{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
概要
韓国の個人情報保護法(PIPA)は、韓国における個人情報の保護を包括的に規定する初めての法律で、2023年9月15日に改正法(PIPA)とその施行令(PIPA-ED)が施行されました。
PIPAは、当局の解釈により域外適用が認められており、韓国国内でサービス・事業を展開し、個人情報を収集する日本企業はPIPAの適用を受ける可能性があるため対応が必要です。
適用対象
PIPAで定義される「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当する情報を指します。
- 特定の個人を識別することができる情報
- 単独では個人を識別できないとしても、他の情報と容易に結合して識別することができる情報(この場合、他の情報が入手できるかどうかや、個人を特定するのにかかる時間、費用、技術などを合理的に考慮して、簡単に結びつけられるかどうかを判断する)
- 上記1、2、の情報を仮名処理して、追加情報を使わずに特定の個人を識別することができない情報(仮名情報)
PIPAは、「個人情報処理者」である公的機関(地方自治団体を含む)および民間企業・組織に適用されます。また、PIPAには明確な域外適用条項はないものの、実際には域外適用が認められています。韓国国内に在住する個人にサービスや製品を提供することに伴って個人情報を取り扱う場合(例:韓国国内の顧客を対象にオンライン・サービスの提供など)、韓国外の企業や組織であってもPIPAの適用対象となる可能性があります。
2023年9月施行 韓国個人情報保護法の主要ポイント
(1)本人同意に関する要件の明確化
本人から同意を取得するには、以下の情報を本人へ提供する必要があります。
A. 個人情報の収集および利用の目的
B. 収集する個人情報の項目
C. 個人情報の保有および利用期間
D. 本人が同意を拒否する権利を有すること、および同意を拒否することによって生じる不利益(もしあれば)
また、2023年の改正に伴い、同意を取得するにあたっての詳細の要件が、以下のとおり規定されました。
A. 本人が同意するか否かを自由な意思により決定できること
B. 同意の内容が具体的かつ明確であること
C. わかりやすい文言を使用すること
D. 同意の有無を明示する方法を本人に提供していること
(2)個人情報の国外移転に関する例外の追加
法改正前は、原則として国外移転に対して本人の同意を得る必要がありましたが、改正後は例外が拡大され、以下のいずれかの要件を満たす場合、個人情報を国外移転させることが可能となります。
A. 本人に対し、以下の事項を開示またはメールにて通知し、その同意を得た場合
①移転対象となる個人情報項目
②移転先の国、提供日、提供方法
③移転先の法人名および連絡先
④移転先の個人情報の利用目的および保有・利用期間
⑤本人が提供を拒否する権利有すること、および拒否することによって生じる不利益
B. 法律、条約、国際協定に個人情報の国外移転に関する特別な規定がある場合
C. 個人との契約の締結または履行のために、国外で個人情報を処理または保管する必要がある場合で、国外への移転に関する詳細な情報が個人情報処理方針に明示されているなどの場合
D. 個人情報の移転先が、個人情報保護委員会(PIPC)が指定する個人情報保護認証などを取得し、必要な安全管理措置などを講じている場合
E. 個人情報保護のレベルが、PIPAの保護水準と実質的に同じであるとPIPC(韓国個人情報保護委員会)が認めた国へ移転する場合
(3)本人権利の強化
本人には個人情報の閲覧権、訂正・削除権、処理の停止の権利、同意の撤回などの権利、損害賠償請求権などが従来認められていましたが、改正後はそれに加えて、自動化された決定に対する拒否権、情報開示要求権、データポータビリティ権(本人は個人情報処理者に対し、一定の要件を満たす個人情報を自己または第三者に転送するよう求めることができる権利)が追加されました。
(4)個人情報漏えい時の報告義務適用対象の拡大
法改正前は、一般の個人情報処理者と情報通信サービス提供者に対して別々の通知や申告要件がありましたが、改正後はすべての個人情報処理者に対して統一された規制が適用され、新たな申告義務が追加されました。
- 個人情報漏えいの事実を知った時から原則72時間以内に本人へ通知しなければならない
- 以下のいずれかの場合は、個人情報漏えいの事実を知った時から72時以内に当局へ申告しなければならない
A. 1,000人以上の個人情報が漏洩するなどした場合
B. センシティブ情報または固有識別情報(住民登録番号、パスポート番号、運転免許番号、外国人登録番号)が漏洩するなどした場合
C. 不正なアクセスにより個人情報が漏洩するなどした場合
日本企業が講じるべき対策とは何か
(1)データマッピングの実施
他国の個人情報保護法対応と同様に、自社グループ内で取り扱う、韓国に居住する本人の個人情報の取り扱いフローを可視化することが求められます。特に、日本と韓国の間でどのようなデータが移転され、どのように処理され、どこに保管されているのかなど、委託先や第三者へのデータの提供状況を把握することで、韓国個人情報の取り扱いにおける既存の課題やリスクを明確にすることが可能です。
(2)課題リスクへの対応の明確
PIPAの要件および(1)で洗い出した課題リスクを踏まえて、実施すべき対応を明確にします。特に、上記の「2023年9月施行 韓国個人情報保護法の主要ポイント」で提示した改正要件については、どのように対応すべきかをポイントとして検討する必要があります。
(3)社内体制
(2)により洗い出した対策を踏まえて、本社と現地法人の役割を明確化した上で、PIPAを遵守するための体制(DPOや代理人の設置を含む)を整備しなければなりません。
(4)ドキュメント類の改訂
上記(1)~(3)の検討結果を社内の規程類やプライバシーポリシーなどへ反映する必要があります。単に法令要件を反映させた規程を策定するだけではなく、法令に知見のない従業員でも実行可能な運用手順書を整備することも、コンプライアンス維持において重要です。
(5)データマッピング結果・新たなドキュメント類を踏まえた各種対応の実行
データマッピングの結果や新たなドキュメント類を踏まえて、組織として恒常的に法律対応を講じることができる体制を考慮した上で、以下の主な対応事項を実施します。
①通知・同意の見直し
②越境移転への対応
③本人権利対応フローの見直し
④個人データ漏洩時の対応フローの見直し
まとめ
韓国国内において事業を展開し、それに伴って個人情報を収集する日本企業は、PIPAだけでなく、関連する規制やガイドラインにも厳密に従う必要があります。法令の改正状況をモニタニングし、法令が改正されるたびに迅速に対応し、適切な措置を講じることが重要です。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
