韓国個人情報保護法の改正
第1 はじめに
韓国にも、日本と同様、個人情報保護に関する法制度が存在します。2020年2月4日、「個人情報保護法」、「情報通信網利用促進及び情報保護等に関する法律」及び「信用情報の利用及び保護に関する法律」の改正法が公布され、同年8月5日に施行されることとなりました(「信用情報の利用及び保護に関する法律」の一部については、公布後1年又は1年6ヶ月の範囲内に大統領令が定める日に施行予定)。今回は、これらの改正のうち、個人情報保護法の改正部分の主な内容について簡単にご紹介いたします。
第2 改正理由
韓国の国家法令情報センターによれば、以下の通り、個人情報保護法の改正理由が挙げられています(http://www.law.go.kr/LSW/lsRvsRsnListP.do?lsId=011357&chrClsCd=010102)。
「4次産業革命の時代を迎え、核心資源であるデータの利用活性化を通じた新産業の育成が汎国家的課題として台頭しており、特に、新産業の育成のためには、人工知能、クラウド、IoTなどの新技術を活用したデータの利用が必要であり、安全なデータ利用のための社会的規範の定立が急がれる状況である。しかし、現行法上、個人情報の保護監督機能は、行政安全部・放送通信委員会及び個人情保護委員会等に、個人情報保護関連法令は、個人情報保護法と「情報通信網利用促進及び情報保護等に関する法律」等に、それぞれ分散しており、新産業育成のためのデータ利用の活性化を支援するには限界があった。
これに応じて、情報主体の同意なしに科学的研究、統計作成、公益的記録保存などの目的のために仮名情報を利用することができる根拠を設けつつ、個人情報処理者の責任強化などの個人情報を安全に保護するための制度的装置を設ける一方、個人情報の不正使用及び乱用および流出等を監督する監督機関は、個人情報保護委員会に、関連する法律の類似及び重複する規定は、この法律に一元化することにより、個人情報の保護と関連産業の発展が調和されるように、個人情報保護関連法令を体系的に整備するものである。」
第3 主な改正内容
1 個人情報に関する概念整理及び仮名情報に関する規制
(1)個人情報に関する概念整理
改正された個人情報保護法では、個人情報に関する概念について、「個人情報」、「仮名情報」及び「匿名情報」に区分しました。
「個人情報」は、生存する個人に関する情報であって、①氏名、住民登録番号及び映像等を通じて個人を識別することのできる情報、②当該情報のみからは特定の個人を識別することができないが、他の情報と結合することにより容易に特定の個人を識別することのできる情報、又は③仮名情報、のいずれかに該当する情報と定義されました(第2条1号)。
「仮名情報」は、上記の①又は②の情報に仮名処理を施したことにより、元の情報へと復元するための追加情報なくしては特定の個人を識別することのできない情報と定義されました(2条1号タ)。
ここで、「仮名処理」とは、個人情報の一部を削除したり、一部または全部を代替するなどの方法で、追加情報がなければ特定の個人を認識することができないように処理することをいいます(第2条第1号の2新設)。
「匿名情報」は、時間・コスト・技術などを合理的に考慮した場合、他の情報を使用しても、これ以上個人を特定することができない情報をいい、個人情報保護法の適用対象外とされました(第58条の2)。
(2)仮名情報に関する規定(一部)
・個人情報の処理は、統計の作成、科学的研究、公益的記録の保存等のために、情報主体の同意なしに仮名情報を処理できますが、別の個人情報処理者との間の仮名情報の結合は、個人情報保護委員会または関係中央行政機関の長が指定する専門機関が行うようにしました(第28条の2及び第28条の3新設)。
・個人情報処理者は、仮名情報を処理する場合、当該情報が紛失・盗難・流出・偽造・変造または毀損されないように、安全性の確保に必要な技術的・管理的及び物理的な措置を講ずることとされました(第28条の4新設)。
・何人も、特定の個人を調べる目的で、仮名情報を処理してはならず、これに違反した個人情報処理者に対しては、全体の売上高の100分の3以下に該当する金額を課徴金として賦課することができるとされました(第28条の5及び第28条の6新設)。
2 当初の収集目的と合理的に関連する範囲内における個人情報の利用及び提供
現行法では、個人情報は、情報主体の同意を得た場合を除き、情報主体の同意を得て収集した目的の範囲内においてのみ利用及び提供が可能でしたが、改正法では、当初の収集目的と合理的に関連する範囲内で、情報主体に不利益が発生するかどうか、安全性の確保に必要な措置をしたかどうかなどを考慮して、情報主体の同意なしに個人情報を利用または提供することができるようになりました(第15条第3項及び第17条第4項新設)。この場合における個人情報の利用及び提供に関する詳細は、大統領令に委任されています。同改正点は、従前の制度からの大きな変更であり、改正理由であるデータ利用の活性化につながることが期待されます。
3 その他の改正
・個人情報保護委員会の所属を大統領所属から国務総理所属に変更し、「政府組織法」に基づく中央行政機関とし、現行の行政安全部と放送通信委員会の個人情報関連事務を、個人情報保護委員会に移管して、個人情報保護のコントロールタワーとしての機能を強化しました(第7条、第7条の8新設、附則第9条)。
・「情報通信網利用促進及び情報保護などに関する法律」上の個人情報保護に関する規定を同法に一本化することにより、情報通信サービス提供者等の個人情報の処理に関する特例等を規定しました(第6章の新設など)。
第4 終わりに
以上の通り、改正個人情報保護法の内容を簡単にご紹介しました。今後も、具体的な実例や規制の適用例、裁判例など、新たな情報がありましたら、ご紹介させていただきます。
また、日本においても、本年3月10日に、「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定がなされ、国会に提出されました。同改正法案では、「イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する」として、韓国と形式的には類似する改正内容が含まれています。今後、日韓の個人情報保護法制の比較検討等についても、取り組んでみたいと思います。