はじめに

韓国の個人情報保護委員会は2022年9月14日に、GoogleとMetaが個人情報保護法に違反したとして罰金を科したことを発表した。両社に科された罰金の合計は、日本円でなんと100億円オーバーだ（2022年9月26日時点の為替）。

この報道を知り、プライバシー業界における韓国の立ち位置はどのようなものなのか、また韓国はプライバシーについてどのように考えているのかが気になった。

そこで本記事では、韓国のプライバシー法をおさらいしつつ、今回の報道の概要、日本と韓国のプライバシー感覚の違いについて考察してみようと思う。

韓国のプライバシー法とは？

まず、韓国には「データ3法」と呼ばれる3つの法律がある。以下の3つだ。

• 個人情報保護法
• 情報通信網利用促進および情報保護などに関する法律
• 信用情報の利用および保護に関する法律

それぞれ詳しくみていこう。

個人情報保護法

韓国の個人情報保護法は、データ3法の中でもメインの法律だといえる。まず、韓国の個人情報保護法は、「個人情報」を以下のように定義している。

1. 氏名、住民登録番号、映像などを通じて個人を知ることができる情報
2. 該当情報だけでは特定個人を知ることができなくても、他の情報と結合することで、容易に調べることができる情報
3. 上記の情報を仮名処理することにより、元の状態に復元するための追加情報の使用・結合なしには特定個人を知ることができない情報

また、個人情報の種類としては以下が挙げられている。

• 一般情報（氏名、住所、連絡先、生年月日など）
• 家族情報（家族関係、家族メンバー情報など）
• 身体情報（顔、遺伝子情報、指紋など）
• 医療・健康情報（健康状態、病歴、身体障害など）
• 好み・傾向情報（図書などのレンタル情報、雑誌購読情報、検索履歴など）
• 内面の秘密情報（思想、宗教、価値観など）
• 教育情報（学歴、成績、資格など）
• 兵役情報（兵役可否、階級、主特技など）
• 労働情報（職場、雇用主、勤務先など）
• 法的情報（前科、裁判記録など）
• 所得情報（給料、利息収入、事業所得など）
• クレジット情報（カード番号、通帳口座番号、信用評価情報など）
• 不動産情報（所有住宅、土地、自動車など）
• その他の収益情報（保険加入状況、休暇など）
• 通信情報（メールアドレス、通話履歴、Cookieなど）
• 位置情報
• 習慣と趣味情報（喫煙、飲酒、スポーツ、ギャンブル性向など）

以上を見て分かる通り、日本の個人情報保護法が定める「個人情報」よりも、韓国の「個人情報」は広い定義がなされている。

そして韓国の個人情報保護法では、日本の個人情報保護法と同様に、個人情報の利用基準や適用範囲が定められている。それに加え、映像情報処理機器の規制として、設置目的を超えた撮影・録音機器の設置を禁止している。ちなみに日本には盗聴を罰する法律が存在していない。

その他、韓国の個人情報保護法では具体的な規制が設けられている。詳しくは韓国の個人情報保護ポータルを参照してみてほしい。

情報通信網利用促進および情報保護などに関する法律

情報通信網利用促進及び情報保護などに関する法律は、情報通信網の利用を促しつつ、サービス利用者の個人情報を保護するために制定された法律だ。

ちなみに情報通信網とは「電気通信事業法第2条第2号による電気通信設備を利用したり、電気通信設備とコンピュータ及びコンピュータの利用技術を活用して情報を収集・加工・保存などができる情報通信システム」のことを指す。

そして同法では、情報通信網の利用促進と、サービス利用者の保護の2つの観点でルールが定められている。

情報通信網の利用促進

同法第2章では、情報通信網の利用促進のためのルールが定められている。そのため、政府と科学技術情報通信部長官の権限について明記されているのが特徴だ。

例えば「科学技術情報通信部長官は、情報通信網に関連する技術及び機器に関する情報を体系的かつ総合的に管理しなければならない」といったものや「政府は、国家競争力を確保したり、公益を増進するために情報通信網を通じて流通する情報内容物を開発する者に財政及び技術等必要な支援をすることができる」といったものがある。

サービス利用者の保護

同法第4章以降（第3章は2015年の改正で全文削除）では、サービス利用者を保護するための法律が定められている。

また、懲役刑・罰金刑が設けられており、2年以下の懲役又は2千万ウォン（約200万円）以下の罰金が規定されている。

信用情報の利用および保護に関する法律

一般社団法人キャッシュレス推進協議会の「キャッシュレス・ロードマップ2022」によると、2020年の**韓国におけるキャッシュレス決済状況は93.6%**を記録している。ちなみに日本は29.8%だ。

また、1997年のアジア通貨危機の影響で、韓国政府はキャッシュレス化を推進。**特にクレジットカードを普及させた。**その影響もあり、韓国では「信用情報の利用および保護に関する法律」を定めている。

同法は信用情報関連産業の健全な育成、信用情報の効率的な利用、健全な信用秩序の確立、国民経済の発展を目的としている。具体的には信用情報産業の許可、信用情報の収集・処理方法などが定められている。

ちなみに日本では貸金業法や割賦販売法が存在するものの、信用情報の利用・保護のためだけの法律は存在していない。

2020年に改正される

韓国のデータ3法は2020年2月に改正案が公布され、2020年8月に施行された。改正前の段階で以下のような問題点があったためだ。

• 個人情報の判断基準が曖昧
• 個人情報の保護・監督機関が分散していた
• EUの十分性認定
• データ三法の間で重複していた

特にEUの十分性認定は、外需で経済を支える必要がある韓国にとっては重要な要素だ。2018年に施行されたGDPRによって、EUは「EU並みのデータ保護水準を満たした国（十分性認定）」以外に対してデータを移転しなくなった。そして韓国は十分性認定を受ける要件を満たしていなかったため、データ3法の改正に踏み切った。

また、韓国の個人情報保護委員会は**「個人情報の定義は常に変化する」**と考えている。時代が進むにつれ、インターネットが現実世界を侵食するためだ。今までインターネットと関連がなかった物も、IoTなどの出現によってインターネットと紐づかれるようになった。スマートスピーカーがいい例だろう。

このような背景があったために、データ3法は2020年に改正されたのだ。

韓国と日本のプライバシー感覚の違いとは？

韓国と日本のプライバシー感覚の違いは、緊張感にあると考えられる。

まず韓国と日本は、経済システムから根本的に異なる。日本は1億人以上の人口を抱える国であるため、内需でもある程度大きい規模のビジネスが成立してしまう。しかし韓国の人口は5,000万人ほどで、内需だけでビジネスを成立させるのは難しい。

そのうえ、1997年のアジア通貨危機の影響で、韓国は経済破綻寸前にまで陥り、IMF（国際通貨基金）による援助でなんとか生き永らえてきた経緯がある。そのため、日本のように資本が余っているわけではないのだ。

だからこそ韓国は外需主導型の経済成長を推進させている。現在の韓国はコンテンツ産業が成功していると言われており、イカゲームやBTSはその賜物だろう。そして外需主導型であるため、韓国企業は必然的に**諸外国とデータのやり取りをする必要がある。**だからこそデータ3法を強化することで、自国民の個人情報保護を強化しながらデータ利活用を進めているのだ。いや、一刻も早く進めなければいけないという解釈の方が正しいだろう。

また近年では、韓国の迅速なコロナ対策が話題になった。韓国は2015年のMERS（中東呼吸器症候群）流行の反省を活かし、ITと疫病対策の連携を進めていた。実際にMERS流行後に感染症予防管理法が改正され、韓国疫病管理本部が感染者のクレジットカード利用履歴・防犯カメラ記録・携帯電話のGPS機能・交通カードの利用状況などにアクセスできるようになった。

また、2020年3月下旬には疫学調査支援システムが開発され、感染者追跡データの収集・分析に2-3日掛かっていたのが1時間以内に短縮されたという。

以上のことから分かる通り、韓国政府は国民の個人情報の取り扱いに対してある程度の権力を行使できるようになっている。それは「MERS流行の反省」という名の緊張感が影響していると考えられる。また、海外とビジネスをする必要があることから、韓国はデータのやり取りに対しても敏感なのだ。

韓国がGoogleとMetaに罰金を命じる

2022年9月14日、韓国の個人情報保護委員会はGoogleとMetaに対して罰金を科した。その金額はGoogleが692億ウォン（約70億円）でMetaが308億ウォン（約31億円）だ。

個人情報保護委員会によれば、GoogleとMetaは、ユーザーの情報を収集する際に適切な同意を得ていなかったという。まずGoogleの場合、ユーザー情報を収集する際に「同意する」をデフォルトの選択肢とし、ほかの選択肢を隠していたのだという。またMetaの場合、2022年8月8日までに新しいプライバシーポリシーに同意しなかったユーザーに対し、FacebookとInstagramのアカウントにアクセスできなくなるような措置を行おうとしたとのことだ。確かにこれが事実であれば、適切な措置を講じる可能性が高いだろう。

だが筆者が個人的に気になったのは「そもそも韓国の個人情報保護法は、これだけ巨大な罰金を科すことができるのか」ということだ。

実際に韓国の個人情報保護法を見ると、第10章「罰則」における罰金の最高額は1億ウォン以下だ。そのため一見すると、692億ウォンや308億ウォンの罰金は強引なのではないかと思う。

しかし第74条の2で以下のように定められている。

第70条から第73条までのいずれかに該当する罪を犯した者が当該違反行為に関連して取得した金品又はその他の利益は没収することができ、これを没収することができないときは、その価額を追徴することができる。この場合、没収または追徴は、他の罰則に加えて過剰にすることができる。

つまり大雑把に言ってしまうと、韓国の個人情報保護委員会はGoogleやMetaの売上高に対して罰金額を決定できるのだ。「当該違反行為に関連して取得した金品又はその他の利益」という表現が曖昧なため罰金額を正確に測定できないが、少なくとも1億ウォン以上の罰金を科すことができるのは間違いない。

現段階でGoogleとMetaは、委員会の見解に同意できないとして、反抗する姿勢を見せている。

まとめ

• 韓国は外需主導型の経済システムであるため、諸外国とデータのやり取りをしなければならない
• 韓国は日本に比べて、国民の個人情報に対する政府の権力が強い
• 韓国の個人情報保護法は、ビッグテックに対して巨額の罰金を科せる仕組みになっている