2023年2月27日、個人情報保護法の一部改正法律(以下「改正法律」)が国会の本会議で成立しました。改正法律は、(1)情報主体の権利強化策として、個人情報伝送要求権、自動化された意思決定に対する説明要求権及び拒否権を取り入れ、(2)個人情報処理の根拠を合理化し、(3)個人情報の越境移転方式の多角化を図るほか、個人情報保護委員会に個人情報の越境移転に対する中止命令権を与えるなど、規制機関の権限を拡大し、(4)移動型映像情報処理機器の根拠を設け、(5)一部の法違反行為に対しては課徴金の賦課基準を「売上高全体」に引き上げる内容も盛り込まれています。また、情報通信サービスプロバイダーなど向けの特例を削除し、関連内容を一元化して情報通信網法との単なる物理的な結合から離れ、真の意味としての統合個人情報保護法に改正されたことに大きな意味があります。
2023年3月7日、国務会議で議決された改正法律は、3月14日公布し、公布後6ヶ月が経過する9月14日施行されます。ただ、個人情報管理専門機関、自動化された意思決定に対する説明要求権及び拒否権などに関する規定は公布後1年が経過した日から、個人情報伝送要求権に関する規定は公布後1年が経過した日から公布後2年を超えない範囲内で施行令により定める日から施行されます(付則第1条)。
改正法律の主たる内容は、次の通りです。
I. 情報主体の権利強化
1. 伝送要求権
改正法律は、情報主体が情報主体本人に関する情報を自己又は「個人情報管理専門機関」又は「第三者」に伝送を求める権利を新たに設けました(第35条の2第1項、第2項)。個人情報管理専門機関は、個人情報伝送要求権の行使支援、情報主体の権利行使を支援するための個人情報伝送システムの構築及び標準化、情報主体の権利行使を支援するための個人情報の管理・分析その他情報主体の権利行使を効果的に支援するため、施行令により定める業務などを行うことになります(個人情報保護法第35条の3)。伝送される情報を受信する「第三者」は、安全措置義務を履行し、施行令により定める施設及び技術基準を満たさなければなりません(第35条の2)。
一方、情報主体が伝送要求権を行使できる個人情報は、個人情報処理者が同意を取得したり契約の締結・履行において情報主体の要請による措置を履行するために情報主体から収集、利用する個人情報などに限られ、個人情報処理者が収集された情報を分析・加工して別途生成した情報は、伝送要件の対象外になります(第35条の2第1項)。情報主体から伝送の要求があれば、個人情報処理者は要求された個人情報をコンピューターなど情報処理装置で処理可能な形態で伝送しなければなりません(第35条の2第3項)。
2. 自動化された意思決定に対する対応権
改正法律は、個人情報処理者が「完全に自動化されたシステム(人工知能技術を適用したシステム)で個人情報を処理して行われる決定」(以下「自動化された決定」)をしたときは、情報主体にその決定に対する「説明などを要求」できる権利を与え(第37条の2第2項)、自動化された決定が情報主体の権利又は義務に重大な影響を及ぼす場合、情報主体がこれを「拒否」できる権利を新たに設けました(第37条の2第1項)。
さらに、個人情報処理者は、情報主体が自動化された決定を拒否したり、それに対する説明などを求めた場合には、正当な事由がない限り、自動化された決定の適用を適用せず、又は人的介入による再処理・説明など必要な措置を講じなければなりません(第37条の2第3項)。個人情報処理者は、自動化された決定の基準や手続、個人情報が処理される方式などを情報主体にわかりやすく開示しなければなりません(第37条の2第4項)。
II. 個人情報処理根拠の合理化
現行の個人情報保護法は、個人情報の収集、利用に際して同意免除の理由として情報主体との契約の締結及び履行のために「やむを得ず必要な場合」などを規定していましたが、改正法律は上記の同意免除事由を「情報主体と締結した契約を履行したり契約を締結するにおいて、情報主体の要請による措置を履行するために必要な場合」に変更し、個人情報処理の根拠を合理化しました(第15条第1項第4号)。
一方、個人情報処理根拠の「正当な利益」については、現行の個人情報保護法では情報主体又はその法定代理人が意思表示ができない状態にあったり、住所不明などにより事前の同意を取得できない場合であって、明らかに情報主体又は第三者の切迫した生命、身体、財産の利益のために必要と認められる場合は個人情報を収集できるようにしましたが、具体的な状況において「意思表示ができない状態にあったり、住所不明などにより事前の同意が得られない場合」に対する解釈が限られているところ(例えば、現在、人質を取っている連絡可能なテロリストの個人情報処理)、明らかに情報主体又は第三者の切迫した生命、身体、財産の利益のために必要な場合は、個人情報を収集することができるよう、その要件を合理的に改善しました(第15条第1項第5号)。
III. 越境移転方式の多角化
現行の個人情報保護法は、個人情報処理者が個人情報を国外の第三者に移転する場合、原則として情報主体に関連事項を知らせて同意を得させていますが、改正法律は、個人情報処理者が(1)情報主体から別途の同意を得た場合以外にも(2)個人情報が移転される国又は国際機関が個人情報保護法で定める保護水準を備えていると個人情報保護委員会が認める場合(第28条の8第1項第5号)、(3)「個人情報の移転を受ける者」が法第32条の2に他の個人情報保護認証など個人情報保護委員会の告示により定められる認証を取得した場合であって、個人情報の保護に必要な安全措置及び情報主体の権利保障に必要な措置などを講じた場合(第28条の8第1項第4号)などには、個人情報を国外の第三者に移転できるよう許容しています。
その他、改正法律は個人情報保護委員会の越境移転中止命令権を新設し、(1)個人情報処理者が法に違反して個人情報を国外へ移転する場合(第28条の9第1項第1号)、或いは(2)個人情報が移転される者又は国の保護水準が個人情報保護法の保護水準に合わせて適正に保護されておらず、情報主体が被害を被ったり被る恐れがある場合(第28条の9第1項第2号)、個人情報保護委員会が越境移転の中止を命ずることができるようにしています。
IV. 移動型映像情報処理機器規律の新設
現行の個人情報保護法は、監視カメラのように固定型映像情報処理機器のみを規律していましたが、改正法律は、ドローン、自律走行車といった移動型映像情報処理機器を定める規定を新設しました(第25条の2)。改正法律は、公の場で業務を目的に移動型映像情報処理機器で撮影することを原則禁止し、例外として情報主体の同意など個人情報保護法第15条第1項各号の一にあたる場合、又は明り、音などで撮影の事実を明確に表示したにも拘らず、情報主体が撮影拒否意思を示さない場合などには、撮影を許容しています(第25条の2第1項、第3項)。
V. 課徴金の上限額の基準を「売上高全体」に変更
現行の個人情報保護法は、「違反行為に係る売上高」の3%以下の金額を課徴金の算定基準としていましたが、改正法律は「売上高全体」の3%以下に相当する金額を課徴金として賦課できるとし、その基準額を大幅に引き上げました(第64条の2第1項)。ただし、保護委員会が実際の課徴金の算定においては「売上高全体から違反行為と関わりのない売上高を除外」できるようにし、比例性を確保しました(第64条の2第2項)。一方、個人情報処理者が正当な事由なく売上高算定資料の提出を拒否したり偽りの資料を提出したときは、当該個人情報処理者の全体売上高を基準に算定し、当該個人情報処理者及び同じような規模の個人情報処理者の個人情報保有規模、財務諸表など会計資料、商品・役務の価格など営業現況資料に基づいて売上高を推定できるようにしました。
VI. その他
1. 情報通信サービスプロバイダーなどに対する特例規定の削除
改正法律は、すべての個人情報処理者向けに同じ規制ルールを適用し、情報通信サービスプロバイダーにしか適用されなかった個人情報利用内訳の通知制度、損害賠償補償制度、国内代理人指定制度、課徴金などの条項を一般規定に切り換え、個人情報処理者全体に適用できるようにしました。ただし、従来の特例において情報通信サービスプロバイダーに課されていた個人情報有効期間制度(1年間利用していない利用者の個人情報を破棄する義務)は削除されました。
2. 個人情報処理方針の管理権限及び個人情報侵害調査及び制裁機能の強化
改正法律は、個人情報保護委員会が、個人情報処理方針が、1)わかりやすく作成されているか、2)作成ガイドラインを守っているか、3)開示されているかなどを評価して改善を勧告できるという条文を新設し(第30条の2第1項)、個人情報保護委員会が是正措置を講じるための要件のうち「回復し難い被害を被る恐れ」を削除し、是正措置権限を拡大しました(第64条第1項)。
3. 個人情報紛争調停制度の義務参加及び強制調査の実施
現行の個人情報保護法は、紛争調停の通知を受けた場合、特段の事由がない限り、紛争調停に応じる義務を公共機関のみに負わせていましたが、改正法律はその対象をすべての個人情報処理者に拡大しました(第43条第3項)。また、紛争調停委員会は、事実確認が必要であれば、事件に関わりのある場所に立ち入って関連資料を調べたり閲覧できるとし(第45条第2項)、紛争調停委員会に強制的な事実調査権を付与しています。
4. 再委託にあたっての同意の要求
現行の個人情報保護法は、受託者による再委託に関する事項を委託者と受託者との契約により定めることにとどまり、再委託のための委託者の同意は求めなかった一方、改正法律は、受託者が受託した個人情報処理業務を再委託するためには、委託者の同意を得ることを求めています(第26条第6項)。
5. 損害賠償責任の限度額の引上げ
改正法律は、個人情報処理者の故意又は重大な過失により、個人情報が紛失・盗難・漏洩・偽造・変造又は毀損した場合、損害賠償責任の限度額を従来の3倍から5倍に引き上げました(第39条第3項)。
6. 資料提出命令及び秘密保持命令の根拠規定の新設
改正法律は、改正法律の違反に伴う損害賠償請求訴訟において、法院が当事者の申立によって資料提出命令を行うことができるようにし、一定の要件が備えられれば、当事者の申立によって秘密保持を命じ、又はその命令を取り消すことができるようにしました(第39条の3から第39条の5)。
7. 過料規定の整備
改正法律は、個人情報影響評価を行わなかったり、その結果を個人情報保護委員会に提出しない者に対し、3千万ウォン以下の過料を賦課できるようにしました(第75条第2項第16号)。さらに、損害賠償責任の履行のために、保険又は共済に加入したり引当金を積み立てさせる規定に違反した個人情報処理者に過料を賦課する規定を削除するなど(第75条第3項第1号削除)、過料規定を整備しました。
VII. 示唆する点
1) 個人情報の伝送要求権の導入を受け、データ市場が活発になることが期待されます。勿論、情報・通信・国土・交通、流通、教育、文化・レジャーの分野別のアプローチ、非定型データ伝送の標準化、個人情報管理専門機関の役割、認証・識別体系の構築及び異種データの結合、個人情報伝送支援プラットフォームの役割などに対する様々な議論が伴われる必要があるでしょうが、終局的に、情報主体の権利強化のために施行令、告示などが設けられるものとみられます。一方、個人情報処理者は、伝送要求権が会社に如何なる影響を及ぼすのか、これにより移転すべきものと移転が受けられる情報は何か、APIなど構築すべきシステムは何かなどを事前に確認し、今後公開される施行令、告示などに応じて準備すべき適法な範囲内で新しいビジネスを模索することができると考えられます。
2) 情報主体の権利強化のためには、欧州のような一般プロファイリングに関する規定ではありませんが、人工知能に係る完全自動化されたシステムによる処理に関する規定を設け、これに対する透明性の原則も規定することにより、人工知能に係る規定を基礎づけたことに意味があります。これを機に、個人情報処理者は、人工知能の観点から個人情報処理のライフサイクルを検討し、それによるリスクを識別して対応する人工知能のガバナンス体系構築の導入を考えることができるでしょう。
3) 個人情報処理根拠規定の合理化により、一律的な同意仕組みしか認めなかった従来の実務から離れ、個人情報処理者が合理的かつ適法な個人情報処理の根拠について確認し、それを適用できる土台が作られるものとみられます。勿論、この場合にも個人情報処理者は、当該個人情報処理の根拠を採用した理由を明確に疎明できるよう準備しておくのが適切でしょう。
4) 韓国のEU適正性決定があった後、様々な議論が行われた越境移転をめぐって、同意、ISMS-Pなどの認証による越境移転、越境移転対象国による移転など、様々な越境移転体系を構築していくことで、韓国の地位に相応しいグローバルレベルの越境移転法制体系を構築することにとどまらず、中止命令により越境移転される情報主体の権利を実質的に保障することができるとみられます。個人情報処理者においては、データフローを通じて越境移転のサーバの位置や移転項目及び目的などを確認し、適切な越境移転の方法を採用することが考えられます。
5) これまで法適用の空白だった移動型映像情報処理機器に対しては、今回の改正を通じて映像情報の収集、匿名処理などの個人情報処理の根拠を解釈する上で合理的な規定になったとみられます。自律走行、ドローンなど、関連企業では当該規定に基づいて適法な根拠をもって映像情報が処理できるようにするプロセスを構築していくのが適切とみられます。
6) その他、刑事処罰を緩和する代わり、経済制裁の基準を強化し、オンラインとオフライン両方を統合する個人情報保護法の体系が設けられたことに大きな意味があります。
以上により、今回の改正は個人情報関連法令の実質的な統合を成し遂げ、伝送要求権、個人情報処理根拠などはじめとする産業的影響力がある内容も多いです。個人情報処理者は、改正個人情報保護法に関する議論に限らず、今後公開される施行令及び告示を確認し、個人情報の処理根拠、個人情報の越境移転、伝送要求権、完全自動化されたシステムなどの改正事項に対応すべく、内部のシステムやサービスを点検し、新しいデータ経済時代に備えなければならないとみられます。