韓国個人情報保護法メモ②~「情報主体」「個人情報ファイル」「個人情報処理者」~
第1 はじめに
今年の1月から、韓国個人情報保護法(以下、「韓国個情法」といいます。)について、韓国の個人情報保護委員会が公表している、「개인정보 보호법령 및 지침·고시 해설」(個人情報保護法令及び指針・告示 解説。以下、「解説書」といいます。)という500ページを超える逐条解説資料を参考にしつつ、可能な範囲で整理してみようと試みています。初回は、韓国個人情報保護法における「個人情報」の定義について確認しました。
今回は、その他の定義のうち、「情報主体」(日本の個情報法における「本人」に相当)、「個人情報ファイル」(日本の個情法における「個人情報データベース等」に相当)、「個人情報処理者」(日本の個情法における「個人情報取扱事業者」に相当)の各定義について確認してみたいと思います。
第2 「情報主体」
1 定義(韓国個情法第2条第3号)
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그
정보의 주체가 되는 사람을 말한다.
3.「情報主体」とは、処理される情報により識別することができる者であって、その情報の主体となる者をいう。
2 内容
韓国個報法における権利の帰属及び行使主体にあたるのが「情報主体」です。
①処理される情報によって識別することができる人であること
②法人や団体ではなく生存する人であること
③処理される情報の主体となる者であること
の3つを充足する場合に、同法の保護を受ける情報主体にあたることとなります(解説書16p)。
当該人が生存する人である限り、国籍や身分に関係なく、誰もが情報主体に該当しうることとなります。そのため、韓国国籍を持っていない外国人も、同法により個人情報が処理される場合には情報主体になることができ、消費者、労働者、学生、教師、軍人、公務員、患者、被疑者、受刑者、行政措置対象者など、誰でも公平にこの法律によって保護を受ける情報主体になることができます(解説書16p)。
第3 「個人情報ファイル」
1 定義(韓国個情法第2条第4号)
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
4. 「個人情報ファイル」とは、個人情報を容易に検索できるように、一定の規則に従って体系的に配列したり構成した個人情報の集合物をいう。
日本の個情法における「個人情報データベース等」の、「個人情報を含む情報の集合物」であって、「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」という定義に概ね近いものかと思われます。「一定の規則に従って体系的に配列」という定義からは、データベースのテーブルっぽさが出ていて、よりイメージしやすい気がします。
2 内容
解説書17pでは、個人情報ファイルについて、具体的に、「個人の名前や固有識別情報、IDなどをインデックスや検索値として簡単に検索できるように体系的に配列・構成した集合物をいう。個人情報ファイルは一般的に電子的形態で構成されたデータベース(database; DB)を意味することが多いが、その他に体系的な検索・閲覧のための索引となっている手記文書資料なども含まれる。」とされていて、代表的な例として、
・企業で顧客の氏名、IDなどで検索・利用が可能に構成された顧客情報データベース
・病院で患者に対して作成された診療記録部ファイル
・公共機関で管理する各種行政処分履歴ファイル
などが挙げられています。ただし、個人情報が記載されている文書の単純な集合物に過ぎず、体系的に配列・検索できるように構成されていない場合は、個人情報ファイルに該当しません。
解説書17pでは、ドライブレコーダー(韓国では「ブラックボックス」といいます。)で撮影された映像の個人情報ファイル該当性について、「ブラックボックスで撮影された映像情報は、撮影日時などに応じて体系的に配列して保存されるため、個人情報ファイルに該当する。」とした個人情報保護委員会の決定が紹介されています(保護委員会決定第2017-13-100号)。
第4 「個人情報処理者」
1 定義(韓国個情法第2条第5号)
5.“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
5.「個人情報処理者」とは、業務を目的として個人情報ファイルを運用するために、自らまたは他人を通じて個人情報を処理する公共機関、法人、団体、および個人等をいう。
韓国個情法上、個人情報処理者は「個人情報取扱者」と区分されています。 個人情報処理者は個人情報を処理する公共機関や事業者・団体などを意味するのに対し、個人情報取扱者は個人情報処理者の指揮・監督を受けて個人情報を処理する役職員、派遣労働者、時間制労働者などをいうとされています(同法第28条第1項参照)。
2 内容
(1)業務を目的とすること
個人情報処理者に該当するためには、「業務を目的」として個人情報を処理していることが要件となります。純粋な個人的な活動や家事活動のために個人情報を収集・利用・提供する者は、個人情報処理者に該当しません(解説書18p)。
例)個人的な身分関係のために携帯電話に連絡先情報、電子メールアドレス帳などを保存する場合
「業務」とは、職業上または社会生活上の地位に基づき継続的に従事する事務や事業の一切を意味するもので、報酬の有無や営利の有無とは関係がなく、たった1回の行為でも継続・繰り返しの意思があれば業務にあたるといえます。他方、業務とは職業上または社会生活上の地位に起因しなければならないため、知人に集まりを案内するために電話番号および電子メールアドレスを収集する行為や結婚を知らせるために招待状を送る行為などは業務を目的としたものとはいえません。
(2)個人情報ファイルを運用するためのものであること
解説書19pでは、以下の通り、日本の個人情報保護法への言及が見られます。
EUの「一般個人情報保護法」(GDPR、2018)をはじめ、イギリス、日本などの個人情報保護法令もすべての個人情報ではなく、特定のファイル体系の一部を構成していたり、構成するように予定されていたり、そのような意図で処理される個人情報に限り、当該法令の適用を受けるよう規定している。
一回性のメモや文書作成行為まで、個人情報処理とみると、法が個人の些細な行為にまで規制することになり、不合理な結果を招くことになります。このため、個人情報の収集・利用・提供等に対する同意、個人情報に対する保護措置等の義務を課す対象は、個人情報ファイルを運用する者に限定し、規制の合目的性と実効性を担保しようとした、とされています(解説書19p)。
(3)自ら又は他者を通じて個人情報を処理する者であること
自分が個人情報を収集、加工、編集、利用、提供、送信することなく、他の人、例えば受託者、代理人、履行補助者などを通じて処理する場合にも個人情報処理者に該当します(解説書19p)。
(4)公共機関、法人、団体、個人等であること
個人情報処理者は、公共機関、営利・非営利法人、営利・非営利団体、個人がすべて含まれます。公共部門と民間部門がすべて含まれ、株式会社のような営利企業はもちろん、同窓会・同好会のような非営利団体も含まれます。また、個人には、一人の事業者、個人活動家など、本人の業務を目的に個人情報を処理する場合が含まれます(解説書19p)。
ただし、ここでいう「個人」は、「本人の業務を目的として個人情報を処理する者」であるため、「公共機関、営利・非営利法人、営利・非営利団体、個人」の「代理人、使用人、その他の従業員としての地位にある個人」は個人情報処理者に該当しません(解説書19p)。
第5 おわりに
以上の通り、韓国個報法における「情報主体」、「個人情報ファイル」、「個人情報処理者」の定義についてそれぞれ見てみました。次回以降は、具体的に韓国個情法においてどのような規制が設けられているのか等について見ていきたいと思います。