筆者の手元に、8月25日付けの Data Guidanceのニュース「大韓民国(韓国):PIPCは、PIPAの違反のためにNetflix KRW 223.2M(約2074万円)の罰金を科す」が届いた。
その概要は、韓国の個人情報保護委員会(PIPC)は8月25日、Netflixに2億2,320万KRW(約162,600ユーロ)の罰金を科したと発表した。「2011年個人情報保護法違反(2020年改正)(PIPA')」特に、PIPCは、Netflixが2つのアカウントでPIPAに違反し、サービスの登録プロセスが完了する前に同意なしに個人情報を収集したとして2億2,000万TRW(約160,400ユーロ)、海外での個人情報の移転の詳細を開示しなかったことにつき320万KRW(約2,300ユーロ)に違反したと指摘した。
このニュースでは、PIPCのリリース(ハングル語)へのリンクが張られている。筆者はハングル語は専門外であるが、念のためリPIPCリース文、PIPC調査第一課長の記者発表、質疑応答を読んだ。その結果はかなりの部分で相違があることが判明した。
その一方でData Guidanceの解説「South Korea - Data Protection Overview」は、韓国の大手法律事務所Lee & Ko )の所属弁護士の解説であるが、極めて有意義であることが判明した。
したがって、今回のブログは(1)8月25日のPIPCのリリース文、(2)PIPC調査第一課長の記者発表と質疑応答の内容, (3)韓国の情報保護法立である2法の概要、(4)韓国の情報保護関係法、ガイダンスや判例の動向等につき順次仮訳しつつ、概観する。なお、韓国大法院(わが国の最高裁)の判決の検索方法も含め一部筆者の責任で補完した
1.8月25日のPIPCの発表内容
「PIPCなどの是正措置、海外企業に対する個人情報保護法および罰金の違反 : Facebook、Netflix、Googleに対する制裁措置」
ユーザーの同意なしに個人を識別できる顔認識情報の作成や使用など、プライバシー法に違反する海外のオンライン・プラットフォーム事業者に対して66億KRW(約6198万円)の罰金を課す。個人情報保護委員会(ユン・ジョン・イン(Yoon Jong In)委員長、以下、PIPCという)は、8月25日(水)に第14回全会合を開催し、フェイスブック、ネットフリックス、グーグルを含む3社に対して合計66億6000万ウォン(6,254万円)の罰金と2,900万ウォン(272万円)の罰金を課し、是正命令、改善勧告、宣伝などの是正措置を採決した。
※詳細は添付HWPファイルをダウンロードして確認されたい。
2. 個人情報保護委員会(PIPC) (注1)調査1課長のパク・ヨンス(최홍석)の記者発表と質疑応答
(1)記者発表
PIPC 調査1課長のパク・ヨンス(최홍석)です。
8月5日の午後14時、第14回のPIPCで議決されたFcebook,、Netflix,、Googleへの個人情報保護法違反に対する処分内容を申し上げる。
PIPCは、2020年の国政監査の過程で「海外事業者の個人情報の収集に同意方式に問題がある」というミン・ギョンドク(Kyung-Duk Min)ソウル国立大学研究助教の指摘と市民団体の告発などによる後続措置として、今回の調査を開始した。
これまでの調査結果をもとに、過去13回の委員会の会議で被告側の意見陳述を十分に聞いて、これをもとに本日の会議での主要な争点についての議論を経て議決した。
調査の結果、Facebook、NetflixおよびGoogleの3つの事業者の法違反を摘発し、個人情報保護の実態が不十分である事実を確認した。
まず、(1)Facebookの関連事項を申し上げる。
Facebookは2018年4月から2019年9月まで約1年5ヶ月間において利用者の同意なしに顔認識テンプレートを作成・収集し、これらの違反行為に対して、64億4,000万ウォン(約6012万円)の課徴金を科した。
また、違法な住民登録番号の収集、個人情報の処理の主催者の変更未通知、個人情報の処理委託および国外移転関連の未公開、資料未提出につき2,600万ウォン(約244万円)の課徴金を科した。
同意のない顔認識情報収集等については是正命令を発し、カード情報などの個人情報を追加収集時の法定免責事項が不明確で、個人情報の処理の実態が不十分な点については改善を勧告した。
次に、(2)Netflixの関連事項につき申し上げる。
Netflixは、サービス加入手続きが完了する前に同意なしに個人情報を収集し、これらの法律違反行為に対して2億2,000万ウォン(約2066万円)の課徴金の賦課と是正命令を発した。
また、個人情報の国外移転関連の内容を公開していない行為については、320万ウォン(約30万円)の課徴金を科した。
最後に、(3)Googleの場合は、法違反と見ることができる点は見いだせなかったが、個人情報を追加収集時の法定上の告知が不明確で、海外への個人情報の移送につき項目を具体的に明示していない行為について、これを改善するように勧告した。
海外事業者の個人情報の収集にかかる同意方式にかかる今回の調査は、完結したものではなく、追加の事実関係確認や法令の検討などが必要な事項については、引き続き調査を続けていく予定である。
議決に先立ち、PIPCユン・ジョン・イン(Yoon Jong In )委員長は、インターネット事業者の同意方式について深い懸念を表明した。
Yoon Jong In 氏
その内容としては、データ時代の個人情報の利用は、企業と情報主体の両方に非常に重要であり、情報主体との情報処理事業者との間の信頼関係が基本とされなければされサービスの提供に不可欠ではない情報を必要な情報に収集の同意をするように要求した場合、個人情報の提供に同意しない場合のサービス提供自体を拒否した場合などについて、個人情報の収集に偏った技術とデザインは、情報主体の個人情報保護のための合理的期待を満たしていないことを強調し、これらの相互信頼を阻害する行為については、深い懸念を表明した。
これに関連して、Facebookの同意のない顔認識情報の収集も、これらの基本的な内容で照らしたとき深刻に懸念される事項と述べた。
明確ではない表現や誤解を招くことができる文言の構造などは、情報取扱者の相対的な情報優越性とサービスを提供するかどうかについての最終的な決定権などが結合するとき、情報主体にとって、本人の権利行使を大きく制約になるという点に関し、情報主体を欺くか、不当に利用したり、情報主体に危険なデザインをしていないことに注意を喚起した。
PIPCは、今後の調査においても、これらの点を見落としていないか等を探っていく予定である。
(2)続いてメディア向けe-ブリーフィングシステム(https://ebrief.korea.kr)に入る。
<質問1>調査の結果をよく見て、今後、追加となる事実関係の確認や法令の検討が必要な場合は調査を継続する計画がある旨述べられたが、本日発表されたFacebook、NetflixやGoogleのほか、別の海外事業者を対象に、追加調査の計画があるのか、具体的に今後の計画を申し上げていただければ幸いである。
<回答>現在、追加調査というのは事業者を追加するという意味で言っているのではなく、現在この3つの事業者が中心に調査をすることになるということである。今後の訴訟に備えての法令の検討が必要な部分がいくつかの残されているが、そのような部分に対して継続調査を行うという意味である。
<質問2>(司会者)それでは、インターネットに入ってきた質問を以下述べる。コリア・ネット(8/26(23)の記者が質問していただていたが、この質問はこの前に課長が言われた点で、その答えと同じであるため次に移る。
次に聯合ニュースの次長から「今回の制裁対象である3社の個人情報保護対策が不十分で、個人情報の侵害被害を受けた利用者数を聞きたい」という質問をいただいた。
<回答>今、個人情報の違法収集数に関連して、補足すると、まず、Facebookは2018年4月19日から2019年9月2日までの1年5ヶ月間の違反行為があった期間中に韓国人の利用者の顔認識情報が収集された場合が約20万人にあたる。そして、NetFlixの場合は、2020年基準で見たときに参加を中断したり、登録を中止したが、個人情報が収集された同意なしに収集された利用者は500万に達した。
<質問3>(司会者)は、次のコリア・ネットの記者が質問をいただいた。「
Facebookはサインアップ時に住民登録番号を収集していないことを知っているが、何らかの理由で住民登録番号の不法処理が問題となったのか説明してほしい」という質問をいただいた。
<回答>Facebookが住民登録番号を収集したのは、サイインアップ時ではなく、アカウントを紛失したりして、それを再活性化したり、ユーザ名を再確認する過程で身元確認が必要だが、その身元確認をするための手段として、政府発行身分証明書、または非政府発行の身分証明書の両方を使用可能にはなっていた。しかし、そこに運転免許証とか、政府発行の身分証明書が上がってくるようにしており、そこを通じて住民登録番号が収集されたものである。
<質問4> Facebookは200年11月にも、個人情報保護法の違反行為で67億ウォン(約6億1062万円)の課徴金を受けており、今回も少なくない課徴金命令を受けた。その前に、Facebookはこのような部分について、Facebookが釈明したのか?
<回答.4>フェイスブックの代理人が出席しており、私はその当時Facebook Korea )から次の答えを得た。
例えば、住民登録番号の収集と関連して、すでに収集されている住民登録番号は、削除する過程を経たとするそれは我々が是正命令、履行点検の過程で確認すべき事項であり、その削除措置と非識別措置にするソリューションを開発する作業を開始した。それが2021年の年末までに完了目標にしているとしているが、その内容も「是正命令」、「履行点検」の過程で確認する予定である。
3.韓国の情報保護法立法である2つの法律の概要
以下の内容は、Lee & Ko法律事務所の2人の弁護士であるKwang Bae Park氏とMinchae Kang 氏の解説「South Korea - Data Protection Overview」から抜粋し、筆者が仮訳した。(同法律事務所のメンバ‐によるより詳細な解説がある)
なお、いうまでもないが、PIPCサイトではこのほかの活動内容が説明されている。わが国の保護委員会の報告等と比較されたい。
著者
Kwang Bae Park氏(Lee & Ko法律事務所の Technologies, Media & Telecommunications practice group.リーダー)
(1) 法律
A, 主要な法律、規則、指令、法案
一般的に、韓国のデータ保護法は、個人データの取り扱いのライフサイクル全体にわたって非常に規範的な特定の要件を提供し、事前の通知とオプトインの同意の要件、および法律で規定された比較的重い制裁のために、それらは知られている世界で最も厳格なデータ保護法の1つとしてデータ保護法は、特定の産業部門に関連する一般法といくつかの特別法で構成されている。
「一般データ保護法」
個人データの収集と処理は、包括的な一般データ保護法である「2011年個人情報保護法(법령 제,개정목록 펼치기 Act No. 16930, Feb. 4, 2020 )(2020年に一部改正)(「PIPA」)」に準拠する。
2020年2月4日、韓国の国会はPIPA(韓国語でのみダウンロード可能)のいくつかの修正案(「2020年修正案」)を可決し、2020年8月5日に施行した。特に2020年修正案には、とりわけ次のものが含まれる。
①偽名および匿名処理の改訂された定義。
②①に関連する要件、制限、ペナルティ。
③個人情報保護委員会(PIPC)内で個人情報保護サービスを一元化するための措置。
「特定の業界におけるデータ保護にかかる特別法」
特定の業界における個人データの取り扱いを規制する特別な法律がある。特に、「2009年信用情報の使用と保護に関する法律(2020年改正前の英語版)、最新版は韓国語でのみ利用可能)(UPCIA)」がある。
一方、情報通信サービス提供者およびそのような情報の受信者(「ICSP」)による個人データの処理は、以前は「情報通信ネットワーク利用促進法および情報保護法2001(2020年改正なしの英語版が利用可能)」に準拠していた。 ここ;最新バージョンは韓国語でのみ利用可能)(「ICNA」)は、2020年8月5日にICNAから関連条項が削除され、PIPAに移管された後、PIPAによって管理されるようになった。これらの条項は現在、 新しい章としてのPIPA(「ICSPの特別規定」に追加された)。
(2) 法解釈ガイドライン
データ保護当局は、個人データの保護に関連するさまざまなガイドラインを発行している。
①行政安全部(「MOIS」)(注2)が発行したデータ保護法規制の解釈ガイド(韓国語でのみダウンロード可能、こちら。最近のPIPAの改正に伴い、更新されたガイドが発行される予定である );
②国務調整室(Office for Government Policy Coordination, Prime Minister's Secretariat)、MOIS、放送通信委員会(KCC)、金融サービス委員会(Financial Services Commission:FSC)、科学技術情報通信部、および厚生省の共同リーダーシップの下で行われた政府全体の発表によって発行された「個人データの再特定化可能な方式による個人情報の非特定化、匿名化に関するガイドライン(Guidelines for De-identification of Personal Data 2016)」、
③PIPCによって発行された「個人データの仮名化のガイドライン」。
④PIPCが発行する「個人データの仮名化に関するガイドラインの草案(ボリューム:仮名化された個人データの組み合わせとエクスポート)」
⑤金融セクターにおける個人データの仮名化と匿名化(Anonymization)に関するハンドブック
このようなガイドラインには拘束力のある法的効力はない。それでも法律や規制が実際にどのように解釈される可能性があるかについての有用な参考資料として役立つ可能性がある。
(3) 判例法
民法管轄である韓国の主な法的権限の源泉は、コモンロー管轄の判例法、特に韓国憲法の制定法および韓国政府や国会によって制定された法令とは対照的に立法である。ただし、最近、いくつかの重要な裁判所の決定が出された。これらは、データ保護法および規制が実際にどのように解釈されるかについての有用な参考資料として役立つ可能性がある。
①2017年4月7日に決定された大法院(대한민국 대법원: Supreme Court of Korea わが国の最高裁判所) 判決2016Do13263では、事業者たる被告がデータ主体が同意した内容を明確に理解することが困難な状況で個人情報を収集したとして、大法院は彼らが提供した同意が法律で規定された満足のいく手続き、すなわち通知が1mmのフォントサイズで提供された場合、データ主体から得られた同意を無効とした。
この大法院の判決の検索手順を説明する。
大法院のHP →Supreme Court →Decisions→All を選択→事件番号(2016Do13263)を入力後検索→該当判決が表示
②2019年5月3日に決定されたソウル高等法院(「高等法院」)の決定2017Na2074963 / 2017Na2074970(統合)において、高等法院は、韓国薬品情報センターが同意なしに患者の処方データを第三者に提供することは、PIPA違反であると判断した。同時に、高等法院は、個人情報が特定の個人を特定することを不可能にする暗号化などの適切な識別解除措置を受けた場合、データ主体の同意なしに第三者にそのような識別されていないデータを提供することは、PIPAの違反とみなされるべきではないと指摘した。
*************************************************************************
(注1) PIPCの組織図を以下あげる。役割や責任が明確化していることはうらやましい。
(注2) 行政安全部は、大韓民国の中央行政機関。行政安全部の長を行政安全部長官と称し、国務委員が任命される。諸外国の内務省、日本の総務省と警察庁に相当する。 (Wikipediaから一部抜粋 )
************************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます