(1)公共機関個人情報保護法の内容
①個人情報保護の基本原則
公共機関個人情報保護法は、個人情報の基本原則として、ⅰ ) 公共機関の長は、個人情報を収集 する場合、その目的を明確にしなければならないし、目的に必要な最小限の範囲内で適法かつ正当 に収集しなければならず、目的外の用途に活用してはならないこと(3 条の 2 第1項)、ⅱ ) 公共機 関の長は、処理情報の正確性及び最新性を保障して、その保護の安全性を確保しなければならない こと(2 項)、ⅲ ) 公共機関の長は、個人情報の収集・活用等、個人情報の取扱いに関する事項を公 開しなければならず、個人情報処理において処理情報の閲覧請求権等、情報主体の権利を保障しな ければならないこと(4 項)を定めている。
②保護の対象となる個人情報
公共機関個人情報保護法の保護対象となるものは、「公共機関のコンピュータ・閉鎖回路テレビジョ ン等の情報の処理又は送・受信機能を有する装置により処理される個人情報」(1 条)である。「公 共機関」とは、国家行政機関・地方自治団体その他の公共団体のうち大統領令で定めるものをいう。
「個人情報」とは、生存する個人に関する情報で、当該情報に含まれている氏名・住民登録番号等の 事項により当該個人を識別することのできる情報(当該情報のみでは特定個人を識別できなくても、
他の情報と容易に結合して識別することのできるものを含む)をいう(2 条 2 項)。
③個人情報の収集・保有の制限 (a) 個人情報の収集制限
公共機関の長は、思想・信条等、個人の基本的人権を著しく侵害するおそれのある個人情報を 収集してはならない。ただし、情報主体の同意があるか、または、他の法律に収集対象個人情報 が明示されている場合には、この限りではない(4 条1項)。
(b) 個人情報ファイルの保有制限
公共機関は、所管業務を遂行するために必要な範囲内で個人情報ファイルを保有することがで きる(5 条)。
(c) 事前協議
公共確保の長が、個人情報ファイルを保有しようとする場合(他の公共機関から処理情報を提 供されて保有しようとする場合を除く)には、行政安全部長官と協議しなければならない(6 条 1 項)。
(d) 個人情報ファイルの公告
行政安全部長官または関係中央行政機関の長は、事前協議した事項を大統領令の定めるところ により、年1回以上、官報またはインターネットホームページ等に掲載して公告しなければなら ない(7 条)。
(e) 個人情報ファイル台帳の作成
保有機関の長は、当該機関が保有している個人情報ファイル別に所定の事項を記載した台帳を 作成して一般人が閲覧できるようにしなければならない(8 条)。
(f) 個人情報の安全性確保等
公共機関の長は、個人情報を処理したり個人情報ファイルを「電子政府法」による情報通信網 によって送受信する場合、個人情報が紛失・盗難・漏洩・変造または棄損されないよう、安全性 確保に必要な措置を講じなければならない(9 条、9 条の 2)。
(g) 閉鎖回路テレビジョンの設置等
公共機関の長は、犯罪予防及び交通取締など公益のために必要な場合、行政手続法の規定によ る公聴会など、大統領令で定める手続を経て、関係専門家及び利害関係人の意見を収斂した後に、
閉鎖回路テレビジョンを設置することができる(4 条の 2 第1項)。
④処理情報の目的外利用及び提供の制限
(a) 処理情報の保有目的外の利用及び提供の禁止
保有機関の長は、他の法律に基づいて、保有機関の内部または保有機関の外部の者に対して利 用させたり提供する場合を除いては、当該個人情報ファイルの保有目的以外の目的で処理情報を 利用させたり提供してはならない(10 条1項)。保有機関から処理情報を提供された者は、保有 機関の同意なく当該処理情報を第三者に利用させたり提供してはならない(10 条 5 項)。
ただし、一定の場合には、処理情報の保有目的外の利用及び他の機関への提供も例外的に許さ れる (10 条 3 項)。保有機関の長は、法律が定めた例外規定に基づいて、処理情報を情報主体以 外の者に利用させたり提供しようとするときには、処理情報を受領した者に対して、使用目的・
使用方法その他必要な事項に対して制限したり処理情報の安全性確保のために必要な措置を講じ るよう要請しなければならず、このような要請を受けた情報受領者は処理情報の安全性確保のた めの措置をとらなければならない(10 条 4 項)。
保有機関から提供された処理情報を利用する機関は、提供機関の同意なしに当該処理情報を他 の機関に提供してはならない(10 条 5 項)。個人情報の処理を行う公共機関の職員や公共機関か ら個人情報の処理業務を委託されて業務に従事する者等は、職務上知り得た個人情報を漏洩し、
または権限なく処理するなど、不当な目的のために使用してはならない(11 条)。
(b) 提供の制限
保有機関の長は、保有目的にしたがって処理情報を利用または提供する場合であっても、業務 遂行に必要な最小限の範囲に、その利用または提供を制限しなければならない (10 条 2 項 )。保 有機関の長は、公共機関個人情報保護法の規定 (10 条 3 項 2 号~ 5 号、7 号 ) により保有目的外 の目的に利用または提供する場合には、その利用または提供の法的根拠・目的及び範囲などに関 して必要な事項を情報主体が容易に確認できるように官報またはインターネットホームページな どに掲載しなければならない (10 条 6 項 )。
(c) 個人情報ファイルの破棄
保有機関の長は、他の法律により保存しなければならない場合を除いて、個人情報ファイルの 保有目的達成など、当該個人情報ファイルの保有が不必要になったときには、当該個人情報ファ イルを、遅滞なく、破棄しなければならない (10 条の 2)。
⑤処理情報の閲覧・訂正・削除等 (a) 情報主体の閲覧請求権
情報主体は、法律で制限された場合を除いて、個人情報ファイル台帳に記載された範囲内にお いて文書で本人に関する処理情報の閲覧を保有機関の長に請求することができる (12 条 1 項 )。
本人の処理情報を閲覧した情報主体は、保有機関の長に文書でもって当該処理情報の訂正または 削除を請求することができる (14 条 1 項 )。
(b) 不服請求
閲覧・訂正・削除の請求に対して公共機関の長が行った処分または不作為によって権利または 利益が侵害された者は、行政不服申立てまたは行政訴訟を提起することができる(15 条)。
⑥個人情報保護方針の制定・公告
保有機関の長は、一定の事項を盛った個人情報保護方針を定めなければならない (20 条 1 項 )。
⑦個人情報管理責任官の指定
公共機関の長は、所管処理情報の保護及び管理のために、個人情報管理責任官を指定しなければな らない。その資格要件・指定および運営等に関して必要な事項は、大統領令で定める (20 条の 2)。
(2)情報通信網法の個人情報保護規定
情報通信網法に規定されている個人情報保護義務は、表 2 のとおりである。
情報通信網法が定める、個人情報の収集・利用の同意手続、個人情報破棄義務などの基本原則及び 手続的規定は、国際的水準に達している。個人情報保護規定は、OECD の個人情報保護ガイドライン を忠実に反映しており、同意手続の細分化などは、むしろ EU 国家よりも詳細であるともいえよう。し かし、義務違反の事業者に対する制裁手段は脆弱であり、事業者の個人情報保護の認識の強化及び投 資を誘引するための制度的装置は不十分であり(技術的・管理的保護措置の未履行に対する制裁は過 料 1000 万ウォン)、また、事業者には個人情報を侵害したときに利用者に侵害事実を伝える法的義務 がないために、利用者にとっては迅速な被害予防及び権利救済が困難であると指摘されている。
表 2 情報通信網法の個人情報保護内容
区分 主要内容 罰則
個人情報収集
・同意のない個人情報収集 (22 条 )
罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金及び課徴金 )
・機微な個人情報収集 (23 条 )
・法定代理人の同意のない児童の個人 情報収集 (31 条 )
・必要最小限の個人情報以外の情報を 未提供であるという理由でのサービス
提供の拒否 (23 条 ) 過料 (3,000 万ウォン以下 )
・住民登録番号以外の会員加入方法を 未措置 (23 条の 2)
個人情報利用及び提 供
・同意を得た目的と異なる目的で個人
情報を利用 (24 条 ) 罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金及び課徴金 )
・利用者の同意のない個人情報の第三 者提供 (24 条の 2)
個人情報取扱委託
・利用者の同意のない個人情報の取扱
の委託 (25 条 ) 罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金及び課徴金 )
・個人情報の取扱委託事実の未公開 (25 条 )
営業譲受による個人 情報の移転
・営業譲渡等の未通知 (26 条① ) 過料 (2,000 万ウォン以下 )
・営業譲受者等が当初の目的と異なる 目的で個人情報を利用・第三者提供 (26 条③ )
罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金及び課徴金 )
個人情報の管理
・個人情報管理責任者の未指定 (27 条 )
・個人情報取扱方針の未公開(27条の2) 過料 (2,000 万ウォン以下 )
・技術的・管理的措置の未履行 (28 条 ) 是正措置
・技術的・管理的措置の未履行による 漏洩 (28 条 )
罰則 (2 年以下の懲役又は 1,000 万ウォン以下の罰金及び課徴金 (1 億ウォン以下 )
・個人情報取扱者の個人情報棄損・侵害・
漏洩 (28 条の 2) 罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金 )
個人情報の破棄 ・個人情報の未破棄 (29 条 ) 過料 (3,000 万ウォン以下 )
利用者の管理
・利用者の同意撤回・閲覧・訂正要求
の未措置 (30 条③ , ④ ) 過料 (3,000 万ウォン以下 )
・個人情報の誤謬訂正要請に対する必 要措置を履行する前に個人情報の第三 者提供・利用 (30 条⑤ )
罰則 (5 年以下の懲役又は 5,000 万ウォン以下の罰金 )
・利用者の同意撤回・閲覧・訂正要求 を個人情報の収集方法よりも困難にす
る (30 条⑥ ) 過料 (3,000 万ウォン以下 )