韓国 PIPA: データ保護コンプライアンス ガイド

韓国の個人情報保護法 (PIPA — 개인정보 보호법) は、世界で最も厳格なデータ保護法の 1 つとして広く考えられています。範囲が包括的で、技術要件が詳細に規定され、個人情報保護委員会 (PIPC — 개인정보보호위원회) によって積極的に施行されている PIPA は、韓国の高度にデジタル化された市場で活動している、またはサービスを提供しているあらゆる企業にとって重要な影響を及ぼします。

2011 年に制定され、2023 年に大幅に改正された PIPA は現在、EU の GDPR を含む国際標準とより緊密に連携するとともに、暗号化の必須要件、特定の技術標準、韓国通信委員会 (KCC) と韓国インターネット安全保障院 (KISA) のプライバシー執行の役割の統合後の PIPC の下での統一執行構造など、韓国特有の特徴を維持しています。

重要なポイント

• PIPAは、韓国で個人情報を処理するすべての公的および私的事業体に適用され、管轄外の範囲で適用されます。
• 機密情報 (生体認証、健康状態、犯罪歴、位置情報など) には明示的な同意が必要です - 同意基準は他のほとんどの法域よりも厳格です
• プライバシー ポリシーは公開され、PIPC 年次監査ガイダンスによって承認される必要があります。
• 72 時間以内 (特定のインシデントの場合は 5 日) 以内に PIPC にデータ侵害通知が必要
• 同意、契約上の保護措置、または十分性の判断なしに国境を越えた転送は禁止されています
• PIPC は総収入の 3% までの罰金を課すことができる。刑事罰は最高5年の懲役
• 必須の技術標準: 特定の暗号化アルゴリズム (機密データ用の AES-256)、アクセス制御要件、仮名化ガイダンス
• 韓国のユーザーを抱える海外通信事業者は、現地代理人を指名する必要があります

---

PIPA フレームワークとスコープ

対象範囲

PIPA は以下に適用されます。

• 個人情報処理者: ビジネス目的で個人情報を処理する公的機関、法人、組織、または個人。
• 公共部門（政府機関）と民間部門の両方
• 海外事業者: 韓国に設立されていない、韓国居住者に商品やサービスを提供する、または韓国居住者の行動を監視する事業体(第2条、第39条の11)

2023年の改正で追加されたこの域外範囲はGDPR第3条第2項を反映しており、海外事業者は韓国の代表者を指名することが求められている。

個人情報の定義

PIPA に基づく個人情報 (개인정보) とは、生存する個人に関する、その個人を特定できる情報 (他の情報との組み合わせを含む) を指します。次のものが含まれます。

• 名前、登録番号（주민등록번호）、画像 ・他の情報と容易に組み合わせて個人を識別することができる情報

仮名情報 (가명정보): 追加情報がなければ個人を特定できないように処理された個人情報。特定の制限に従って、同意なしに統計の編集、研究、アーカイブに使用できます。

匿名化情報: いかなる状況においても再識別できない情報。個人情報ではなくなり、PIPA の範囲外となります。

---

機密情報

PIPA は、機密情報 (민감정보) を、限られた例外を除いて、収集と使用に明示的な同意を必要とするものと定義しています。カテゴリには次のものが含まれます。

• イデオロギー、信念
• 労働組合または政党への加入または脱退
• 政治的意見
• 健康および医療情報
• 性生活と性的指向 ・過去の犯罪歴（罪と罰） ・個人を特定できる生体情報
• 人種的または民族的背景
• 財務情報（口座番号、カード番号 - 特別な処理が必要な固有の識別情報として分類されます）

住民登録番号 (주민등록번호 — 韓国国民 ID): 最高度の保護で扱われます。法律で明示的に許可されている場合を除き、収集は通常禁止されています。処理および第三者への提供は厳しく規制されています。これは、世界的に最も厳格な国民 ID 番号保護の 1 つです。

---

個人情報処理の法的根拠

PIPA の第 15 条では、個人情報の収集および使用に関する 5 つの法的根拠を規定しています。

1. データ主体の事前同意
2. 法律の特別条項、または法的義務を遵守するために必要な場合
3. 事前の同意を得ることができないデータ主体または第三者の明確かつ重大な利益 (重要な利益)
4. 公的機関の法令に基づく事務を遂行するために必要な場合
5. 個人情報処理者の 正当な利益 — 合理的な範囲内で、処理者の正当な利益のために処理が明らかに必要である場合

同意要件:

• 情報提供: データ主体には、収集される項目、目的、保存期間、および結果を伴う同意を保留する権利を伝える必要があります。
• 任意: オプションの処理への同意を商品/サービスの提供の条件とすることはできません
• 具体的: 目的ごとに個別の同意
• 書面による証拠: 同意の証拠を保持します

---

プライバシー ポリシーの要件

第 30 条は、個人情報処理業者にプライバシー ポリシー (개인정보 처리방침) を作成し、公表することを義務付けています。必要な内容：

• 取り扱う個人情報の項目
• 処理の目的 ・保存期間（破棄期間） ・第三者に提供する場合、その第三者の内容、提供する物品、目的、保存期間 ・処理の委託（加工者）に関する事項
• データ主体の権利と義務、およびそれらの行使方法 ・個人情報の安全性確保のための措置
• 個人情報保護責任者の氏名および連絡先 (PIPO — 개인정보 보호책임자)
• データ主体の権利要求を処理する部門
• 海外への転送情報
• 自動収集装置（Cookie）

プライバシー ポリシーの更新: 変更は事前に通知する必要があります。 PIPC は、モデル プライバシー ポリシー ガイドラインと年次評価を提供します。最低基準を下回るスコアを獲得した企業には、改善の推奨事項が与えられます。

---

個人情報保護責任者 (PIPO)

第 31 条は、すべての個人情報処理者に個人情報保護責任者 (개인정보 보호책임자) を任命することを義務付けています。 PIPO は次のことを行う必要があります。

• プライバシーに対する権限と責任を持つ上級管理職であること ・個人情報の取扱いに関する苦情の受付と処理
• コンプライアンスの監視
• トレーニングと意識向上を管理する
• プライバシーリスク評価の実施

PIPO の基準: 単なる名目上の指定ではなく、組織内で実質的な権限を持っている必要があります。 PIPO は、技術的措置を指示し、すべての個人情報システムにアクセスし、指導者と直接通信する権限を持たなければなりません。

海外事業者: PIPO 機能を担当する韓国国内の代表者を指名する必要があります。

---

技術要件とセキュリティ要件

PIPA とその施行規則 (個人情報安全対策基準 - 개인정보의 안전성 확보조치 기준) は、世界的に最も規範的な技術要件の 1 つとして詳細な技術要件を規定しています。

暗号化要件:

• パスワード: 一方向暗号化アルゴリズムを使用して暗号化する必要があります。プレーンテキストの保存は禁止されています
• 住民登録番号、生体認証、財務情報：AES-256 または同等のものを使用して暗号化する必要があります
• 送信暗号化: ネットワーク上で送信されるすべての個人情報には TLS/SSL が必要です
• モバイルデバイスのストレージ: モバイルデバイス上の個人情報には暗号化が必要です

アクセス制御要件:

• 固有のユーザー ID;共有アカウントは禁止されています
• タスクの必要性に基づいたアクセス制御 (最小権限)
• Web サービスの非アクティブ状態が最大 30 分間続いた後のセッション タイムアウト
• ログイン試行が 5 回失敗するとアカウントがロックアウトされる
• 個人情報システムへの管理アクセスには 2 要素認証が必要です

アクセスログ管理:

• 個人情報データベースへのすべてのアクセスを記録する必要がある
• ログにはアクセス ID、日付と時刻、操作の種類 (作成、読み取り、更新、削除) が含まれている必要があります。
• ログは少なくとも 1 年間保存する必要があります (機密情報や健康情報の場合は 3 年間)。
• ログは改ざんから保護する必要があります。異常検出が実装されました

ネットワーク分離:

• 100,000 人以上の個人情報を処理するプロセッサーまたは機密情報を処理するプロセッサーの場合、インターネットに接続されたシステムと内部の個人情報システムの間のネットワーク分離が必要です。
• ファイアウォール構成を文書化する必要がある

脆弱性管理:

• オペレーティング システムおよび主要なソフトウェアに対するベンダーのリリースから 6 か月以内に適用されるセキュリティ パッチ
• 少なくとも年に一度のセキュリティ脆弱性評価

---

データ主体の権利

PIPA は、指定された期間内に履行する必要があるデータ主体の権利を付与します。

---

国境を越えたデータ転送

第 28-8 条 (2023 年改正) は、国際データ転送を規定しています。

許可されたメカニズム:

1. 同意: 受取人情報、譲渡目的、譲渡品目、保存期間、拒否権に関する情報の開示後の明示的な事前同意
2. 適切性の判断: PIPC が適切な保護を受けていると指定した国への移送
3. 標準契約条項: 海外受取人との PIPC 承認 SCC の使用
4. 拘束力のある企業規則: グループ内異動についてPIPCによって承認されています
5. 契約上の必要性: データ主体との契約に必要な転送
6. 法的義務: 条約または国際協定により義務付けられています

PIPC 適切性リスト: PIPC は適切な国のリストを作成中です。現在、EUは韓国と互恵関係にある。日本も議論中だ。

同意に基づく譲渡の通知要件: 同意を取得する前の必須開示には、外国の名前、受取人の名前と連絡先、譲渡の目的、譲渡される品目、保存/使用期間、同意の拒否とその結果に関する情報が含まれます。

---

違反通知

第 34 条では、個人情報の紛失、盗難、または漏洩を発見した場合の通知を義務付けています。

PIPC への通知 (第 34 条(3)): 個人情報の紛失、盗難、または漏洩が発生した場合に必要です。以下に関連する事件の場合は 72 時間以内です。

• 1,000 人以上のデータ主体
• 機密情報または固有の識別情報
• システム違反が疑われる金額

その他のインシデントの場合: 5 営業日 以内にデータ保護当局 (KISA が PIPC に代わって報告ポータルを運営) に通知します。

個別通知（第34条第1項）：紛失、盗難、漏洩等が発生した場合には、遅滞なく必要となります。以下を含める必要があります: ・個人情報の紛失、盗難、漏洩等があった場合

• 事件発生時刻（わかっている場合）
• データ主体が実行できるアクション ・個人情報処理者の連絡先

PIPCへの通知: PIPC/KISA事件報告ポータル(privacy.go.kr)をご利用ください。

---

PIPC の執行と罰則

個人情報保護委員会 (PIPC) は、2020 年に独立した委員会として強化され、2023 年の改正でさらに権限が強化されました。

行政罰:

• 正当な根拠なく収集された個人情報、または第三者への不正提供に関する違反に対しては、総売上高/収益の 3% までの罰金
• 技術的保護措置の重大な違反に対しては、総売上高の 3% までの罰金
• 是正命令: PIPC は運用変更、データ破壊、公告を命令できる

刑事罰 (第 70 条から第 74 条):

• 同意なしに個人情報を収集した場合: 5 年以下の懲役 + 5,000 万ウォン以下の罰金
• 同意なく第三者に提供した場合：5年以下の懲役+5,000万ウォン以下の罰金
• 住民登録番号処理禁止違反：5年以下の懲役+1億ウォン以下の罰金
• データブローカーの違反: 最高 10 年の懲役

最近の施行: PIPC は、同意なしに機密情報を収集したとして、2022 年にメタに 67 億ウォン (500 万ドル) の罰金を科しました。サムスン電子は複数のPIPC指導措置を受けた。カカオはデータ取り扱い慣行に関して調査を受けた。取り締まりは活発であり、拡大しています。

---

PIPA 準拠チェックリスト

• 海外事業者のステータスも含めてPIPAの適用性を確認
• 韓国代表者指定（海外事業者）
• 機密情報の識別を含む個人情報の棚卸が完了しました
• 住民登録番号の使用状況が評価される - 法的に要求されない限り、収集は排除される
• すべての処理アクティビティについて文書化された法的根拠
• 同意書を確認しました: 具体的、情報に基づいた、自発的、それぞれの目的が分離されています
• 必要な要素をすべて記載したプライバシー ポリシーが Web サイトに公開される
• PIPO 指定: 適切な権限を持つ上級幹部
• アクセス制御の実装: 一意の ID、セッション タイムアウト (30 分)、5 回の失敗後のロックアウト
• 暗号化の実装: 機密/生体認証/財務データには AES-256。送信用のTLS。パスワードの一方向
• アクセス ログが有効化および構成されている (最低 1 年間、機密性の高いものについては 3 年間保持)
• 100,000 人以上の個人を処理する場合にネットワーク分離を実装
• データ主体の権利手続き: アクセス/修正/停止に対する 10 日間の対応
• 海外送金のために国境を越えた送金メカニズムが整備されている
• PIPC への 72 時間以内の違反通知手順
• 個別の違反通知手順を文書化
• PIPA 義務に関する従業員トレーニングが完了
• 年次脆弱性評価が予定されています

---

よくある質問

PIPA が世界で最も厳格なデータ保護法の 1 つとみなされているのはなぜですか?

PIPA は、包括的な範囲 (中小企業を含むすべての事業体に適用)、厳格な同意要件 (明示的、目的別、自発的)、規範的な技術基準 (必須の暗号化アルゴリズム、特定のアクセス ログ要件、ネットワーク分離)、強力な執行 (最高 10 年の刑事罰、収益の 3% の行政罰金)、および世界で最も厳格な国民 ID 保護の 1 つである国民登録番号の使用禁止を組み合わせています。 PIPCは国内外の大手企業に罰金を科す意向を示している。さらに、PIPA の詳細な実施規制では、GDPR の原則に基づくフレームワークに比べて、代替のコンプライアンス アプローチの余地が少なくなります。

PIPA における特定の暗号化要件は何ですか?

PIPA 実施規則 (個人情報安全対策基準) では、次のように規定されています。(1) パスワードは、一方向ハッシュ関数 (bcrypt、Argon2、または承認されたアルゴリズム) を使用して保存する必要があります。プレーン テキストまたは可逆暗号化は禁止されています。 (2) 機密情報、住民登録番号、生体認証情報、金融口座番号は、最低 AES-128 (AES-256 を推奨) を使用して暗号化して保管する必要があります。 (3) ネットワーク上で送信されるすべての個人情報は TLS 1.2 以降を使用する必要があります。 (4) モバイルデバイス上の個人情報は暗号化されなければなりません。 (5) クラウドベースのシステムの場合は、エンドツーエンドの暗号化が推奨されます。

2023 年の PIPA 改正における仮名情報とは何ですか?

仮名情報 (가명정보) は、2020 年改正 (2023 年発効) で、個人情報と匿名化情報の間のカテゴリとして導入されました。追加情報を利用しなければ特定の個人を識別できない状態に加工した個人情報を指し、安全対策を講じて分別保管します。仮名情報は、統計編集、科学研究、公的記録の保存のために同意なしで使用でき、プライバシー リスクを軽減しながらデータ分析が可能になります。プロセッサは、追加情報 (マッピング テーブル) を個別かつ安全に保管する必要があります。再識別の試みを禁止する。仮名化の記録を維持する。技術的および管理上のセキュリティ対策を実施します。

PIPA の「正当な利益」の根拠はどのように機能しますか?

PIPA に基づく正当な利益の根拠 (第 15 条(1)(6))は、2023 年の改正で導入されました。これは、データ主体の権利を無効にすることなく、処理者の正当な利益のために明らかに必要な場合に処理を許可します。これは GDPR の正当な利益を反映していますが、より狭い範囲で適用されます。PIPA の立法経緯は、これが同意に代わる汎用の基礎としてではなく、付随的で補足的な処理に使用されるべきであることを示しています。処理者は、正当な利益を文書化し、それがデータ主体の利益を無効にするかどうかを評価し、保護措置を講じる必要があります。機密情報は正当な利益のもとで収集/使用することはできません。明示的な同意または特定の法的許可が必要です。

PIPC への 72 時間以内の通知が必要なデータ侵害とは何ですか?

72 時間以内の通知要件は、次の場合に適用されます。(1) 1,000 人以上のデータ主体が紛失、盗難、または漏洩の影響を受ける。 (2) 機密情報または固有の識別情報（住民登録番号、パスポート番号、運転免許証番号、外国人登録番号）が侵害に関与している場合。 (3) この侵害は全体的なものであると思われます (より広範な脆弱性を示唆しています)。その他の侵害 (機密データを持たない個人が 1,000 人未満に影響を与える) の場合は、5 営業日以内に通知する必要があります。通知はPIPC/KISA報告ポータル(privacy.go.kr)を通じて提出しなければならない。規模に関係なく、侵害を発見したら直ちに個別に通知する必要があります。

---

次のステップ

韓国の PIPA は、組織プロセスと技術インフラストラクチャの両方への投資を必要とする厳しいコンプライアンス フレームワークです。韓国市場に参入する企業や既存の韓国事業を拡大する企業にとって、PIPA 準拠を最初からシステム アーキテクチャに組み込むこと、特に暗号化要件とアクセス ログを組み込むことは、改修するよりもはるかに効率的です。

ECOSIRE のテクノロジー実装チームは、PIPA 準拠のアーキテクチャの設計、必要な特定の技術標準の実装、韓国市場に適したプライバシー管理プロセスの構築を支援します。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 PIPA は大幅に修正され、進化し続けています。あなたの組織に特有のアドバイスについては、資格のある韓国の法律顧問にご相談ください。