←索引へ戻る
2011年に制定された個人情報保護法(PIPA)は、韓国における個人情報の取り扱いに関する最も重要な法律です。個人情報保護委員会(PIPC)は、PIPAの執行および関連政策の策定を担う主要な規制機関として機能しています。PIPAに加えて、位置情報や信用情報など個人情報の特定のカテゴリーを規制する業界別の法律も存在します。
本稿では、韓国で事業を展開する外国企業に対する重要な考慮事項として、PIPAの域外適用の範囲、執行の傾向、国境を越えるデータ移転、ならびにデータ漏洩への対応義務に焦点を当てて解説します。
域外適用
Hwan Kyoung Ko
パートナー
Lee & Ko
ソウル
Tel: +82 2 2191 3057
Email: khk@leeko.com
PIPAはその域外適用について明示的には定義していませんが、一般的には以下の場合に適用されると理解されています。
所在地にかかわらず、外国企業が韓国国民または居住者の個人情報を処理する場合、または
韓国企業または外国企業によって、韓国国内で個人情報が処理される場合。
その適用範囲を明確にするため、PIPCは2024年4月4日に外国事業者に対する個人情報保護法の適用に関するガイドラインを発表し、PIPAは以下の場合に適用されると述べています。
韓国のデータ主体に対して商品またはサービスが提供される場合、
個人情報が韓国のデータ主体に直接または重大な影響を及ぼす形で処理される場合、または
事業者が韓国国内に事業所を有する場合。
PIPAの域外適用の広い解釈は、外国企業が韓国のデータ保護規制を遵守することが極めて重要であることを示しています。
執行の強化
Sunghee Chae
パートナー
Lee & Ko
ソウル
Tel: +82 2 6386 6622
Email: sunghee.chae@leeko.com
2023年の大幅な改正を受けて、PIPAは個人情報の漏洩および収集に対する刑事罰の一部が廃止される一方で、行政処分は大幅に強化されました。特に、行政罰の算定基準が「違反に関連する収益」から「事業者の総収益」へと改定されました。
例えば、データ管理者が適切な安全対策を講じなかった場合、PIPCはデータ管理者に対し、違反に関連しない収益を除いた総収益の最大3%の行政上の制裁金を科すことができます〔PIPA第64条2第1項(ix)および第2項〕。違反に関連しない収益の範囲は、行政上の制裁金の課徴および算定の双方において重要な要因となっています。
PIPCは改正PIPAに基づいて、2024年5月8日、データ漏洩を受け、国内企業として最大となる75億ウォン(520万米ドル)の行政上の制裁金をGolfzonに科しました。これは、制裁金の算定において違反に関連しない収益を適切に除外するための、戦略的な法的アプローチの必要性を浮き彫りにしています。
外国企業もまた、ますます厳格化する韓国の規制執行環境に対処しなければなりません。2025年1月、PIPCは国境を越えるデータ移転に関連して、これまでで最大規模の行政処分の一つとして、KakaoPayに対して59億ウォン、Apple Distribution International Limitedに対して24億ウォン(さらに220万ウォンの科料)を科しました。
これらの処分は、KakaoPayおよびAppleがAlipayとのサービス関係を通じた国境を越える個人情報の処理について、利用者への通知を怠ったという調査結果に基づいています。これらの制裁の合法性は現在、裁判で争われています。
上記を含む最近の執行措置は、近年の行政上の制裁金の金銭的規模だけでなく、外国企業による国境を越えるデータ・コンプライアンスに対してPIPCが監視を強めていることも浮き彫りにしています。
一方、2025年10月2日から施行されるPIPAの最近の改正により、外国企業が国内代理人を指名する義務がさらに強化されました。もともと2020年に情報通信サービス提供者向けに導入されたこの要件は、2023年に次のいずれかに該当する外国企業にも適用範囲が拡大されました。
年間総収益が1兆ウォンを超える場合、
前年の最終3カ月間に、平均して一日当たり100万人を超える韓国のデータ主体の個人データを処理している場合、または
PIPA第63条第1項に基づいた書類提出の要請を受けて、PIPCが指名が必要であると判断した場合。
代理人は、
外国企業が設立した国内法人、または
外国企業が支配的な影響力を行使する国内法人のいずれかから指名されなければなりません。外国企業は、指名された代理人を適切に管理および監督し、代理人の氏名、住所および電話番号がプライバシーポリシーに開示されるようにする必要があります。上記の要件に違反した場合、行政上の科料に処される可能性があります。
データ漏洩への対応
Kyung Min Son
パートナー
Lee & Ko
ソウル
Tel: +82 2 772 4918
Email: kyungmin.son@leeko.com
データ管理者が個人情報の紛失、窃盗または不正な開示(データ漏洩)に気付いた場合、PIPA第34条第1項およびその施行令第39条第1項に基づき、影響を受けたデータ主体に対して72時間以内に通知しなければなりません。通知には以下の事項が含まれる必要があります。
漏洩に該当する個人情報の種類
漏洩が発生した時刻および状況
漏洩に起因する潜在的な被害を軽減するために、データ主体が講じることができる措置
データ管理者が講じた対策および救済の手続き
報告または申し立て対応を担当する部署の連絡先
さらに、データ漏洩が以下に該当する場合は、データ管理者は72時間以内にPIPCまたは韓国インターネット振興院(KISA)に報告しなければなりません。
1000人以上のデータ主体の個人情報が含まれる場合、
機微情報または固有の識別情報が含まれる場合、または
データ管理者のデータシステムやデータ処理装置への不正な外部アクセスがあった場合(PIPA第34条第3項およびその施行令第40条第1項)。データ漏洩に気付いてから72時間以内に、データ主体に通知またはPIPCまたはKISAに報告しなかった場合、最大3000万ウォンの行政上の科料に処される可能性があります。
また、データ管理者の過失または故意の不正行為による漏洩の場合、データ主体は最大300万ウォンの賠償を請求することができます。その場合、データ管理者は故意または過失がなかったことを証明しなければなりません(PIPA第39条の2)。
データ漏洩の報告を受けた場合、またはPIPC自身の監視によりその事態を認識した場合、PIPCはデータ管理者に対して関連資料の提出を要求することがあります。
もしデータ管理者がこれに応じない場合、またはPIPA違反であると判断された場合、PIPCは関連当事者の事業所敷地内に立ち入り検査を行うこともあります(PIPA第63条)。また、調査への協力は行政上の科料の算定における軽減要因となる可能性があります。
Lee & Ko
Hanjin Building, 63 Namdaemun-ro
Jung-gu, Seoul, 04532, Korea
Tel: +82 2 772 4000
Email: mail@leeko.com
www.leeko.com
WACOCA: People, Life, Style.