバルサービスプロバイダが、韓国のデータ主体の個人情報の個人情報処理者は「ABC Korea」という韓国法人であるとプライバシーポリシー上明示している場合、「ABC Korea」にPIPAが適用される可能性があります。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
(2025年1月)
東崎賢治
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)
(2025年1月)
伊佐次亮介(コメント)
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
箕輪俊介
大久保涼
箕輪俊介
(2025年1月)
大川友宏、髙野紘輝、万鈞剣(共著)
金田聡
村瀬啓峻