第1 はじめに 2021年12月17日、欧州委員会は、韓国に対する十分性認定(GDPR45条)を採択しました(韓国では「適正性決定」と呼ばれています)。日本では、12月29日現在、ざっと見た限りあまりメディアでは紹介されていないようです(下記の記事が見つかった程度でした)が、日本の隣国である韓国の動向は無視できないのではないかと思います。
そこで、今回は、韓国の個人情報保護委員会の公式報道資料の内容(下記URL先参照)をざっくり紹介します(最近、韓国の著作権法を読むということで、少しずつ韓国の著作権法を紹介していましたが、今後、個人情報保護法にシフトしていくかもしれません)。EU側の発表内容をすでに確認済みの方も多いかもしれませんが、韓国側がどのような形で報道しているかについて、参考までにみていきたいと思います。
第2 韓国個人情報保護委員会の報道資料の概要(ざっくり) 報道資料では、まず、韓国とEUが、12月17日(金)午後6時(※韓国時間。日本と時差がないため日本の時刻でも同様)に行った共同言論発表を通して、韓国に対する「個人情報保護適正性決定(Adequacy Decision)」が採択(即時発効)されたことに関し、以下の通り述べられています。
동 발표에서 양측 담당장관인 윤종인 개인정보보호위원회(이하 ’개인 정보위‘) 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 유럽연합 간에 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호 법제가 이번 적정성 결정의 토대”임을 밝혔다.
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관) 1p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do ) 同発表において、両側の担当長官であるユン・ジョンイン個人情報保護委員会(以下「個人情報委」)委員長とディディエ・レンダースEU執行委司法総局コミッショナーは、 韓国とEU間の高い水準の情報保護に対する共有された意志と韓国の優秀な個人情報保護法制が今回の適正性決定の土台であることを明らかにした。
報道資料では、その後、十分性認定に至るまでの紆余曲折について言及されています。中でも、十分性認定に至るまでの間、EUに進出した韓国の主要企業が、GDPRにおける標準契約による個人情報の越境移転について大きな負担を強いられてきたことが述べられています。
그간 EU진출 한국 주요기업들은 주로 표준계약* 등을 통해 EU 개인정보를 국내로 이전하여 왔으며, 이를 위해 많은 시간과 비용**을 투자하여 왔음에도 불구하고 GDPR 관련 규정 위반에 따른 과징금 (최대 전세계 매출 4%) 부과 등에 대한 큰 부담을 안고 있었다. 또한 중소기업의 경우에는 표준계약절차 자체가 어려워 EU 진출을 미리 포기하는 사례도 있었던 것으로 파악되고 있다. * 표준계약(Standard Contractual Clauses) : EU집행위 또는 회원국 감독 기구가 승인한 개인정보보호원칙, 내부규율, 피해보상 등 필수적인 조항을 계약서 형식으로 표준화한 것으로, 적정성 결정을 받지 못한 국가의 기업들 에게 가장 널리 활용되는 국외이전 수단임 ** LG, SKT, 네이버 등 EU진출기업 관계자에 따르면, 표준계약조항을 이용한 계약 체결을 위해서는 GDPR 및 해당 회원국의 법제에 대한 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 프로젝트별로 3개월 이상의 시간과 상당한 비용(3천만원~1억원)이 소요되는 것으로 파악
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관)3p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do) これまでEUに進出した韓国の主要企業は主に標準契約*などを通じてEUの個人情報を国内に移転してきており、このために多くの時間と費用**を投資してきたにもかかわらず、GDPR関連規定違反による課徴金(最大全世界の売上の4%)賦課などに対する大きな負担を抱えていた。また、中小企業の場合には、標準契約の手続自体が難しく、EU進出をあらかじめ放棄する事例もあったと把握されている。 * 標準契約(Standard Contractual Clauses) : EU執行委または加盟国監督機構が承認した個人情報保護原則、内部規律、被害補償など必須条項を契約書形式で標準化したもので、適正性決定を受けなかった国家の企業に最も広く活用される国外移転手段である **LG、SKT、ネイバーなどEU進出企業関係者によると、標準契約条項を利用した契約締結のためには、GDPRおよび該当加盟国の法制に対する綿密な法律検討、現地実写、その他行政手続きなどにより、プロジェクト別に3ヶ月以上の時間と、相当の費用(3千万ウォン~1億ウォン)がかかるものと把握
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관)3p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do) そして、このような韓国企業の負担が、今回の十分性認定により大きく改善され、韓国・EU企業間のデータ交流・協力強化により韓国国内のデータ経済の活性化に大きく寄与するものと展望される、と述べられています。
○ 이번 적정성 결정으로 한국이 개인정보 국외이전에 있어 EU 회원국에 준하는 지위를 부여받게 됨에 따라, 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제된다. - 이에 따라 한국 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간 및 비용이 대폭 절감될 것으로 기대되며, 나아가 한-EU 기업 간 데이터 교류·협력 강화로 인해 국내 데이터 경제 활성화에 크게 기여할 것으로 전망된다.
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관)3p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do) ○今回の適正性決定で、韓国が個人情報の国外移転においてEU加盟国に準ずる地位を付与されることにより、韓国企業の場合、標準契約など既存の厳しい手続きが免除される。 - これにより韓国企業のEU進出が増え、そのために企業が要しなければならなかった時間と費用が大幅に削減されると期待され、ひいては、韓-EU企業間のデータ交流・協力強化により国内データ経済活性化に大きく寄与するものと展望される。
また、日本を意識した言及もなされており、民間データの移転に限定されていた日本の十分性認定と異なり、韓国の十分性認定は公共データの移転にも適用されることから、規制協力等、韓国とEU政府との間の公共分野の協力も強化されることが期待されるとしています。
○ 또한, 민간 데이터 이전에 국한되었던 일본에 대한 적정성 결정 (’19.1)과는 달리, 이번 한국에 대한 적정성 결정은 공공 데이터 이전에도 적용됨으로써 규제 협력 등 한-EU 정부 간 공공분야 협력도 강화될 것으로 기대된다.
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관)3p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do) ○また、民間データの移転に局限された日本に対する適正性決定('19.1)とは異なり、今回の韓国に対する適正性決定は公共データ移転にも適用されるため、規制協力など韓-EU政府間の公共分野での協力も強化されるものと期待される。
そのほか、報道資料では、韓国・EUの共同言論発表文の翻訳文(参考資料1)、原文(参考資料2)、GDPRの十分性認定の制度概要(参考資料 3)、十分性認定により恩恵を受ける企業の事例(参考資料4)が参考資料として添付されています。このうち、参考資料4について以下の通りご紹介します。イメージしやすい事例ですね。
참고4 적정성결정으로 혜택을 볼 수 있는 기업 사례 □ EU 지사 – 한국 본사 ○ (前) 프랑스 파리에 소재하는 A사(지사)는 EU 고객을 대상으로 맞춤형 쇼핑 대행업(특히 한국 상품)을 하고 있는데, 고객들이 선호할 것으로 예상되는 상품을 선정하기 위해 고객의 개인정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰해 왔다. EU 고객정보를 한국으로 이전하기 위해서는 표준계약조항을 활용할 수밖에 없어, 시간·비용 부담 및 법 위반 우려*로 인해 소극적으로 영업 활동을 하였다. * 프랑스 개인정보감독기관(CNIL)으로부터 표준계약조항 관련 GDPR 규정 위반 여부 조사 및 과태료(최대 전세계 매출액 4%) 처분을 받을 우려 ○ (後) 한국에 대한 적정성 결정으로 인해 A사는 한국 본사로 EU 고객정보를 보내는 과정이 간소화되었으며, 표준계약조항을 이용하지 않아도 됨에 따라 비용·시간 및 법적리스크 감소로 적극적인 영업 활동이 가능하게 되었다. □ EU 기업 – 한국 기업 ○ (前) 독일에 소재하는 B사(독일 기업)는 고객 개인정보를 분석 하여 새로운 마케팅 전략 수립이 필요한 상황이었다. 그러나 이에 특화된 전문성 있는 데이터 연구 기업을 EU 내에서는 찾기 어려워 한국으로 데이터를 이전하여 처리하고자 하였으나 표준 계약 등으로 인한 부담이 있어 제한적인 연구만 가능했다. ○ (後) 한국에 대한 적정성 결정으로 인해 한국으로의 개인정보 이전이 자유로워짐에 따라 B사는 한국의 전문성이 있는 데이터 연구 기업과의 제휴가 보다 확대되었다.
211218 (조간) 한국 EU 「개인정보보호 적정성 결정」 최종 통과(국제협력담당관)8p(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do) 参考4 適正性決定で恩恵を受けることができる企業事例 □ EU支社 – 韓国本社 ○ (前) フランスパリに所在するA社(支社)はEU顧客を対象にカスタマイズ型ショッピング代行業(特に韓国商品)を行っているのが、顧客が好むと予想される商品を選定するために顧客の個人情報を自己分析するのに困難があり、韓国本社に分析を依頼してきた。 EU顧客情報を韓国に移転するためには標準契約条項を活用するしかなく、時間・費用負担及び法違反の懸念*により消極的に営業活動を行っていた。 *フランス個人情報監督機関(CNIL)から標準契約条項関連GDPR規定違反可否調査及び過怠料(最大全世界売上額4%)処分を受ける懸念 ○ (後)情報を送る過程が簡素化され、標準契約条項を利用する必要がないため、費用・時間及び法的リスクの減少で積極的な営業活動が可能になった。 □EU企業 - 韓国企業 ○(前)ドイツに所在するB社(ドイツ企業)は、顧客個人情報を分析して新しいマーケティング戦略の確立が必要な状況だった。しかし、これに特化した専門性のあるデータ研究企業をEU内では見つけるのが難しく、韓国にデータを移転して処理しようとしたが、標準契約などによる負担があり、制限的な研究のみ可能であった。 ○ (後) 韓国に対する適正性決定により韓国への個人情報の移転が自由になるに伴い、B社は韓国の専門性のあるデータ研究企業との連携がより拡大された。
第3 終わりに 以上の通り、報道資料の概要をご紹介しました。隣国である日本を意識した言及もあり、個人情報分野におけるEUとの関係構築において、他の国々、特に日本に先んじて行こうという強い意志が伺えました。韓国の科学技術情報通信部傘下の韓国インターネット振興院では、「GDPR対応支援センター」(https://gdpr.kisa.or.kr/index.do )を設け、韓国企業のGDPR対応に関する相談やコンサルティング、教育等の支援を実施しており、日本よりも、より積極的な姿勢が見えます。 (290ページにのぼるGDPRのガイドブックなども公開されています。「2020 EU 일반개인정보보호법(GDPR) 가이드북」(https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleDetail.do ) すでに報道から10日以上経っているので、このタイミングでご紹介する意義がだいぶ薄れていそうですが、年明けから韓国の個人情報保護法について少しずつ解説していきたいと思っており、そのプロローグ的なものとして、「来年から頑張るぞ!」という意味を込めて、まずは一記事を書いてみようと思いました。2022年から、しっかりと更新できるように頑張っていきます。
以上