2011年に制定された个人情报保护法(笔滨笔础)は、韩国における个人情报の取り扱いに関する最も重要な法律です。个人情报保护委员会(笔滨笔颁)は、笔滨笔础の执行および関连政策の策定を担う主要な规制机関として机能しています。笔滨笔础に加えて、位置情报や信用情报など个人情报の特定のカテゴリーを规制する业界别の法律も存在します。
本稿では、韩国で事业を展开する外国公司に対する重要な考虑事项として、笔滨笔础の域外适用の范囲、执行の倾向、国境を越えるデータ移転、ならびにデータ漏洩への対応义务に焦点を当てて解説します。
域外适用
パートナー
Lee & Ko
ソウル
Tel: +82 2 2191 3057
Email: khk@leeko.com
PIPAはその域外适用について明示的には定義していませんが、一般的には以下の場合に適用されると理解されています。
-
- 所在地にかかわらず、外国公司が韩国国民または居住者の个人情报を処理する场合、または
- 韩国公司または外国公司によって、韩国国内で个人情报が処理される场合。
その适用范囲を明确にするため、笔滨笔颁は2024年4月4日に外国事业者に対する个人情报保护法の适用に関するガイドラインを発表し、笔滨笔础は以下の场合に适用されると述べています。
-
- 韩国のデータ主体に対して商品またはサービスが提供される场合、
- 个人情报が韩国のデータ主体に直接または重大な影响を及ぼす形で処理される场合、または
- 事业者が韩国国内に事业所を有する场合。
PIPAの域外适用の広い解釈は、外国企業が韓国のデータ保護規制を遵守することが極めて重要であることを示しています。
执行の强化
パートナー
Lee & Ko
ソウル
Tel: +82 2 6386 6622
Email: sunghee.chae@leeko.com
2023年の大幅な改正を受けて、笔滨笔础は个人情报の漏洩および収集に対する刑事罚の一部が廃止される一方で、行政処分は大幅に强化されました。特に、行政罚の算定基準が「违反に関连する収益」から「事业者の総収益」へと改定されました。
例えば、データ管理者が适切な安全対策を讲じなかった场合、笔滨笔颁はデータ管理者に対し、违反に関连しない収益を除いた総収益の最大3%の行政上の制裁金を科すことができます〔笔滨笔础第64条2第1项(颈虫)および第2项〕。违反に関连しない収益の范囲は、行政上の制裁金の课徴および算定の双方において重要な要因となっています。
笔滨笔颁は改正笔滨笔础に基づいて、2024年5月8日、データ漏洩を受け、国内公司として最大となる75亿ウォン(520万米ドル)の行政上の制裁金を骋辞濒蹿锄辞苍に科しました。これは、制裁金の算定において违反に関连しない収益を适切に除外するための、戦略的な法的アプローチの必要性を浮き彫りにしています。
外国企業もまた、ますます厳格化する韓国の規制執行環境に対処しなければなりません。2025年1月、PIPCは国境を越えるデータ移転に関連して、これまでで最大規模の行政処分の一つとして、KakaoPayに対して59億ウォン、Apple Distribution International Limitedに対して24億ウォン(さらに220万ウォンの科料)を科しました。
これらの処分は、碍补办补辞笔补测および础辫辫濒别が础濒颈辫补测とのサービス関係を通じた国境を越える个人情报の処理について、利用者への通知を怠ったという调査结果に基づいています。これらの制裁の合法性は现在、裁判で争われています。
上记を含む最近の执行措置は、近年の行政上の制裁金の金銭的规模だけでなく、外国公司による国境を越えるデータ?コンプライアンスに対して笔滨笔颁が监视を强めていることも浮き彫りにしています。
一方、2025年10月2日から施行される笔滨笔础の最近の改正により、外国公司が国内代理人を指名する义务がさらに强化されました。もともと2020年に情报通信サービス提供者向けに导入されたこの要件は、2023年に次のいずれかに该当する外国公司にも适用范囲が拡大されました。
-
- 年间総収益が1兆ウォンを超える场合、
- 前年の最终3カ月间に、平均して一日当たり100万人を超える韩国のデータ主体の个人データを処理している场合、または
- 笔滨笔础第63条第1项に基づいた书类提出の要请を受けて、笔滨笔颁が指名が必要であると判断した场合。
代理人は、
-
- 外国公司が设立した国内法人、または
- 外国公司が支配的な影响力を行使する国内法人のいずれかから指名されなければなりません。外国公司は、指名された代理人を适切に管理および监督し、代理人の氏名、住所および电话番号がプライバシーポリシーに开示されるようにする必要があります。上记の要件に违反した场合、行政上の科料に処される可能性があります。
データ漏洩への対応
パートナー
Lee & Ko
ソウル
Tel: +82 2 772 4918
Email: kyungmin.son@leeko.com
データ管理者が个人情报の纷失、窃盗または不正な开示(データ漏洩)に気付いた场合、笔滨笔础第34条第1项およびその施行令第39条第1项に基づき、影响を受けたデータ主体に対して72时间以内に通知しなければなりません。通知には以下の事项が含まれる必要があります。
-
- 漏洩に该当する个人情报の种类
- 漏洩が発生した时刻および状况
- 漏洩に起因する潜在的な被害を軽减するために、データ主体が讲じることができる措置
- データ管理者が讲じた対策および救済の手続き
- 报告または申し立て対応を担当する部署の连络先
さらに、データ漏洩が以下に该当する场合は、データ管理者は72时间以内に笔滨笔颁または韩国インターネット振兴院(碍滨厂础)に报告しなければなりません。
-
- 1000人以上のデータ主体の个人情报が含まれる场合、
- 机微情报または固有の识别情报が含まれる场合、または
- データ管理者のデータシステムやデータ処理装置への不正な外部アクセスがあった场合(笔滨笔础第34条第3项およびその施行令第40条第1项)。データ漏洩に気付いてから72时间以内に、データ主体に通知または笔滨笔颁または碍滨厂础に报告しなかった场合、最大3000万ウォンの行政上の科料に処される可能性があります。
また、データ管理者の过失または故意の不正行為による漏洩の场合、データ主体は最大300万ウォンの赔偿を请求することができます。その场合、データ管理者は故意または过失がなかったことを証明しなければなりません(笔滨笔础第39条の2)。
データ漏洩の报告を受けた场合、または笔滨笔颁自身の监视によりその事态を认识した场合、笔滨笔颁はデータ管理者に対して関连资料の提出を要求することがあります。
もしデータ管理者がこれに応じない场合、または笔滨笔础违反であると判断された场合、笔滨笔颁は関连当事者の事业所敷地内に立ち入り検査を行うこともあります(笔滨笔础第63条)。また、调査への协力は行政上の科料の算定における軽减要因となる可能性があります。
Lee & Ko
Hanjin Building, 63 Namdaemun-ro
Jung-gu, Seoul, 04532, Korea
Tel: +82 2 772 4000
Email: mail@leeko.com
