韓国個人情報保護法メモ⑤‐2 2023年改正法における個人情報処理関連規定の改正~個人情報収集・利用及び提供

第1 はじめに

 今回は、前回の記事でご紹介した韓国の個人情報保護委員会(PIPC)の「個人情報保護法及び施行令改正事項案内」(2023年12月29日公表。以下「改正事項案内」といいます。)で紹介されている、個人情報処理関連規定のうち、個人情報の収集・利用及び提供に関する規定の改正についてご紹介したいと思います。

第2 概要

 改正事項案内では、個人情報の収集・利用及び提供に関する規定の改正概要について、以下の通り紹介されています(1p)。

①個人情報を収集・利用及び提供する要件が、情報通信サービス提供者(オンライン事業者)と公共機関・オフライン等個人情報処理者とで互いに異なって規律されているため、個人情報処理要件を一元化しながら、現場の意見を反映して一部要件を整備した。
特に、個人情報処理者が個人情報を収集・利用・提供する過程で、情報主体が自由な意思によって同意するかどうかを決定できない状態においては、情報主体に対し同意するように強制できないようにするが、契約履行等のように、情報主体が十分に予想できる合理的範囲内では、個人情報を収集・利用できるように改善した。
②また、国民の急迫した生命・身体・財産の利益保護、公衆衛生など公共の安全と安寧のために緊急に必要な場合等の状況では、優先して個人情報を収集・利用・提供できるようにする代わりに、安全措置 ・破棄・情報主体の権利等の規定を遵守するようにした。

第3 改正内容

画像
引用:改正事項案内4p

1 個人情報収集・利用要件の改善(法第15条)

(1)情報通信サービス提供者の場合にも法第15条適用(改正事項案内4p)

  情報通信サービス提供者(*)の場合、従前、法第39条の3が適用され、個人情報の収集・利用について独自の規制が適用されていましたが、今回の改正により当該規定が削除されたため、今後は、すべての個人情報処理者には、法第15条が適用され、同条第1項第1号から第7号までの事由のいずれかに該当する場合には、個人情報を収集することができ、その収集目的の範囲で利用できるようになりました。
*情報通信網法で定義されている用語で、「電気通信事業者及び営利を目的に電気通信事業者の役務を活用して情報を提供したり、情報を仲介する」事業者をいい、インターネットショッピング・ポータルサイト・オンラインゲーム・SNSなどオンラインでサービスを提供する者を含みます。

(2)個人情報収集・利用要件(第15条第1項)の変更(改正事項案内4~6p)
①情報主体の同意を受けた場合(第1号)
個人情報処理者は、情報主体の同意を受けた場合には、個人情報を収集して利用することができます。 個人情報処理者は、法第15条第1項第2号から第7号までの要件のいずれかを満たす場合、情報主体から同意を受けていなくても個人情報を収集・利用できるため、情報主体が同意しないという理由で財貨 やサービス提供自体を拒否してはならないとされています(第22条第5項参照)。

②情報主体と締結した契約を履行したり、契約を締結する過程で情報主体の要請に応じた措置を履行するために必要な場合(第4号)
個人情報処理者と情報主体相互間で締結した契約を履行したり、契約締結のための準備段階で情報主体の要請により契約に関する事実関係の確認などの措置が必要な場合には、情報主体から別途の同意なしに個人情報を収集して利用することができます。 この場合も、契約が締結されなかった場合は、収集した個人情報を直ちに破棄しなければなりません。ただし、契約が締結されなかった場合でも一定期間保有することに対する同意を受けたり(第1号)、不正な会員加入の防止など個人情報処理者の正当な利益のために必要な場合(第6号)には合理的な期間内で保有後、破棄することができます。
従前は、情報主体との契約締結・履行のために「不可避」に必要な場合に限定されていましたが、今回の改正により、「不可避」要件が削除され、個人情報処理者と情報主体が契約に関して相互に予想できる合理的な範囲内では、相互の信頼に基づいて、別途の同意なしに個人情報を収集して利用できるようになりました。
改正事項案内では、<情報主体の同意が必要ない契約関連事例>として、以下のような事例が紹介されています。

事例1 情報主体と締結した契約を履行するために必要な場合
・インターネットショッピングモールが顧客から購入商品の注文を受けて決済-配送-アフターサービスなど契約履行のために住所、連絡先、決済情報などを収集して利用する場合
・販売した商品に対するアフターサービスの相談のために電話した顧客の氏名、連絡先、商品情報などを収集して利用する場合
・会議に出席した専門家等に出席手当を支給するため、氏名、口座情報、連絡先等を収集して手当支給に利用する場合
・デパートで商品購入や配送サービスのために決済情報(カード情報等)と配送情報(住所、連絡先)など契約履行のために「不可避に」必要な個人情報以外に、誤配送などの防止のために名前、Eメール、集電話番号 、配送希望時間などの個人情報を収集して配送目的で利用する場合
・アパート管理事務所がアパート入居者とアパート管理サービス契約締結及び履行のために世帯主名、連絡先、車両番号など、不可避に必要な個人情報の他に、アパート管理サービス提供のために必要な範囲内で、居住者数、ペットの情報等の個人情報を収集して利用する場合
∙ オーダーメイドのマッチングが契約の本質的な内容である場合として、サービス利用契約によりオーダーメイドのマッチングを提供するために利用者の検索記録などを収集して利用する場合
・デジタルサービス利用者の保護を目的として、セキュリティリスク、悪用事例(スパム、マルウェア、違法コンテンツとう)などの検知および予防のために、サービス利用契約により利用者の個人情報を収集して利用する場合

事例2 情報主体と契約を締結する過程で、情報主体の要請に応じた措置を履行するために必要な場合
・ インターネットサービス利用のために会員登録を要請した情報主体との利用契約締結のために、名前、連絡先、生成IDなどの個人情報を収集する場合
・公認仲介士(※注:日本でいう宅地建物取引士のような資格)が不動産取引仲介契約締結のために不動産所有者、権利関係などをあらかじめ調査・確認するために個人情報を収集する場合
・会社が就職支援者と勤労契約締結前に志願者の履歴書、卒業証明書、成績証明書などの情報を収集・利用する場合

③明白に情報主体または第三者の急迫な生命・身体・財産の利益のために必要であると認められる場合(第5号)

 従前の要件のうち「情報主体またはその法定代理人が意思表示ができない状態にあったり、住所不明等で事前同意を受けられない場合」という文言が削除され、明白に情報主体または第三者の急迫した生命、身体、財産の利益のために必要と認められる場合、国民の生命など保護のために優先して個人情報の収集・利用が可能になりました。

④公衆衛生など公共の安全と安寧のために緊急に必要な場合(第7号)
従前の法第58条(適用の一部を除く)第1項第3号では、「公衆衛生等公共の安全と安寧のために緊急に必要な場合として一時的に処理される個人情報」の場合には、第3章から第7章までを適用しない旨規定されていました。
新型コロナウイルスが拡散した状況において、当該個人情報が安全措置、破棄、情報主体の権利等の規定を適用排除することにより発生する可能性のある問題に対する補完の必要性が提起され、これに基づき、法第58条第1項第3号を削除し、個人情報保護法が適用されるようにしつつ、「公衆衛生、公共の安全のために緊急に必要な場合」には、情報主体の同意なく個人情報を収集・利用及び提供できるようにしました(法第15条第1項、第17条第1項、第18条第2項の事由に追加して規定)。

2 個人情報の目的範囲内提供要件の改善(第17条)(改正事項案内6p)

 個人情報処理者が情報主体の個人情報を第三者に提供できる要件に、従前の法第15条第1項第2号、第3号、第5号の他に、同条第6号と第7号を追加しました。これにより、個人情報処理者の正当な利益を達成するために必要な場合として明らかに情報主体の権利より優先する場合(第6号)と公衆衛生など公共の安全と安寧のために緊急に必要な場合(第7号) には、その目的の範囲で、情報主体の同意なく個人情報を第三者に提供できるようになりました。

3 個人情報の目的以外の利用・提供要件の改善(第18条)

(1)全ての個人情報処理者に対して同一要件適用:第18条第2項ただし書(改正事項案内6p)
従前、情報通信サービス提供者の場合には情報主体から別途の同意を受けた場合(第1号)、他の法律に特別な規定がある場合(第2号)のみ目的外利用・提供が可能と規定していた第18条第2項ただし書の規定を削除し、すべての個人情報処理者が同じ要件を適用されることとなりました。ただし、公共機関にのみ適用される第5号から第9号までの要件は維持されています。

(2)個人情報の目的以外の利用・提供要件の改善:第18条第2項第3号・第10号(改正事項案内7p)

従前、「情報主体またはその法定代理人が意思表示ができない状態にあったり、住所不明などで事前同意を受けられない場合として」という制約がありましたが、同文言が削除され、明白に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要と認められる場合(第3号)には、同意がなくても第三者に目的外利用・提供が可能となりました。
改正事項案内では、「明白に情報主体または第三者の急迫した生命、身体、財産の利益のために必要な場合」として、以下のような事例が紹介されています。

・レンタカーサービス事業者が、児童を対象とした犯罪が予想される急迫した状況で、関係機関から、救助のためにレンタカーサービス利用者である犯罪者の住所等の情報を提供してもらうよう要請された場合
・災害、行方不明等、国民の生命、身体に対する危険が急迫した状況で、迅速な救助のためにCCTV映像などの提供を要請された場合で、関係機関に該当情報を優先して提供する場合

 また、公衆衛生等公共の安全と安寧のために緊急に必要な場合(第10号)にも、定めた利用目的以外での利用や第三者提供提供が可能となりました。 ただし、この場合も、個人情報保護法で規定している安全措置、破棄、情報主体の権利保障等の措置は履行しなければならないとされています。

4 個人情報を追加的に利用・提供できる場合(法第15条第3項・第17条第4項、令第14条の2)(改正事項案内7~9p)

 個人情報処理者は、情報主体の同意なしに個人情報を利用または提供しようとする場合には、

①当初の収集目的と関連性があるか否か
②個人情報を収集した状況または処理慣行に照らしてみるとき、個人情報の追加的な利用または提供に対する予測可能性があるか否か
③情報主体の利益を不当に侵害するか否か
④仮名処理又は暗号化等安全性確保に必要な措置を行ったか否か

を考慮して追加的な利用又は提供をするか否かを決定しなければならないとされています 。
改正前は、考慮事項に対する判断基準を個人情報処理方針にあらかじめ公開しなければならないとされていたところ、今回の改正では、個人情報の追加的な利用または提供をしなければならない個別の状況をあらかじめ予測して公開することが難しい点を考慮し個人情報の追加的な利用又は提供が「持続的に発生する」 場合に限り公開を義務付けることとされました。
改正事項案内8pでは、個人情報の追加的な利用・提供に関し、個人事業者と情報主体をつなぐ仲介サービスの場合を例に挙げ、以下の通り解説しています。

○仲介サービスの場合には、サービス利用契約の内容の中に、情報主体の個人情報を第三者(個人事業者)に提供して初めて配送などの契約履行が可能であるという状況が前提として想定されているため、当該個人情報の提供は当初収集目的と合理的に関連する範囲内にあると見ることができる。
○この場合、
①情報主体は、仲介サービス事業者との契約過程で個人情報が第三者に提供されるという事実を十分に予測することができるという点、
②当事者間の自由な意思による契約を履行するためのものであり、情報主体の利益を不当に侵害しないという点、
③同意を受けなければならないとする場合、同意しなければサービス利用自体が不可能になり、情報主体の選択権をむしろ制約することになりうるという点、
④サービスの特性によって多様な侵害の可能性を積極的に考慮し、それに合った安全性確保に必要な措置(例:タクシー仲介サービスでの安心番号(※筆者注:韓国で用いられている、個人情報保護のために設定される仮想の電話番号))を行うことも可能である点
などを考慮すると、仲介事業者が情報主体の個人情報を第三者に提供することは当初個人情報を収集した目的に関連する範囲内でさらに提供されたものと見なすことができる。
○この場合、仲介サービス利用契約の履行に関連して継続的に発生する場合に該当するため、個人情報処理方針を通じて考慮事項に対する判断基準を具体的に公開し、個人情報保護責任者が当該基準に従い個人情報の 追加の利用または提供をしているかどうかを確認しなければならない。
○ ただし、当該仲介サービスの本質的な内容に個人情報の提供が含まれておらず、情報主体が個人情報の提供事実と提供される者等を予測しにくい場合には、目的の範囲内であっても、他の同意と区分してそれぞれ同意を受けなければならない。

また、改正事項案内は、個人情報の追加的な利用・提供が継続的に発生する場合と一回的に発生する場合について、以下の通り事例を紹介しています。

事例 追加的な利用・提供が継続的に発生する場合
・情報主体がタクシー仲介サービスアプリを利用するために利用契約を締結し、当該タクシー仲介サービスアプリ事業者が、情報主体の要請に応じたタクシー呼び出しのために情報主体の個人情報を第三者であるタクシー運転手に提供する場合
・インターネットショッピングモール事業者が商品仲介サービス契約履行のために収集した情報主体の個人情報を該当インターネットショッピングモールに入店している第三者である商品販売者に配送などの契約履行を目的に提供する場合
・通信販売仲介プラットフォーム事業者がプラットフォーム入店事業者と顧客を連結するプラットフォームを通じてプラットフォーム利用者の氏名、住所、連絡先、注文履歴、決済履歴等の個人情報を取引確認及び配送等のための目的で入店事業者に提供する場合
・通信課金サービス提供者が小額決済など携帯電話決済サービスを提供する過程でサービス利用契約を締結し、通信課金サービスを利用中の情報主体の加入者識別情報、決済日時・決済金額など決済内訳情報を決済目的で携帯通信会社に提供する場合
・人的資源(HR)採用プラットフォーム事業者が求職支援サービスを提供する過程で情報主体が入社を志願する企業に情報主体の履歴情報などを提供する場合

事例 追加的な利用・提供が一回的に発生する場合
・化粧品を販売した小売店が、消費者(情報主体)の同意を得て収集した連絡先情報を、化粧品製造会社が行う消費者保護目的のリコール実施のために化粧品製造会社に提供する場合
・顧客が店舗で購入した物品を持ち帰るのを忘れ、他の顧客が誤ってその物品を持ち帰った場合で、店舗が物品を持ち帰った顧客に連絡して物品の返還を要請するために利用する場合
・企業・機関等が労働者の経歴を証明できる、労働に関連する個人情報を適法に保有している場合であって、労働者の経歴証明のために就業規則に明示された経歴証明書の発行期間が経過した後、労働者の要請に応じて経歴証明書を発行するために個人情報を追加利用する場合

第4 制裁規定

 個人情報の収集・利用及び提供に関する規定の違反に関しては、個人情報保護法上以下のような制裁規定が設けられています。

画像
※改正事項案内11pの表を翻訳し一部加筆

第5 終わりに

 改正事項案内には、上記のほか、個人情報処理者の留意事項(9~10p)、Q&A(11~12p)も掲載されており、実務においては、これらの記載も参照いただくことになるかと思います。

 次回以降、引き続き改正事項案内に基づき改正内容について紹介したいと思います。

記事⼀覧へ戻る