韓国個人情報保護法メモ⑤‐2 2023年改正法における個人情報処理関連規定の改正~個人情報収集・利用及び提供
第1 はじめに
今回は、前回の記事でご紹介した韓国の個人情報保護委員会(PIPC)の「個人情報保護法及び施行令改正事項案内」(2023年12月29日公表。以下「改正事項案内」といいます。)で紹介されている、個人情報処理関連規定のうち、個人情報の収集・利用及び提供に関する規定の改正についてご紹介したいと思います。
第2 概要
改正事項案内では、個人情報の収集・利用及び提供に関する規定の改正概要について、以下の通り紹介されています(1p)。
第3 改正内容
1 個人情報収集・利用要件の改善(法第15条)
(1)情報通信サービス提供者の場合にも法第15条適用(改正事項案内4p)
情報通信サービス提供者(*)の場合、従前、法第39条の3が適用され、個人情報の収集・利用について独自の規制が適用されていましたが、今回の改正により当該規定が削除されたため、今後は、すべての個人情報処理者には、法第15条が適用され、同条第1項第1号から第7号までの事由のいずれかに該当する場合には、個人情報を収集することができ、その収集目的の範囲で利用できるようになりました。
*情報通信網法で定義されている用語で、「電気通信事業者及び営利を目的に電気通信事業者の役務を活用して情報を提供したり、情報を仲介する」事業者をいい、インターネットショッピング・ポータルサイト・オンラインゲーム・SNSなどオンラインでサービスを提供する者を含みます。
(2)個人情報収集・利用要件(第15条第1項)の変更(改正事項案内4~6p)
①情報主体の同意を受けた場合(第1号)
個人情報処理者は、情報主体の同意を受けた場合には、個人情報を収集して利用することができます。 個人情報処理者は、法第15条第1項第2号から第7号までの要件のいずれかを満たす場合、情報主体から同意を受けていなくても個人情報を収集・利用できるため、情報主体が同意しないという理由で財貨 やサービス提供自体を拒否してはならないとされています(第22条第5項参照)。
②情報主体と締結した契約を履行したり、契約を締結する過程で情報主体の要請に応じた措置を履行するために必要な場合(第4号)
個人情報処理者と情報主体相互間で締結した契約を履行したり、契約締結のための準備段階で情報主体の要請により契約に関する事実関係の確認などの措置が必要な場合には、情報主体から別途の同意なしに個人情報を収集して利用することができます。 この場合も、契約が締結されなかった場合は、収集した個人情報を直ちに破棄しなければなりません。ただし、契約が締結されなかった場合でも一定期間保有することに対する同意を受けたり(第1号)、不正な会員加入の防止など個人情報処理者の正当な利益のために必要な場合(第6号)には合理的な期間内で保有後、破棄することができます。
従前は、情報主体との契約締結・履行のために「不可避」に必要な場合に限定されていましたが、今回の改正により、「不可避」要件が削除され、個人情報処理者と情報主体が契約に関して相互に予想できる合理的な範囲内では、相互の信頼に基づいて、別途の同意なしに個人情報を収集して利用できるようになりました。
改正事項案内では、<情報主体の同意が必要ない契約関連事例>として、以下のような事例が紹介されています。
③明白に情報主体または第三者の急迫な生命・身体・財産の利益のために必要であると認められる場合(第5号)
従前の要件のうち「情報主体またはその法定代理人が意思表示ができない状態にあったり、住所不明等で事前同意を受けられない場合」という文言が削除され、明白に情報主体または第三者の急迫した生命、身体、財産の利益のために必要と認められる場合、国民の生命など保護のために優先して個人情報の収集・利用が可能になりました。
④公衆衛生など公共の安全と安寧のために緊急に必要な場合(第7号)
従前の法第58条(適用の一部を除く)第1項第3号では、「公衆衛生等公共の安全と安寧のために緊急に必要な場合として一時的に処理される個人情報」の場合には、第3章から第7章までを適用しない旨規定されていました。
新型コロナウイルスが拡散した状況において、当該個人情報が安全措置、破棄、情報主体の権利等の規定を適用排除することにより発生する可能性のある問題に対する補完の必要性が提起され、これに基づき、法第58条第1項第3号を削除し、個人情報保護法が適用されるようにしつつ、「公衆衛生、公共の安全のために緊急に必要な場合」には、情報主体の同意なく個人情報を収集・利用及び提供できるようにしました(法第15条第1項、第17条第1項、第18条第2項の事由に追加して規定)。
2 個人情報の目的範囲内提供要件の改善(第17条)(改正事項案内6p)
個人情報処理者が情報主体の個人情報を第三者に提供できる要件に、従前の法第15条第1項第2号、第3号、第5号の他に、同条第6号と第7号を追加しました。これにより、個人情報処理者の正当な利益を達成するために必要な場合として明らかに情報主体の権利より優先する場合(第6号)と公衆衛生など公共の安全と安寧のために緊急に必要な場合(第7号) には、その目的の範囲で、情報主体の同意なく個人情報を第三者に提供できるようになりました。
3 個人情報の目的以外の利用・提供要件の改善(第18条)
(1)全ての個人情報処理者に対して同一要件適用:第18条第2項ただし書(改正事項案内6p)
従前、情報通信サービス提供者の場合には情報主体から別途の同意を受けた場合(第1号)、他の法律に特別な規定がある場合(第2号)のみ目的外利用・提供が可能と規定していた第18条第2項ただし書の規定を削除し、すべての個人情報処理者が同じ要件を適用されることとなりました。ただし、公共機関にのみ適用される第5号から第9号までの要件は維持されています。
(2)個人情報の目的以外の利用・提供要件の改善:第18条第2項第3号・第10号(改正事項案内7p)
従前、「情報主体またはその法定代理人が意思表示ができない状態にあったり、住所不明などで事前同意を受けられない場合として」という制約がありましたが、同文言が削除され、明白に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要と認められる場合(第3号)には、同意がなくても第三者に目的外利用・提供が可能となりました。
改正事項案内では、「明白に情報主体または第三者の急迫した生命、身体、財産の利益のために必要な場合」として、以下のような事例が紹介されています。
また、公衆衛生等公共の安全と安寧のために緊急に必要な場合(第10号)にも、定めた利用目的以外での利用や第三者提供提供が可能となりました。 ただし、この場合も、個人情報保護法で規定している安全措置、破棄、情報主体の権利保障等の措置は履行しなければならないとされています。
4 個人情報を追加的に利用・提供できる場合(法第15条第3項・第17条第4項、令第14条の2)(改正事項案内7~9p)
個人情報処理者は、情報主体の同意なしに個人情報を利用または提供しようとする場合には、
を考慮して追加的な利用又は提供をするか否かを決定しなければならないとされています 。
改正前は、考慮事項に対する判断基準を個人情報処理方針にあらかじめ公開しなければならないとされていたところ、今回の改正では、個人情報の追加的な利用または提供をしなければならない個別の状況をあらかじめ予測して公開することが難しい点を考慮し個人情報の追加的な利用又は提供が「持続的に発生する」 場合に限り公開を義務付けることとされました。
改正事項案内8pでは、個人情報の追加的な利用・提供に関し、個人事業者と情報主体をつなぐ仲介サービスの場合を例に挙げ、以下の通り解説しています。
また、改正事項案内は、個人情報の追加的な利用・提供が継続的に発生する場合と一回的に発生する場合について、以下の通り事例を紹介しています。
第4 制裁規定
個人情報の収集・利用及び提供に関する規定の違反に関しては、個人情報保護法上以下のような制裁規定が設けられています。
第5 終わりに
改正事項案内には、上記のほか、個人情報処理者の留意事項(9~10p)、Q&A(11~12p)も掲載されており、実務においては、これらの記載も参照いただくことになるかと思います。
次回以降、引き続き改正事項案内に基づき改正内容について紹介したいと思います。