韓国個人情報保護法メモ④~個人情報収集・利用の際の規制について(現行法)※2023年9月15日に改正法施行済み
第1 はじめに
今回は、韓国個情法における、個人情報の収集(*)及び利用の際の規制について見ていきたいと思います。
*同法では「取得」ではなく「収集」という用語が用いられています。「収集」とは、情報主体から直接、氏名、住所、電話番号等の個人情報の提供を受ける場合のみならず情報主体に関するすべての形態の個人情報を取得することをいいます(個人情報保護員会標準個人情報保護指針(以下「標準指針」)6条1項)。
日本個情法では、個人情報の取得に際しては、
といった規制が、個人情報の利用に関しては、
といった規制がありますが、以下、韓国の個情法ではどのような規制があるのかについて見ていきます。
※なお、本稿で紹介する規定の多くは、わずか数週間後の9月15日に改正法が施行される予定ですのでご注意ください(改正法施行後に書けばよかったかも…)。改正法の内容については、「韓国個人情報保護法メモ④-2」として別稿でご紹介します。
第2 個人情報収集の際の韓国個情法の規制
1 個人情報保護原則
個情法3条では、個人情報処理者の義務として複数の原則を定めており、個人情報の収集に関しては、同条1項に下記のような規定があります。
以前の記事でも言及している、韓国の個人情報保護委員会が公表している、「개인정보 보호법령 및 지침·고시 해설」(個人情報保護法令及び指針・告示 解説。以下、「解説書」といいます。)の32pでは、上記の原則について、以下の通り例を挙げて説明されています。
解説書の31pでは、3条の基本原則を定めるにあたっては、個人情報処理に関連して国際的に通用されている原則を反映しているとされています。具体的には、
・1980年に制定された「OECDプライバシーガイドライン」上の個人情報保護8原則、EU加盟国の立法基準となる「個人情報保護指針」(95/46/EC, 1995)以降の「 一般個人情報保護法」(GDPR、2018)
・韓国が制定過程で決定的な役割を果たした「APECプライバシー原則」(2004)
・英国、スウェーデン、カナダ、香港、オーストラリア、ニュージーランドなどの「個人情報保護法」
などを参照したとされています(日本法は参照されていないようですね…)。
解説書32pでは、3条の基本原則の効果として、
という点が挙げられています。
また、韓国の大法院判決では、以下の通り、3条の規定による個人情報保護の原則を、個人情報処理者の行為の違法性を判断するための考慮事項として列挙しているものがあり(대법원 2017. 4. 7. 선고 2016도13263 판결)、単に抽象的な原則を定めるにとどまらないものとして理解しているとも読めます。
2 個人情報の収集・利用の要件
(1)同意の取得等
個人情報を収集・利用するためには、以下の要件①〜⑥のうち1つ以上の 要件を充足する必要があります(個情法15条1項)。すべての要件を詳細に検討することは分量の関係上難しいので、今回は、①情報主体が同意した場合をピックアップしてご紹介します(同意によらず収集・利用が可能な場合が、実務上は重要であることは承知の上で…)。その他の要件の詳細については、別途機会があればご紹介したいと思います。
※個情法15条は2023年9月15日に改正法が施行予定です。
(2)同意の取得の方法
解説書82pでは、個人情報処理者は、情報主体の同意を受けた場合に個人情報を収集することができるが、「同意」は、個人情報処理者が個人情報を収集・利用することに対する情報主体の自発的な承諾の意思表示として(署名押印、 口頭、ホームページの同意など)同意の有無を明確に確認できなければならないとされています。
また、個情法15条2項では、個人情報処理者が情報主体の同意を受けるときは、情報主体が同意の内容と意味を明確に知ることができるように、あらかじめ、以下の事項を知らせなければならないとされています。
さらに、個情法22条1項によれば、個人情報の収集および利用に関する同意を取得する場合は、各々の同意事項を明確に区分し、情報主体がこれらを明確に認識できるよう通知し、各々同意を取得する必要があります。
※同条は2023年9月15日に改正法が施行予定です。
同法施行令17条1項では、同意を取得する方法が以下のとおり列挙されています。
また、個情法22条2項では、同意を書面または電子文書によって取得する際には、以下の各事項を明確に表示する必要があると定められています。具体的には、①文字の大きさを最低9ポイント以上かつ他の内容より20%以上大きくする、②文字の色、太さ、または下線等を通じてその内容を明確に表示するといった対応が必要です(同法施行令17条2項、同法施行規則4条)。
(3)同意取得が可能な年齢等
個情法は、個人情報処理者が、満14歳未満の児童の個人情報を処理するために同意を得る必要がある場合、その法定代理人の同意を得なければならないと定めています(個情法22条6項)。また、この場合、個人情報処理者は、法定代理人の同意を得るために必要な最小限の情報を法定代理人の同意なくして当該児童から直接収集できます (同項)。
これに加え、情報通信サービス提供者の場合、満14歳未満の児童から同意を得る場合、大統領令(個情法施行令48条の3)に定める以下の方法により、 法定代理人の同意の有無を確認する義務があるとされています(個情法39条の3の4項)。
(4)公開されている情報の取得についての同意の要否
標準指針6条4項では、インターネットホームページ等の公開された媒体、場所などに情報主体が自身の個人情報を収集・利用してもよいという明示的な同意意思を表示したり、ホームページの性格、掲示物内容などに照らして社会通念上同意意思があったと認められれば、当該情報主体の個人情報は同意なく収集・利用することができるとされています。
大法院の判決も、既に公開された個人情報を収集・利用・提供等処理をするときは、情報主体の同意があったと客観的に認められる範囲内で、情報主体の別途の同意は不要であると見なければならないと判示しています(대법원 2016. 8. 17. 선고 2014다235080 판결)。なお、同判例の事案は以下のようなものでした。
(5)当初の収集目的と異なる目的での利用に関する例外規定
個情法15条3項は、当初の収集目的と合理的に関連する範囲内において、情報主体における不利益発生の有無、暗号化等の安全性確保に必要な措置の有無等を考慮して、大統領令で定めるところにより、情報主体の同意なしに、個人情報を利用することができると規定しています。
そして、「大統領令」にあたる個情法施行令14条の2の1項では、考慮要素として以下の点を挙げています。また、同2項では、個人情報処理者は、第1項各号の考慮事項に対する判断基準を30条第1項による個人情報処理方針に予め公開し、第31条第1項による個人情報保護責任者が当該基準に個人情報の追加利用または提供をしているかどうかを確認しなければならないとされています。
ア ①当初の収集目的と関連性があるかどうか
「関連性」については、当初の収集目的と追加的な利用・提供の目的が、双方の性質や傾向等において連関があるということを意味します(解説書94p)
解説書では、下記の関連判例が紹介されています(95p)。ただし、同条項そのものに関するものというわけではなく、他の法律において「関連性」という要件について判断している判例を紹介しているようです。
イ ②個人情報を収集した情況又は処理慣行に照らして、個人情報の追加の利用又は提供に対する予測可能性があるか否か
情況は、個人情報の収集目的・内容、追加的処理を行う個人情報処理者と情報主体との関係、現在の技術水準とその技術の発展速度など比較的具体的な事情を意味し、慣行は、個人情報処理が比較的長い期間定立されたという一般的事情を意味します(解説書95p)。また、 このような具体的事情や一般的事情を考慮する際に、個人情報を追加的に利用可能であると予測可能かどうかを考慮しなければなりません(同p)。
ウ ③情報主体の利益を不当に侵害するかどうか
情報主体の利益を不当に侵害するか否かは、情報主体の利益を実質的に侵害するのか、及び当該利益侵害が不当であるかを考慮しなければならず、 これらは追加の利用の目的や意図との関係で判断されるべきであるとされています(解説書95p)。
たとえば、情報主体が購入した財やサービスに関して、購入時に伝えられなかった事項を知らせる目的で連絡をしたことについて、多少情報主体が不便に感じ得るとしても、常に不当な侵害と断定することはできない。 反面、該当侵害内容が社会通念上許されにくい程度であれば、これは当然に不当な侵害とみなければならないとされています(同p)。
一方、侵害の有無が不確実な場合には、侵害可能性をより積極的に検討しなければならず、情報主体の予測可能性が高く、同時に安全措置を十分に行うことができる場合でなければ、追加的な利用ができないと考えられなければならない必要性は大きいとされています(96p)。
エ ④仮名処理又は暗号化など安全性確保に必要な措置を取ったか否か
同意のない個人情報利用による個人情報侵害の懸念を最小化するために、仮名処理又は暗号化など安全性確保に必要な措置をしなければならない。 なお、安全措置の内容は、仮名処理や暗号化等の措置にとどまらないところ、多様な行為者による侵害の可能性を積極的に考慮し、それに合った安全措置をしなければなりません(解説書96p)。参考資料として、「仮名処理ガイドライン」、「個人情報の暗号化措置ガイド」が挙げられています(同p)。
(6)第15条が適用されない場合
個情法58条2項及び3項は、これまで述べてきた場合のほか、以下の場合には、第15条が適用されないとしています。したがって、以下の場合は、同意等同条が求める要件を充足しない場合でも個人情報の取得が可能となります。
ア 映像情報処理機器を設置・運用して処理される個人情報の場合(個情法58条2項)
こちらについては調査しましたが情報が少ないため、確認でき次第加筆いたします。
イ 親睦団体の運営のために収集される会員の個人情報を収集・利用する場合(個情法58条3項)
親睦団体とは、オンラインおよびオフラインを問わず、ボランティア、趣味、政治、宗教など共通の関心事や目標を前提に団体を構成するメンバー相互間交わりながら和合を造成することを目的とする集まりをいいます(解説書93~94p)。
親睦団体の運営のための事項とは、以下のような事項をいいます(解説書94p)。
3 個人情報の収集・利用の制限
(1)収集制限
個情法16条では、個人情報の収集に関し、以下のような収集制限の規定が設けられています。
(2)利用制限
個情法18条では、個人情報の収集に関し、以下のような利用制限規定が設けられています。※同条は2023年9月15日に改正法が施行予定です。
4 敏感情報及び固有識別情報に関する規定
個情法では、「敏感情報」「固有識別情報」という用語が用いられており、それぞれに別途の規制を設けています。
「敏感情報」とは、思想・信念、労働組合・政党加入・退会、政治的見解、健康、性生活等に関する情報、その他の情報主体の私生活を著しく侵害するおそれがある個人情報として大統領令で定めたものをいいます。
「固有識別情報」とは、住民登録番号、パスポート番号、 運転免許番号、および外国人登録番号をいいます(個情法23条1項、24条1項及び同法施行令19条)。
敏感情報および固有識別情報については、①2(2)で述べた個情報15条2項に定める各事項を情報主体に通知し、別途同意を得た場合、または②法令で当該情報の処理を要求する場合もしくは許容する場合にのみ処理できます(同法23条1項および24条1項)。
また、固有識別情報のうち、住民登録番号の処理については、以下のいずれかに該当する場合にのみ認められています(同法24条の2第1項)。
なお、住民登録番号に関しては、個情法において、個人情報処理者は、情報主体がインターネットのホームページを通じて会員加入する段階で、住民登録番号を使用せず会員加入できる方法を提供する義務があるとしており、この点も注意が必要です(同条3 項)。
5 情報主体以外から収集した個人情報の収集源などの通知
個人情報処理者が情報主体以外から収集した個人情報を処理するときは、情報主体の要求があれば直ちに次の各号のすべての事項を情報主体に告知しなければなりません(個情法20条1項)。
※同条は2023年9月15日に改正法が施行予定です。
また、個人情報処理者が①5万人以上の情報主体に関して法第23条による民感情報又は法第24条第1項による固有識別情報を処理する者又は②100万人以上の情報主体に関して個人情報を処理する者のいずれかに該当する場合には、情報主体の要求がなくても、上記各号の事項を情報主体に告知しなければなりません(同条2項、同法施行令15条の2の1項)。この場合、書面・電話・文字送信・電子メールなど情報主体が容易に知ることができる方法で知らせ、情報主体に知らせた事実を(時期及び方法を含む)該当情報を破棄するまで管理しなければなりません(同条3項、同法施行令15条の2の2項・3項)。
ただし、①告知を要求する対象となる個人情報が第32条第2項各号のいずれかに該当する個人情報ファイルに含まれている場合、②告知により他人の生命・身体を害する恐れがある場合、又は他者の財産及びその他の利益を不当に侵害するおそれがある場合であって、告知をしない個人情報処理者の利益が個情法による情報主体の権利より明らかに優先する場合は、上記の事項を告知する必要はありません(個情法20条4項)。もっとも、個人情報処理者は、同規定に基づき同条1項に基づく情報主体の要求を拒否する場合、拒否の根拠と事由を情報主体の要求がある日から3日以内に知らせなければなりません(標準指針9条2項)。
6 罰則
韓国個情法は、日本個情法と比較して、個々の規制の違反に対する罰則が多く規定されています。今回の個人情報の収集・利用に関する規制との関連では、以下のような罰則が存在します。
なお、15条3項に関しては、それ自体では別途の罰則規定がありませんが、15条3項の要件を充足しない場合は、18条2項の定めにより、情報主体から別途の同意を得るか、他の法律に特別な定めがある場合等に該当しなければなりません(解説書99p)。したがって、この場合は、18条2項の要件を満たすかどうかにより、18条1項の違反に関する罰則条項の適用の可能性があります。この場合、5年以下の懲役又は5千万ウォン以下の罰金(71条2号)、情報通信サービス提供者等の場合はさらに、違反行為関連売上額の100分の3以下の課徴金(39条の15の1項1号)という規定が定められています。
第3 おわりに
以上の通り、今回は、韓国の個情法における、個人情報の収集及び利用の際の規制について確認しました。次回以降、法改正の内容についてもご紹介できればと思います。