韓国個人情報保護法メモ①~「個人情報」の定義~
第1 はじめに
昨年頃から、韓国法務案件の中で、韓国の個人情報保護法について検討しなければならない事案の相談が少しずつ増えてきました。今年は、韓国個人情報保護法を改めてしっかりと押さえておきたいと思い、以下の参考資料をもとに、少しずつnoteにまとめていくことにしました。今回は「個人情報」の定義についてまとめておきたいと思います(ひとまずある程度まとまった段階で公開し、今後随時内容を追記していきます)。
第2 韓国個人情報保護法における「個人情報」
1 定義
・韓国個人情報保護法第2条第1号
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1.“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게
결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는
다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용,
기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로
복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수
없는 정보(이하 “가명정보”라 한다)
第2条(定義)この法律で使用する用語の意義は、次の通りである。
1.「個人情報」とは、生存する個人に関する情報であって、以下の各目に該当する情報をいう。
イ 氏名、住民登録番号、映像などを通じて個人を識別することができる情報
ロ その情報だけでは、特定の個人を識別ことができなくても、他の情報と容易に結合して識別することができる情報。この場合、容易に結合できるかどうかは、他の情報の入手可能性など個人を識別するのに要する時間、費用、技術などを合理的に考慮しなければならない。
ハ イ目又はロ目を第1号の2により仮名処理することにより、元の状態に復元するための追加情報の使用・結合なしには特定個人を識別することができない情報(以下「仮名情報」という。)
2 定義の詳細
①「生存する」個人に関する情報
・ 死亡者の情報であっても、遺族との関係を知ることができる情報は遺族の個人情報に該当する。
②「個人に関する」情報
・ 法人又は団体の氏名、所在地住所、代表連絡先(メールアドレス又は電話番号)、業務別連絡先、営業実績等は個人情報に該当しない。
・ 個人事業者の商号名、事業所住所、電話番号、事業者登録番号、売上額、納税額等は事業体の運営に関する情報として原則的に個人情報に該当しない。
・ ただし、法人又は団体に関する情報であり、同時に個人に関する情報である代表者を含む役員陣と業務担当者の氏名・住民登録番号・自宅住所及び個人連絡先、写真等それ自体で個人を識別できる情報は、個別の状況に応じて、法人等の情報にとどまらず個人情報として取り扱われうる。
・ 人でない事物に関する情報は原則として個人情報に該当しない。ただし、当該事物等の製造者又は所有者等を示す情報は個人情報に該当する。
・ 「個人に関する情報」は必ずしも特定の一人だけに関する情報でなければならないという意味ではなく、直・間接的に2人以上に関する情報は、各自の情報に該当する。
・ 個人情報に該当するかどうかは具体的な状況に応じて異なって評価されうる。下記の裁判例は、「携帯電話番号の末尾4桁」を個人情報に該当するとした例であるが、これは、他の情報との結合可能性等を考慮して、個人識別可能性があることから個人情報に該当すると判断したものであり、仮に、他に結合可能な情報が一切なく、単に携帯電話番号の末尾4桁だけの情報が存在する場合には、個人情報に該当しないと考えるべきとされている。
*大田地方法院論山支院(2013고단17 判決)
「携帯電話番号の末尾4文字」について、携帯電話番号の末尾4文字だけでも、その電話番号使用者が誰であるかを識別できる場合があり、特に、その電話番号使用者と一定の人的関係を結んできた人であれば、よりその可能性が高く、たとえ携帯電話番号の末尾4文字だけではその電話番号の使用者を識別できなくても、その末尾4文字と関連性のある他の情報(誕生日、記念日、家の電話番号、家族の電話番号、既存の通話履歴など)と容易に結合し、その電話番号の使用者が誰であるかを調べることもできるとし、個人情報保護法第2条第1号に規定された個人情報に該当すると判示。
③「情報」:内容・形態等には制限がない
・ 情報の内容・形態等は特別な制限がなく、個人を識別できるすべての情報が個人情報となる。すなわち、デジタル形態や手書き形態、自動処理や手動処理等、その形態または処理方式に関係なく、すべてが個人情報に該当しうる。
・ 情報主体と関連していれば、身長・年齢・体重等「客観的事実」に関する情報や、その人に対する第三者の意見等の「主観的評価」情報もすべて個人情報に該当しうる。
・ 当該情報が必ずしも「事実」であるか「証明されたもの」でない不正確な情報または虚偽の情報であっても特定の個人に関する情報であれば個人情報に該当しうる。
*大法院2016.03.10. 宣告 2012다105482判決
個人情報とは、個人の身体、信念、社会的地位、身分などの人格主体性を特徴づける事項として個人の同一性を識別できるようにする一切の情報を意味し、必ずしも個人の内密な領域に属する情報に限定されず、公的生活で形成された、または既に公開された個人情報までも含まれる。
④姓名、住民登録番号、映像などを通じて個人を「識別することができる」情報
・ 当該情報を「処理する者」(※)の立場から合理的に活用される可能性のある手段を考慮して、個人を識別することができれば個人情報に該当する。
・ 現在「処理する者」に該当しない場合でも、提供等に応じて「今後処理が予定される者」も含まれる。
・ 「処理」とは、法第2条第2号による個人情報の収集、生成、連携、連動、記録、保存、保有、加工、編集、検索、出力、訂正、復旧、利用、提供、公開、破棄、その他これと同様の行為をいう。
・ 住民登録番号のような固有識別情報は、当該情報だけでも情報主体である個人を知ることができるが、生年月日の場合には同日生まれた人が複数の人である可能性があるため、他情報なしで生年月日そのものだけでは個人を識別することができると見ることはできない。
※補足
韓国の個人情報保護法では、「個人情報処理者」(第2条第5号)、「個人情報取扱者」(第28条第1項)という分類がなされています。これについて、解説書20pでは、GDPRの「Controller」、「Processor」概念と比較した表が掲載されています。また次回以降に整理できればと思いますが、解説書では、「個人情報保護法」は処理者中心で規律する反面、GDPRでは「Controller」、「Processor」の両者をともに規律しているとし、その違いについて触れています。
⑤他の情報と「容易に結合」して識別できる情報も含まれる
・ 他の情報と容易に結合して特定の個人を識別することができれば個人情報に該当する。
・ ここで「入手可能性」は、2つ以上の情報を結合するためにその結合に必要な他の情報に合法的に接近し、これに対する支配力を確保できるものでなければならず、ハッキング等不法な方法で取得した情報まで含むものではない。
・ また、他の情報と簡単に組み合わせることができるかどうかは、入手可能性のほか、現在の技術レベルや十分に予見できる技術発展などを考慮して、時間や費用、努力が、非合理的に過多に伴うものであってはならない。したがって、一般的に事業者が購入しにくいほど高価なコンピュータが必要な場合には、「容易に結合」することが難しいと見なければならない。
⑥仮名情報
・ 仮名情報とは、法第2条第1号イ目又はロ目による個人情報について、第1号の2による仮名処理を行い、元の状態に復元するための追加情報の使用・結合なしでは、特定個人を識別することができない情報(以下「仮名情報」)であり、これらの仮名情報も個人情報に該当する。
・ 仮名情報は、データの安全な活用のために導入された概念であり、基本的に個人情報に該当するという点で、法第58条の2(※)に規定されている、「時間・費用・技術などを合理的に考慮するとき、他の情報を使ってもこれ以上個人を知ることができない情報」とは異なる。
※第58条の2(適用除外) この法律は、時間・費用・技術等を合理的に考慮した際、他の情報を使用しても、もはや個人を識別することができない情報には適用しない。
・ 仮名情報と第2条第1号ロ目の個人情報は、いずれも当該情報だけでは特定個人を識別することができないが、仮名情報は、「追加情報」の使用・結合を通じて特定個人を識別することができる情報である点で、他の情報と容易に結合して特定個人を識別することができる情報である第2条第1号ロ目の個人情報と区分される。
・ 「追加情報」とは、仮名処理の過程において、個人情報の全部又は一部を代替するにあたって利用された手段や方式(アルゴリズム等)、仮名情報との比較・対照等を通じて削除または代替された個人情報部分を復元できる情報をいう。
・ 第 2 条第 1 号ロ目の「他の情報」と、仮名情報における「追加情報」は、該当情報と結合して特定個人を識別できるようにする情報に該当する。ただし、「他の情報」は、該当情報と結合して特定個人を識別できるようにする情報であれば、処理する者が保有しているか、合法的にアクセス・入手可能な情報の全てが「他の情報」に該当しうるが、「追加情報」は、仮命処理の過程で生成・使用される情報に制限される。
・ また、「追加情報」は、該当情報を仮名処理前情報に戻すことができる情報(復元できる情報)である点で、特定個人を識別可能にする「他の情報」と区別される。
3 日本の個人情報保護法における定義との比較
※追記予定です。
第3 終わりに
今回は、韓国の個人情報保護法における「個人情報」の定義について確認しました。次回は、日本の個人情報保護法では、「個人情報」、「個人データ」、「保有個人データ」のような整理がなされていますが、韓国の個人情報保護法においてはどのような整理がなされているのか、日本との違いがあるとすればどのような点に違いがあるのかについてまとめてみたいと思います(予定)。