第１　はじめに

　今や多くの事業者のウェブサイト等で公表されているプライバシーポリシーですが、日本の個情法上は、プライバシーポリシーの策定自体を直接義務付ける規定はありません。他方、韓国の個情法では、第２以下で述べるように、「個人情報処理方針」の樹立・公開が義務化されています。今回はざっくりとその内容を確認したいと思います。

第２　韓国個情法第30条

１　個人情報処理方針の樹立及び公開義務(同条第1項及び第2項)

　韓国個情法第30条は、以下の通り、個人情報処理者に、個人情報処理方針の樹立及び公開の義務を課しています。

제30조(개인정보 처리방침의 수립 및 공개)
①개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
②개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

第30条(個人情報処理方針の樹立及び公開)
①個人情報処理者は、次の各号の事項が含まれた個人情報の処理方針（以下「個人情報処理方針」という。）を定めなければならない。この場合、公共機関は、第32条により登録対象となる個人情報ファイルに対して個人情報処理方針を定める。 <改正 2016. 3. 29., 2020. 2. 4.>
1. 個人情報の処理目的
2. 個人情報の処理及び保有期間
3. 個人情報の三者提供に関する事項（該当する場合のみ定める）
3の2.個人情報の破棄手続及び破棄方法（第21条第1項ただし書により個人情報を保存しなければならない場合には、その保存根拠と保存する個人情報項目を含む）
4. 個人情報処理の委託に関する事項（該当する場合のみ定める）
5. 情報主体と法定代理人の権利・義務及びその行使方法に関する事項
6. 第31条による個人情報保護責任者の氏名又は個人情報保護業務及び関連苦情事項を処理する部署の名称及び電話番号等連絡先
7. インターネット接続情報ファイル等個人情報を自動的に収集する装置の設置・運営及びその拒否に関する事項（該当する場合のみ定める）
8. その他個人情報の処理について大統領令で定めた事項
②個人情報処理者が個人情報処理方針を樹立又は変更する場合には、情報主体が容易に確認できるように大統領令で定める方法により公開しなければならない。

　このうち、「8. その他個人情報の処理について大統領令で定めた事項」としては、個情法施行令第31条第1項に、①処理する個人情報の項目、②個人情報の安全性確保措置に関する事項が挙げられています。

　その他にも、「個人情報保護方針作成ガイドライン」(2020.12　個人情報保護委員会・韓国インターネット振興院。以下、「ガイドライン」といいます。)では、個情法の他の規定等に基づき、個人情報処理方針に定めるべき事項として、以下の事項を挙げています。ガイドラインは、こちらの一覧よりダウンロード可能です。
https://www.pipc.go.kr/np/cop/bbs/selectBoardList.do?bbsId=BS217&mCode=D010030000

・個人情報処理方針の変更に関する事項
・個人情報の閲覧請求を受付・処理する部署
・情報主体の権益侵害に対する救済方法
・個人情報を処理する場合仮名情報処理に関する事項（該当する場合のみ作成）
・国内代理人を指定した場合国内代理人の氏名（法人の場合その名称及び代表者の氏名）、住所（法人の場合営業所所在地）、電話番号及びメールアドレス（該当する場合のみ作成）
・追加的な利用・提供に関連する施行令第14条の2第1項各号の考慮事項に対する判断基準
・映像情報処理機器運営・管理に関する事項（個情法第25条第7項に基づく‘映像情報処理機器運営・管理方針’を個人情報処理方針に含めて定める場合）
・その他個人情報処理者が個人情報処理基準及び保護措置等に関して自律的に個人情報処理方針に含めて定める事項

　ガイドラインでは、各項目に関する解説や、記載例が掲載されています。各項目に関する詳細は、次回以降、また別途ご紹介できればと思います。

２　個別の契約との優劣関係(同条第3項)

③개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

③個人情報処理方針の内容と個人情報処理者と情報主体との間で締結した契約の内容が異なる場合には、情報主体に有利なものを適用する。

　情報主体と個人情報処理者との間で締結した契約中に、個人情報の処理に関する内容が含まれており、当該内容が個人情報処理方針の内容と異なる場合は、情報主体側に有利なものを適用するとされています。

３　作成指針の策定等(同条第4項)

④보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

④保護委員会は、個人情報処理方針の作成指針を定め、個人情報処理者にその遵守を推奨することができる。 <改正 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

　当該規定に基づき、2022年3月3日には、「個人情報処理方針作成指針」が公開されています（https://www.privacy.go.kr/a3sc/per/inf/perInfStep01.doよりダウンロード）。詳細を確認できていませんが、前述のガイドラインも同様に本条項に基づくものかもしれません。
同指針によれば、「この指針は、個人情報処理者が「個人情報保護法」（以下「法」）第30条の「個人情報処理方針」を個人情報処理に関する手続き及び基準等に関する事項を透明に作成及び公開するよう支援する目的で制定」され、「個人情報処理方針を法第3条による「個人情報保護原則」に基づいて作成することにより、個人情報処理方針が形式的ではなく、情報主体の権利を保障するための本来の趣旨に適合するように作成および公開されるように、具体的な事例および作成ガイドラインを提案する」ものであるとされています。PDFで116ページのボリュームで作成指針が解説されているものであり、今後どこかでご紹介したいと思います。

第３　おわりに

以上の通り、韓国の個情法では、個人情報処理方針の樹立・公開が法律上の義務となっており、個人情報保護委員会でも、作成指針を公開するなど、積極的な施策が取られています。こちらのリンク先（https://www.privacy.go.kr/a3sc/per/inf/perInfStep01.do）では、個人情報保護委員会が「個人情報処理方針新規作成」というサービスを提供しており、個人情報処理方針の名称を入力後、該当する事項にチェックを入れる等することで、個人情報処理方針のひな形を生成することができます。日本の個人情報保護委員会と比べると、かなり積極的な施策が取られていることがわかります。
次回以降のどこかで、個人情報処理方針に関する韓国個情法の具体的な規定について確認してみたいと思います。