韓国の「個人情報保護法」を訳してみた
はいはい、調子に乗って韓国で今年9月30日に施行されたばかりの個人情報保護法を訳してみましたよ。原文は韓国国家法令情報センターのここ。個人情報保護法施行令(大統領令)や個人情報保護法施行規則(行政安全部令)もあるけど、流石に今訳す気力はない。施行規則は申請様式等の定義ぐらいのようだが、大統領令は後日訳してみるかも。
例によって、機械翻訳かけて、おかしなところを辞書で調べつつケンチャナヨで訳した「荒訳」です。法文としての厳密な表現はあまり考慮できていません。原文中の漢字語は、可能な限り忠実に訳すようにしています(つまり直訳しています)。原文中、項を示す丸数字は、括弧数字に直しています。ダブルクオートは鍵括弧に直しています。また、法律名は鍵括弧がついていないものについても鍵括弧を付けています。
附則の一部は省略しました。文字数オーバーらしくて、全部入らないorz
概観
- INTERNET Watchで個人情報保護法施行を紹介した記事によれば、
全体を通して受ける印象としては、際立って特徴的なポイントは見当たらず、比較的「普通」の内容。規制に関しては何かと「イケイケ」のイメージがある韓国にしては、少々「物足りない」気もします(苦笑)。
【海の向こうの“セキュリティ”】 第61回:韓国で9月30日に施行された「個人情報保護法」の中身 -INTERNET Watch
とあるけど、結構罰則バシバシかけてるし、行政指導もガンガンできて、立入調査権まである(第63条第2項)。
法文
個人情報保護法
[施行2011.9.30] [法律第10465号 2011.3.29 制定]
行政安全部(個人情報保護課)02-2100-1732
第1章 総則
第1条(目的)この法律は、個人情報の収集、流出、誤用、乱用から私生活の秘密等を保護することにより、国民の権利と利益を増進し、ひいては個人の尊厳と価値を実現するために個人情報処理に関する事項を規定することを目的とする。
第2条(定義)この法律において使用する用語の定義は以下の通り。
1. 「個人情報」とは、生きている個人に関する情報として、氏名、住民登録番号、映像等を通して、個人を認識できる情報(その情報だけでは特定の個人を認識できなくても他の情報と容易に結合して調べることができるものを含む)をいう。
2. 「処理」とは、個人情報の収集、作成、記録、保存、保持、処理、編集、検索、出力、訂正、回復、利用、提供、開示、破棄、その他これらに類する行為をいう。
3. 「情報主体」とは、処理される情報によって認識することができる人であって、その情報の主体となる者をいう。
4. 「個人情報ファイル」とは、個人情報を簡単に検索できるように、一定の規則に基づいて体系的に配列したり、構成した個人情報の集合物をいう。
5. 「個人情報処理者」とは、業務を目的として個人情報ファイルを運用するために、自分や他の人を通じて個人情報を処理する公共機関、法人、団体、個人等をいう。
6. 「公共機関」とは、次の各目の機関をいう。
ア. 国会、法院、憲法裁判所、中央選挙管理委員会の行政事務を処理する機関、中央行政機関(大統領所属機関と国務総理所属機関を含む)及びその所属機関、地方自治団体
イ. その他の国家機関及び公共団体のうち大統領令で定める機関
7. 「映像情報処理機器」とは、一定の空間に持続的に設置され、人や物事の映像等を撮影したり、有線無線ネットワークを経由して送信する装置で、大統領令で定める装置をいう。
第3条(個人情報保護原則)(1)個人情報処理者は、個人情報の処理の目的を明確にしなければならならず、その目的に必要な範囲で最小限の個人情報を適法かつ正当に収集しなければならない。
(2)個人情報処理者は、個人情報の処理目的に必要な範囲で適切に個人情報を処理しなければならず、その目的外の用途に活用してはならない。
(3)個人情報処理者は、個人情報の処理目的に必要な範囲で個人情報の正確性、完全性および最新性を保証するようにしなければならない。
(4)個人情報処理者は、個人情報の処理方法及び種類等に応じて、情報主体の権利が侵害される可能性とその危険程度を考慮し、個人情報を安全に管理しなければならない。
(5)個人情報処理者は、個人情報処理方針等個人情報の処理に関する事項を公開しなければならず、閲覧請求権等、情報主体の権利を保証しなければならない。
(6)個人情報処理者は、情報主体の私生活侵害を最小限にする方法で個人情報を処理しなければならない。
(7)個人情報処理者は、個人情報の匿名処理が可能な場合には、匿名によって処理されるようにしなければならない。
(8)個人情報処理者は、この法律及び関係法令に規定する責任と義務を遵守し、実践することで、情報主体の信頼を得るために努力しなければならない。
第4条(情報主体の権利)情報主体は、自身の個人情報処理と関連して、次の各号の権利を有する。
1. 個人情報の処理に関する情報を受け取る権利
2. 個人情報の処理に関する同意可否、同意範囲等を選択し、決定する権利
3. 個人情報の処理の有無を確認し、個人情報について、閲覧(写しの発行を含む。以下同じ)を要求する権利
4. 個人情報の処理停止、訂正、削除、及び破棄を要求する権利
5. 個人情報の処理により発生した被害を迅速かつ公正な手続に従って救済を受ける権利
第5条(国家等の責務)(1)国家及び地方自治団体は、個人情報の目的外収集、誤用、乱用や無分別な監視、追跡等による弊害を防止して、人間の尊厳と個人の私生活の保護を図るための施策を講じなければならない。
(2)国家及び地方自治団体は、第4条による情報主体の権利を保護するために、法令の改善など必要な施策を講じなければならない。
(3)国家及び地方自治団体は、個人情報の処理に関する不合理な社会的慣行を改善するために、個人情報の処理者の自律的な個人情報の保護活動を尊重し、促進支援しなければならない。
(4)国家及び地方自治団体は、個人情報の処理に関する法令又は条例の制定又は改正する場合には、この法律の目的に適合するようにしなければならない。
第6条(他の法律との関係)個人情報の保護については、「情報通信網利用促進及び情報保護等に関する法律」、「信用情報の利用及び保護に関する法律」等、他の法律に特別の規定がある場合を除いては、この法律で定めるところによる。
第2章 個人情報保護方針の樹立等
第7条(個人情報保護委員会)(1)個人情報保護に関する事項を審議議決するために大統領所属で、個人情報保護委員会(以下「保護委員会」という)を置く。保護委員会は、その権限に属する業務を独立して実行する。
(2)保護委員会は、委員長1名、常任委員1名を含む15名以内の委員で構成し、常任委員は、政務職公務員として任命する。
(3)委員長は委員の中から、公務員でない者に大統領が委嘱する。
(4)委員は、次の各号のいずれかに該当する者を大統領が任命するか、または委嘱する。この場合、委員のうち5名は、国会が選出する者を、5名は大法院長が指名する者をそれぞれ任命するか、または委嘱する。
1. 個人情報保護に関連する市民社会団体や消費者団体から推薦を受けた者
2. 個人情報処理者で構成される事業者団体から推薦を受けた者
3. その他個人情報に関する学識と経験が豊富な者
(5)委員長及び委員の任期は3年とし、1回に限り再任することができる。
(6)保護委員会の会議は、委員長が必要であると認めたり、在籍委員の4分の1以上の要求がある場合に委員長が招集する。
(7)保護委員会は在籍委員の過半数の出席と出席委員の過半数の賛成により議決する。
(8)保護委員会の事務を支援するために保護委員会に事務局を置く。
(9)第1項から第8項までに規定する事項のほか、保護委員会の組織及び運営に関して必要な事項は大統領令で定める。
第8条(保護委員会の機能等)(1)保護委員会は、次の各号の事項を審議議決する。
1. 第9条による基本計画及び第10条による施行計画
2. 個人情報保護に関連する政策、制度及び法令の改善に関する事項
3. 個人情報の処理に関する公的機関間の意見調整に関する事項
4. 個人情報保護に関する法令の解釈運用に関する事項
5. 第18条第2項第5号による個人情報の利用提供に関する事項
6. 第33条第3項による影響評価結果に関する事項
7. 第61条第1項による意見提示に関する事項
8. 第64条第4項による措置の勧告に関する事項
9. 第66条による処理結果の公表に関する事項
10. 第67条第1項による年次報告書の作成提出に関する事項
11. 個人情報保護と関連し、大統領、保護委員会の委員長または委員2人以上が会議に付す事項
12. その他この法律又は他の法令により保護委員会が審議議決する事項
(2)保護委員会は、第1項各号の事項を審議議決するために必要な場合、関係公務員、個人情報保護に関する専門知識のある人や市民社会団体及び関連事業者から意見を聞くことができ、関係機関等に対して資料等の提出を求めることができる。
第9条(基本計画)(1)個人情報の保護と、情報主体の権益保証のために、行政安全部長官は、3年ごとに個人情報保護基本計画(以下「基本計画」という)を関係中央行政機関の長と協議の下に作成し、保護委員会に提出し、保護委員会の審議議決を経て、施行しなければならない。
(2)基本計画には、次の各号の事項が含まれなければならない。
1. 個人情報保護の基本目標と推進方向
2. 個人情報保護に関連する制度及び法令の改善
3. 個人情報侵害防止のための対策
4. 個人情報保護自律規制の有効化
5. 個人情報保護教育広報の活性化
6. 個人情報保護のための専門人材の養成
7. その他個人情報保護のため必要な事項
(3)国会、法院、憲法裁判所、中央選挙管理委員会は、当該機関(その所属機関を含む)の個人情報保護のための基本計画を樹立して施行することができる。
第10条(施行計画)(1)中央行政機関の長は、基本計画に基づいて、毎年個人情報保護のための施行計画を作成して保護委員会に提出し、保護委員会の審議議決を経て施行しなければならない。
(2)施行計画の樹立・施行に必要な事項は大統領令で定める。
第11条(資料提出要求等)(1)行政安全部長官は基本計画を効率的に樹立推進するために個人情報処理者、関係中央行政機関の長、地方自治団体の長及び関係団体等の個人情報処理者の法規遵守現況と個人情報管理実態等に関する資料の提出又は意見の陳述等を要求することができる。
(2)中央行政機関の長は、施行計画を効率的に樹立推進するために、所管分野の個人情報処理者に第1項による資料提出等を要求することができる。
(3)第1項及び第2項による資料提出等を要求された者は、特別な事情がなければ、これに従わなければならない。
(4)第1項及び第2項による資料提出等の範囲と方法等必要な事項は大統領令で定める。
第12条(個人情報保護指針)(1)行政安全部長官は、個人情報の処理に関する基準、個人情報侵害の種類及び予防措置等に関する標準個人情報保護指針(以下「標準指針」という)を定め、個人情報処理者にその遵守を勧奨することができる。
(2)中央行政機関の長は、標準指針によって所管分野における個人情報処理に関する個人情報保護指針を定め、個人情報処理者にその遵守を勧奨することができる。
(3)国会、法院、憲法裁判所、中央選挙管理委員会は、当該機関(その所属機関を含む)の個人情報保護指針を定め、施行することができる。
第13条(自律規制の促進及び支援)行政安全部長官は、個人情報処理者の自律的な個人情報保護活動を促進し支援するために、次の各号の必要な施策を講じなければならない。
1. 個人情報保護に関する教育・広報
2. 個人情報保護に関連する機関・団体の育成及び支援
3. 個人情報保護の認証マークの導入・施行支援
4. 個人情報処理者の自律的な規約の制定・施行支援
5. その他個人情報処理者の自律的個人情報保護活動を支援するために必要な事項
第14条(国際協力)(1)政府は、国際的環境での個人情報保護水準を向上させるために必要な施策を講じなければならない。
(2)政府は、個人情報国外移転により、情報主体の権利が侵害されないように関連する施策を講じなければならない。
第3章 個人情報の処理
第1節 個人情報の収集、利用、提供等
第15条(個人情報の収集、利用)(1)個人情報処理者は、次の各号のいずれかに該当する場合には、個人情報を収集し、その収集目的の範囲内で利用することができる。
1. 情報主体の同意を得た場合
2. 法律に特別の規定がある場合や法令上の義務を遵守することを避けられない場合
3. 公共機関が法令等で定める所管業務の遂行のために避けられない場合
4. 情報主体との契約の締結及び履行のために当然必要な場合
5. 情報主体またはその法定代理人が意思表示をできない状態にあるか、住所不明等で事前同意を得ることができない場合で、明らかに情報主体または第三者の緊急の生命、身体、財産の利益のため必要と認められる場合
6. 個人情報処理者の正当な利益を達成するために必要な場合として明らかに情報主体の権利よりも優先している場合。この場合、個人情報処理者の正当な利益と相当関連があり、合理的な範囲を超えない場合に限る。
(2)個人情報処理者は、第1項第1号による同意を受けるときには、次の各号の事項を情報主体に通知しなければならない。次の各号のいずれかの事項を変更する場合にも、これを通知し、同意を得なければならない。
1. 個人情報の収集利用目的
2. 収集する個人情報の項目
3. 個人情報の保有及び利用期間
4. 同意を拒否する権利があるという事実と同意拒否による不利益がある場合には、その不利益の内容
第16条(個人情報の収集制限)(1)個人情報処理者は、第15条第1項各号のいずれかに該当し、個人情報を収集する場合は、その目的のために必要な最小限の個人情報を収集しなければならない。この場合、最小限の個人情報収集という立証責任は、個人情報処理者が負担する。
(2)個人情報処理者は、情報主体が必要な最小限の情報以外の個人情報の収集に同意しないことを理由に、情報主体への財貨やサービスの提供を拒否してはならない。
第17条(個人情報の提供)(1)個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体の個人情報を第三者への提供(共有を含む。以下同じ)することができる。
1. 情報主体の同意を得た場合
2. 第15条第1項第2号、第3号及び第5号により個人情報を収集目的の範囲内で個人情報を提供する場合
(2)個人情報処理者は、第1項第1号による同意を受けるときには、次の各号の事項を情報主体に通知しなければならない。次の各号のいずれかの事項を変更する場合にも、これを通知し、同意を得なければならない。
1. 個人情報を提供される者
2. 個人情報を提供される者の個人情報利用目的
3. 提供する個人情報の項目
4. 個人情報を提供される者の個人情報保有及び利用期間
5. 同意を拒否する権利があるという事実と同意拒否による不利益がある場合には、その不利益の内容
(3)個人情報処理者が個人情報を国外の第三者に提供するときは、第2項各号の規定による事項を情報主体に通知し、同意を受けなければならず、この法律に違反する内容で、個人情報の国外移転に関する契約を締結してはならない。
第18条(個人情報の利用、提供の制限)(1)個人情報処理者は、個人情報を第15条第1項による範囲を超えて利用したり、第17条第1項及び第3項による範囲を超えて第三者に提供してはならない。
(2)第1項の規定に関わらず、個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体または第三者の利益を不当に侵害するおそれがある場合を除き、個人情報を目的以外の用途で利用したり、これを第三者に提供することができる。ただし、第5号から第9号までの場合は、公共機関の場合に限定する。
1. 情報主体から別途の同意を得た場合
2. 他の法律に特別の規定がある場合
3. 情報主体またはその法定代理人が意思表示をできない状態にあるか、住所不明などで事前の同意を得ることができない場合で、明らかに情報主体または第三者の緊急の生命、身体、財産の利益のため必要と認められる場合
4. 統計作成及び学術研究等の目的のために必要な場合、特定個人を調べることができない形態で個人情報を提供する場合
5. 個人情報を目的以外の用途に利用したり、これを第三者に提供する場合を除き、他の法律の定める所掌事務を行うことができない場合であって、保護委員会の審議議決を経た場合
6. 条約、その他の国際協定の履行のために外国政府または国際機関に提供するために必要な場合
7. 犯罪の捜査と公訴の提起及び維持のために必要な場合
8. 裁判所の裁判業務遂行のために必要な場合
9. 刑及び監護、保護処分の執行のために必要な場合
(3)個人情報処理者は、第2項第1号による同意を受けるときには、次の各号の事項を情報主体に通知しなければならない。次の各号のいずれかの事項を変更する場合にも、これを通知し、同意を得なければならない。
1. 個人情報を提供される者
2. 個人情報の利用目的(提供時に提供される者の利用目的をいう)
3. 利用または提供する個人情報の項目
4. 個人情報の保有及び利用期間(提供時に提供される者の保有及び利用期間をいう)
5. 同意を拒否する権利があるという事実と同意拒否による不利益がある場合には、その不利益の内容
(4)公共機関は、第2項第2号から第6号まで、第8号及び第9号により、個人情報を目的以外の用途に利用したり、これを第三者に提供する場合には、その利用または提供の法的根拠、目的および範囲等に関して必要な事項を、行政安全部令で定めるところにより、官報やインターネットホームページ等に掲載しなければならない。
(5)個人情報処理者は、第2項各号のいずれかの場合に該当し、個人情報を目的以外の用途で第三者に提供する場合には、個人情報を提供される者の利用目的、利用方法、その他必要な事項に対して制限をしたり、個人情報の安全性確保のため必要な措置を講じるよう要請する。この場合、要請を受けた者は、個人情報の安全性確保のため必要な措置を講じなければならない。
第19条(個人情報を提供された者の利用、提供の制限)個人情報処理者から個人情報を提供された者は、次の各号のいずれかに該当する場合を除き、個人情報を提供された目的以外の用途に利用したり、これを第三者に提供してはならない。
1. 情報主体から別途の同意を得た場合
2. 他の法律に特別の規定がある場合
第20条(情報主体以外から収集する個人情報の収集出所等の告知)(1)個人情報処理者が、情報主体以外から収集した個人情報を処理するときには、情報主体の要求があれば即座に次の各号のすべての事項を情報主体に通知しなければならない。
1. 個人情報の収集出所
2. 個人情報の処理目的
3. 第37条による個人情報処理の停止を要求する権利があるという事実
(2)第1項は、次の各号のいずれかに該当する場合は、適用しない。ただし、この法律による情報主体の権利より明確に優先する場合に限る。
1. 告知を必要とする対象となる個人情報が、第32条第2項各号のいずれかに該当する個人情報ファイルに含まれている場合
2. 通知により、他の人の生命、身体を害する恐れがあったり、他の人の財産とその他の利益を不当に侵害するおそれがある場合
第21条(個人情報の破棄)(1)個人情報処理者は、保存期間の経過、個人情報の処理目的を達成する等その個人情報が不要になったときは、遅滞なく、その個人情報を破棄しなければならない。ただし、他の法令により保存しなければならない場合には、この限りでない。
(2)個人情報処理者が第1項により個人情報を破棄するときは、回復または再生されないように措置しなければならない。
(3)個人情報処理者が第1項ただし書に基づいて個人情報を破棄せずに保存しなければならない場合は、個人情報や個人情報ファイルを他の個人情報と分離して、保存、管理しなければならない。
(4)個人情報の破棄方法、手続等必要な事項は大統領令で定める。
第22条(同意を得る方法)(1)個人情報処理者は、この法律による個人情報の処理に対して情報主体(第5項による法定代理人を含む。以下この条において同じ)の同意を得るときには、それぞれの同意事項を区別して、情報主体がこれを明確に認識できるように通知し、それぞれの同意を受けなければならない。
(2)個人情報処理者は、第15条第1項第1号、第17条第1項第1号、第23条第1号及び第24条第1項第1号により個人情報の処理に対する情報主体の同意を得るときには情報主体との契約締結等のために情報主体の同意なしに処理できる個人情報と情報主体の同意が必要な個人情報を区分しなければならない。この場合、同意なしに処理することができる個人情報との立証責任は、個人情報処理者が負担する。
(3)個人情報処理者は、情報主体への財貨やサービスを宣伝したり、販売を勧誘するために、個人情報の処理に関する同意を得ようとするときには、情報主体がこれを明確に認識できるように通知し、同意を得なければならない。
(4)個人情報処理者は、情報主体が、第2項により選択的に同意することができる事項に同意しなかったり第3項及び第18条第2項第1号による同意をしないという理由で、情報主体への財貨やサービスの提供を拒否してはならない。
(5)個人情報処理者は、満14歳未満の児童の個人情報を処理するために、この法律による同意を得なければならないときは、その法定代理人の同意を得なければならない。この場合、法定代理人の同意を得るために必要な最小限の情報については、法定代理人の同意なく、児童から直接収集することができる。
(6)第1項から第5項までに規定する事項の他、情報主体の同意を得る詳細な方法及び第5項による最小限の情報の内容に関して必要な事項は、個人情報の収集媒体等を考慮して大統領令で定める。
第2節 個人情報の処理制限
第23条(機微情報の処理制限)個人情報処理者は、思想・信条、労働組合・政党の加入脱退、政治的見解、健康、性生活等に関する情報、その他情報主体の私生活を顕著に侵害するおそれがある個人情報として、大統領令で定める情報(以下「機微情報」という)を処理してはならない。ただし、次の各号のいずれかに該当する場合には、この限りでない。
1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を通知し、他の個人情報の処理に対する同意とは別途に同意を得た場合
2. 法令で機微情報の処理を要求するか、許可する場合
第24条(固有識別情報の処理制限)(1)個人情報処理者は、次の各号の場合を除いては、法令に基づいて個人を一意に区別するために付与された識別情報として、大統領令で定める情報(以下「固有識別情報」という)を処理することができない。
1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を通知し、他の個人情報の処理に対する同意とは別途に同意を得た場合
2. 法令で具体的に固有識別情報の処理を要求するか、許可する場合
(2)大統領令で定める基準に該当する個人情報処理者は、情報主体が、インターネットのホームページを通じて会員に加入する場合、住民登録番号を使用しなくても会員として加入することができる方法を提供しなければならない。
(3)個人情報処理者が第1項各号により固有識別情報を処理する場合には、その固有識別情報が紛失、盗難、流出、変造または毀損されないように、大統領令で定めるところにより、暗号化等安全性確保に必要な措置をしなければならない。
(4)行政安全部長官は、第2項による方法の提供を支援するために関係法令の整備、計画の樹立、必要な施設及びシステムの構築等の諸般の措置を講じることができる。
[施行日:2012.3.30]第24条第2項
第25条(映像情報処理機器の設置・運営制限)(1)何人も、次の各号の場合を除き、公開された場所に映像情報処理装置を設置・運営してはならない。
1. 法令で具体的に許容している場合
2. 犯罪の予防及び捜査のために必要な場合
3. 施設安全及び火災予防のために必要な場合
4. 交通取締りのために必要な場合
5. 交通情報の収集、分析及び提供のために必要な場合
(2)何人も不特定多数が利用する浴室、便所、サウナ、脱衣室等個人の私生活を顕著に侵害する恐れのある場所の内部を見ることができるように映像情報処理機器を設置。運営してはならない。ただし、刑務所、精神保健施設等法令に基づいて人を拘禁したり、保護する施設であって大統領令で定める施設については、この限りでない。
(3)第1項各号により映像情報処理機器を設置・運営する公共機関の長と第2項ただし書により映像情報処理機器を設置・運営する者は、公聴会・説明会の開催等、大統領令で定める手続を経て、関係専門家及び利害関係人の意見を収斂しなければならない。
(4)第1項各号により映像情報処理装置を設置・運営する者(以下「映像情報処理機器運営者」という)は、情報主体が容易に認識できるように、大統領令で定めるところにより、案内板設置等必要な措置をしなければならない。ただし、大統領令で定める施設については、この限りでない。
(5)映像情報処理機器運営者は、映像情報処理機器の設置目的と異なる目的のために映像情報処理機器を任意に操作したり、他の場所を映してはならず、録音機能を使用することはできない。
(6)映像情報処理機器運営者は、個人情報が紛失、盗難、流出、変造または毀損されないように、第29条により安全性確保に必要な措置を講じなければならない。
(7)映像情報処理機器運営者は、大統領令で定めるところにより、映像情報処理機器の運営管理方針を準備しなければならない。この場合、第30条による個人情報処理方針を定めないことができる。
(8)映像情報処理機器運営者は、映像情報処理機器の設置・運営に関する事務を委託することができる。ただし、公共機関が映像情報処理機器の設置・運営に関する事務を委託する場合には、大統領令で定める手続及び要件に従わなければならない。
第26条(業務委託に伴う個人情報の処理制限)(1)個人情報処理者が第三者に個人情報の処理業務を委託する場合には、次の各号の内容が含まれている文書によらなければならない。
1. 委託業務遂行の目的以外に個人情報の取り扱いの禁止に関する事項
2. 個人情報の技術的、管理的保護措置に関する事項
3. その他個人情報の安全な管理のために大統領令で定める事項
(2)第1項により個人情報の処理業務を委託する個人情報処理者(以下「委託者」という)は、委託業務の内容と個人情報の処理業務を委託を受けて処理する者(以下「受託者」という)を情報主体が、いつでも簡単に確認できるように、大統領令で定める方法により公開しなければならない。
(3)委託者が財貨やサービスを宣伝したり、販売を勧誘する業務を委託する場合には、大統領令で定める方法により委託業務の内容と受託者を情報主体に通知しなければならない。委託する業務の内容や受託者が変更された場合も同様とする。
(4)委託者は、業務委託により、情報主体の個人情報が紛失、盗難、流出、変造または毀損されないように受託者を教育し、処理状況点検等、大統領令で定めるところにより、受託者が個人情報を安全に処理するかを監督しなければならない。
(5)受託者は、個人情報処理者から委託された当該業務の範囲を超過して個人情報を利用したり、第三者に提供してはならない。
(6)受託者が委託を受けた業務に関連して個人情報を処理する過程で、この法律に違反して発生した損害賠償責任については、受託者を個人情報処理者の所属職員とみなす。
(7)受託者については、第15条から第25条まで、第27条から第31条まで、第33条から第38条まで、及び第59条を準用する。
第27条(営業譲渡等による個人情報の移転制限)(1)個人情報処理者は、営業の全部又は一部の譲渡・合併等で個人情報を第三者に移転する場合には、あらかじめ次の各号の事項を大統領令で定める方法に従って情報主体に通知しなければならない。
1. 個人情報を移転すること
2. 個人情報を移転される者(以下「営業譲受者等」という)の氏名(法人の場合には、法人の名称をいう)、住所、電話番号、その他の連絡先
3. 情報主体が個人情報の移転を希望しない場合に措置することができる方法と手続
(2)営業譲受者等は、個人情報を移転されたときは、遅滞なくその事実を大統領令で定める方法によって情報主体に通知しなければならない。ただし、個人情報処理者が第1項により、その移転事実を既に発表した場合には、この限りでない。
(3)営業譲受者等は、営業の譲渡・合併等で個人情報が移転された場合には、移転当時の本来の目的でのみ個人情報を利用したり、第三者に提供することができる。この場合、営業譲渡人等は、個人情報処理者とみなす。
第28条(個人情報取扱者に対する監督)(1)個人情報処理者は、個人情報を処理にあたって個人情報を安全に管理できるように役職員、派遣労働者、時間制労働者等個人情報処理者の指揮監督を受け、個人情報を処理する者(以下「個人情報取扱者」という)に対して、適切な管理監督を行わなければならない。
(2)個人情報処理者は、個人情報の適正な取り扱いを保証するために、個人情報取扱者に定期的に必要な教育を実施しなければならない。
第4章 個人情報の安全な管理
第29条(安全措置義務)個人情報処理者は、個人情報が紛失、盗難、流出、変造または毀損されないよう、内部管理計画の樹立、接続の記録保管等、大統領令で定めるところにより、安全性確保に必要な技術的、管理的、及び物理的な措置を講じなければならない。
第30条(個人情報処理方針の樹立及び公開)(1)個人情報処理者は、次の各号の事項が含まれている個人情報の処理方針(以下「個人情報処理方針」という)を定めなければならない。この場合、公共機関は、第32条により登録の対象となる個人情報ファイルに対して個人情報処理方針を定める。
1. 個人情報の処理目的
2. 個人情報の処理及び保有期間
3. 個人情報の第三者への提供に関する事項(該当する場合のみ定める)
4. 個人情報処理の委託に関する事項(該当する場合のみ定める)
5. 情報主体の権利義務及びその行使方法に関する事項
6. その他個人情報の処理に関して、大統領令で定める事項
(2)個人情報処理者が個人情報処理方針を樹立したり、変更する場合には、情報主体が容易に確認できるように、大統領令で定める方法により公開しなければならない。
(3)個人情報処理方針の内容と個人情報処理者と情報主体の間で締結した契約の内容が異なる場合には、情報主体に有利なものを適用する。
(4)行政安全部長官は、個人情報処理方針の作成指針を定め、個人情報処理者にその遵守を勧奨することができる。
第31条(個人情報保護責任者の指定)(1)個人情報処理者は、個人情報の処理に関する業務を総括して責任を負う個人情報保護責任者を指定しなければならない。
(2)個人情報保護責任者は、次の各号の業務を遂行する。
1. 個人情報保護計画の樹立及び施行
2. 個人情報処理実態及び慣行の定期的な調査及び改善
3. 個人情報処理に関する苦情の処理及び被害の救済
4. 個人情報流出や誤用、乱用防止のための内部統制システムの構築
5. 個人情報保護教育計画の樹立及び施行
6. 個人情報ファイルの保護及び管理監督
7. その他個人情報の適切な処理をするために大統領令で定める業務
(3)個人情報保護責任者は、第2項各号の業務を遂行するに当たり、必要な場合は、個人情報の処理状況、処理システム等について随時調査したり、関係当事者から報告を受けることができる。
(4)個人情報保護責任者は、個人情報保護と関連して、この法律及び他の関係法令の違反事実を知った場合には直ちに改善措置をしなければならず、必要に応じて、所属機関又は団体の長に改善措置を報告しなければならない。
(5)個人情報処理者は、個人情報保護責任者が第2項各号の業務を遂行するに当たり、正当な理由なしに不利益を与えたり、受けてはならない。
(6)個人情報保護責任者の指定要件、業務、資格要件、その他必要な事項は、大統領令で定める。
第32条(個人情報ファイルの登録及び公開)(1)公共機関の長が個人情報ファイルを運用する場合には、次の各号の事項を行政安全部長官に登録しなければならない。登録した事項が変更された場合もまた同じとする。
1. 個人情報ファイルの名称
2. 個人情報ファイルの運営根拠及び目的
3. 個人情報ファイルに記録される個人情報の項目
4. 個人情報の処理方法
5. 個人情報の保有期間
6. 個人情報を通常的または反復的に提供している場合は、その提供される者
7. その他大統領令で定める事項
(2)次の各号のいずれかに該当する個人情報ファイルに対しては、第1項の規定を適用しない。
1. 国家安全、外交上秘密、その他国家の重大な利益に関する事項を記録した個人情報ファイル
2. 犯罪の捜査、公訴の提起及び維持、刑及び監護の執行、矯正処分、保護処分、保安観察処分と出入国管理に関する事項を記録した個人情報ファイル
3. 「租税犯処罰法」に基づく犯則行為の調査と、「関税法」による犯則行為の調査に関する事項を記録した個人情報ファイル
4. 公共機関の内部的業務処理のためだけに使用されている個人情報ファイル
5. 他の法令により秘密に分類された個人情報ファイル
(3)行政安全部長官は、必要に応じて、第1項による個人情報ファイルの登録事項とその内容を検討して、公共機関の長に改善を勧告することができる。
(4)行政安全部長官は、第1項による個人情報ファイルの登録状況を誰でも簡単に閲覧できるように公開しなければならない。
(5)第1項による登録と第4項による開示の方法、範囲及び手続きに関して必要な事項は大統領令で定める。
(6)国会、法院、憲法裁判所、中央選挙管理委員会(その所属機関を含む)の個人情報ファイルの登録と公開に関しては、国会規則、大法院規則、憲法裁判所規則、中央選挙管理委員会規則で定める。
第33条(個人情報影響評価)(1)公共機関の長は、大統領令で定める基準に該当する個人情報ファイルの運用により、情報主体の個人情報侵害が憂慮される場合は、その危険要因の分析と改善事項の導出のための評価(以下「影響評価」という)をし、その結果を行政安全部長官に提出しなければならない。この場合、公共機関の長は、影響評価を行政安全部長官が指定する機関(以下「評価機関」という)の中から依頼しなければならない。
(2)影響評価をする場合には、次の各号の事項を考慮しなければならない。
1. 処理する個人情報の数
2. 個人情報の第三者提供かどうか
3. 情報主体の権利を害する可能性と危険程度
4. その他大統領令で定める事項
(3)行政安全部長官は第1項により提出された影響評価の結果について、保護委員会の審議議決を経て、意見を提示することができる。
(4)公的機関の長は、第1項により影響評価をした個人情報ファイルを、第32条第1項により登録するときは、影響評価の結果を一緒に添付しなければならない。
(5)行政安全部長官は、影響評価の活性化のため、関係専門家の育成、影響評価基準の開発普及等必要な措置を講じなければならない。
(6)第1項による評価機関の指定基準及び指定解除、評価基準、影響評価の方法・手続等に関し必要な事項は大統領令で定める。
(7)国会、法院、憲法裁判所、中央選挙管理委員会(その所属機関を含む)の影響評価に関する事項は、国会規則、大法院規則、憲法裁判所規則、中央選挙管理委員会規則で定めるところによる。
(8)公的機関以外の個人情報処理者は、個人情報ファイルの運用により、情報主体の個人情報侵害が憂慮される場合には、影響評価をするために積極努力しなければならない。
第34条(個人情報流出の通知等)(1)個人情報処理者は、個人情報が流出したことを知らされたときは、遅滞なく、当該情報主体に次の各号の事実を知らせなければならない。
1. 流出した個人情報の項目
2. 流出した時点とその経緯
3. 流出により発生する可能性のある被害を最小化するために、情報主体が行うことができる方法等に関する情報
4. 個人情報処理者の対応措置及び被害の救済手続
5. 情報主体に被害が発生した場合、申告等を提出する担当部署および連絡先
(2)個人情報処理者は、個人情報が流出した場合、その被害を最小限に抑えるための対策を用意し、必要な措置を講じなければならない。
(3)個人情報処理者は、大統領令で定める規模以上の個人情報が流出した場合には、第1項による通知及び第2項による措置結果を、遅滞なく、行政安全部長官や大統領令で定める専門機関に申告しなければならない。この場合、行政安全部長官や大統領令で定める専門機関は、被害拡散防止、被害復旧等のための技術を支援することができる。
(4)第1項による通知の時期、方法及び手続等に関して必要な事項は大統領令で定める。
第5章 情報主体の権利保障
第35条(個人情報の閲覧)(1)情報主体は、個人情報処理者が処理する自身の個人情報に対する閲覧を対応する個人情報処理者に要求することができる。
(2)第1項にかかわらず、情報主体が自身の個人情報に対する閲覧を公共機関に要求しようとするときは、公共機関に直接閲覧を要求したり、大統領令で定めるところにより、行政安全部長官を通じて、閲覧を要求することができる。
(3)個人情報処理者は、第1項及び第2項による閲覧を要求されたときは、大統領令で定める期間内に、情報主体が、対応する個人情報を閲覧できるようにしなければならない。この場合は、対応する期間内に閲覧することができない正当な事由があるときは、情報主体にその事由を通知し、閲覧を延期することができ、その事由が消滅した場合、遅滞なく閲覧するようにしなければならない。
(4)個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体にその事由を通知し、閲覧を制限または拒絶することができる。
1. 法律に基づいて閲覧が禁止または制限される場合
2. 他の人の生命身体を害する恐れがあったり、他の人の財産と、その他の利益を不当に侵害するおそれがある場合
3. 公共機関が次の各目のいずれかに該当する業務を実行するときに重大な支障をきたす場合
ア. 租税の賦課徴収または還付に関する業務
イ. 「初中等教育法」と「高等教育法」に基づく各級学校、「生涯教育法」による生涯教育施設、その他の法律に基づいて設置された高等教育機関における成績評価や入学者選抜に関する業務
ウ. 学力技能及び採用に関する試験、資格審査に関する業務
エ. 補償金、給付金算定等に対する進行中の評価または判断に関する業務
オ. 他の法律に基づいて進行中の監査及び調査に関する業務
(5)第1項から第4項までの規定による閲覧要求、閲覧制限、通知等の方法及び手続に関する必要な事項は、大統領令で定める。
第36条(個人情報の訂正・削除)(1)第35条により自身の個人情報を閲覧した情報主体は個人情報処理者にその個人情報の訂正または削除を要求することができる。ただし、他の法令でその個人情報が収集対象として明示されている場合には、その削除を要求することができない。
(2)個人情報処理者は、第1項による情報主体の要求を受けたときは、個人情報の訂正または削除に関して他の法令に特別な手続が規定されている場合を除き、遅滞なく、その個人情報を調査し、情報主体の要求によって訂正、削除等必要な措置をした後、その結果を情報主体に通知しなければならない。
(3)個人情報処理者が第2項により個人情報を削除するときは、復旧または再生されないように措置しなければならない。
(4)個人情報処理者は、情報主体の要求が、第1項ただし書に該当するときは、遅滞なく、その内容を情報主体に通知しなければならない。
(5)個人情報処理者は、第2項による調査をするときに必要に応じて、情報主体に訂正・削除の要求事項の確認に必要な証拠資料を提出させることができる。
(6)第1項、第2項、及び第4項による訂正または削除要求、通知方法及び手続等必要な事項は大統領令で定める。
第37条(個人情報の処理停止等)(1)情報主体は、個人情報処理者に対して自身の個人情報処理の停止を要求することができる。この場合、公共機関に対しては、第32条により登録対象となる個人情報ファイル中の自身の個人情報に対する処理の停止を要求することができる。
(2)個人情報処理者は、第1項による要求を受けたときは、遅滞なく、情報主体の要求によって個人情報処理の全部を停止または一部を停止しなければならない。ただし、次の各号のいずれかに該当する場合には、情報主体の処理停止要求を拒絶することできる。
1. 法律に特別の規定がある場合や法令上の義務を遵守することを避けられない場合
2. 他の人の生命身体を害する恐れがあったり、他の人の財産と、その他の利益を不当に侵害するおそれがある場合
3. 公共機関が個人情報を処理しなければ、他の法律の定める所掌事務を行うことができない場合
4. 個人情報を処理しなければ、情報主体と約定したサービスを提供できないなど、契約の履行が困難な場合として、情報主体が、その契約の解除意思を明確に示していない場合
(3)個人情報処理者は、第2項ただし書により処理停止要求を拒絶したときには、情報主体に遅滞なくその事由を通知しなければならない。
(4)個人情報処理者は、情報主体の要求によって処理が停止された個人情報に対して、遅滞なく、当該個人情報の破棄等必要な措置を講じなければならない。
(5)第1項から第3項までの規定による処理停止の要求、処理停止の拒絶、通知等の方法及び手続に必要な事項は大統領令で定める。
第38条(権利行使の方法及び手続)(1)情報主体は、第35条による閲覧、第36条による訂正、削除、第37条による処理停止等の要求(以下「閲覧等要求」という)を文書等、大統領令で定める方法、手続に応じて、代理人にすることができる。
(2)満14歳未満の児童の法定代理人は、個人情報の利用者にその児童の個人情報の閲覧等要求をすることができる。
(3)個人情報処理者は、閲覧等要求をする者に大統領令で定めるところにより、手数料と郵送料(写しの郵送を請求する場合に限る)を請求することができる。
(4)個人情報の管理者は、情報主体が閲覧等要求をすることができる具体的な方法と手続を用意し、これを情報主体が分かるように公開しなければならない。
(5)個人情報処理者は、情報主体が閲覧等要求に対する拒絶等措置に対して不服がある場合は異議を申し立てるできるよう必要な手続を用意し、案内しなければならない。
第39条(損害賠償責任)(1)情報主体は、個人情報処理者がこの法律に違反する行為で損害を受けた場合は、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は、故意または過失がないことを立証しなければ責任を免れることはできない。
(2)個人情報処理者がこの法律による義務を遵守し、相当の注意及び監督を怠らなかった場合には、個人情報の紛失、盗難、流出、変造または毀損による損害賠償責任を減軽することができる。
第6章 個人情報紛争調停委員会
第40条(設置及び構成)(1)個人情報に関する紛争の調停のために、個人情報紛争調停委員会(以下「紛争調停委員会」という)を置く。
(2)紛争調停委員会は、委員長1名を含む20名以内の委員で構成され、そのうち1名は常任委員とする。
(3)委員は、次の各号のいずれかに該当する者の中から、行政安全部長官が任命するか委嘱する。
1. 個人情報保護業務を管掌する中央行政機関の高位公務員団に属する公務員またはこれに相当する公共部門及び関連団体の職に在職しているか、在職した者として、個人情報保護業務の経験のある者
2. 大学や公認された研究機関で副教授以上またはこれに相当する職に在職しているか、在職した者
3. 判事・検事、または弁護士として在職しているか、在職した者
4. 個人情報保護に関連する市民社会団体や消費者団体から推薦を受けた者
5. 個人情報処理者で構成される事業者団体の役員として在職しているか、在職した者
(4)委員長は委員の中から、公務員でない者に行政安全部長官が任命する。
(5)委員長及び委員の任期は2年とし、1回に限り再任することができる。ただし、第3項第1号により任命された公務員である委員はその職に在職している間在任する。
(6)紛争調停委員会は、紛争調停業務を効率的に遂行するために必要な場合、大統領令で定めるところにより、調停事件の分野別に5名以内の委員で構成される調停部を置くことができる。この場合、調停部が紛争調停委員会からの委任を受けて議決した事項は、紛争調停委員会で議決したものとみなす。
(7)紛争調停委員会または調停部は、在籍委員過半数の出席により開会し、出席委員過半数の賛成により議決する。
(8)行政安全部長官は、紛争調停委員会事務局運営等業務を支援するために大統領令で定めるところにより専門機関を指定することができる。
(9)この法律で定める事項の他、紛争調停委員会運営に必要な事項は大統領令で定める。
第41条(委員の身分保障)委員は、資格停止以上の刑の宣告を受けたり、心身上の障害で職務を遂行できない場合を除いては、彼の意思に反して免職されたり解職されない。
第42条(委員の除斥、忌避・回避)(1)紛争調停委員会の委員は、次の各号のいずれかに該当する場合には、第43条第1項により紛争調停委員会に申請された紛争調停事件(以下この条において「事件」という。)の審議・議決で除斥される。
1. 委員、またはその配偶者若しくは配偶者であった者がその事件の当事者となったり、その事件に関して共同の権利者または義務者の関係にある場合
2. 委員が、その事件の当事者と親族または親族であった場合
3. 委員がその事件に関して証言、鑑定、法律諮問をした場合
4. 委員がその事件に関して当事者の代理人として関与したり、関与していた場合、
(2)当事者は、委員に公正な審議・議決を期待し難い事情がある場合、委員長に忌避申請をすることができる。この場合、委員長は、忌避申請に対して紛争調停委員会の議決を経ずに決定する。
(3)委員が第1項または第2項の事由に該当する場合には、自らその事件の審議・議決で回避することができる。
第43条(調停の申請等)(1)個人情報に関する紛争の調停をしたい者は、紛争調停委員会に紛争調停を申請することができる。
(2)紛争調停委員会は、当事者の一方から紛争調停申請を受けたときは、その申請内容を相手方に通知しなければならない。
(3)公共機関が第2項による紛争調停の通知を受けた場合には、特別な事由がなければ、紛争調停に応じなければならない。
第44条(処理期間)(1)紛争調停委員会は、第43条第1項による紛争調停申請を受けた日から60日以内にこれを審査して調停案を作成しなければならない。ただし、やむを得ない事情がある場合には、紛争調停委員会の議決により処理期間を延長することができる。
(2)紛争調停委員会は、第1項ただし書により処理期間を延長した場合には、期間延長の事由やその他の期間延長に関する事項を申請者に通知しなければならない。
第45条(資料の要請等)(1)紛争調停委員会は、第43条第1項により紛争調停申請を受けたときは、当該紛争の調停のために必要な資料を紛争当事者に要請することができる。この場合、紛争当事者は、正当な事由がなければ要請に従わなければならない。
(2)紛争調停委員会は、必要であると認定した場合、紛争当事者や参考人を委員会に出席するようにしてその意見を聴くことができる。
第46条(調整前合意勧告)紛争調停委員会は、第43条第1項により紛争調停申請を受けたときは、当事者にその内容を提示し、調整前合意を勧告することができる。
第47条(紛争の調停)(1)紛争調停委員会は、次の各号のいずれかの事項を含めて調停案を作成することができる。
1. 調査対象の侵害行為の停止
2. 原状回復、損害賠償、その他必要な救済措置
3. 同じまたは似たような侵害の再発を防止するため必要な措置
(2)紛争調停委員会は、第1項により調停案を作成した場合、遅滞なく各当事者に提示しなければならない。
(3)第1項により調停案を提示された当事者が、提示を受けた日から15日以内に受諾可否を通知しなければ、調停を拒否したものとみなす。
(4)当事者が調停内容を受諾した場合、紛争調停委員会は、調停書を作成し、紛争調停委員会の委員長と各当事者が記名捺印しなければならない。
(5)第4項による調停の内容は、裁判上の和解と同じ効力を持つ。
第48条(調停の拒否及び中止)(1)紛争調停委員会は、紛争の性質上、紛争調停委員会で調停するのは適当でないと認定するか、不正な目的で調停が申請されたと認定する場合には、その調整を拒否することができる。この場合、調停拒否の事由等を申請者に通知しなければならない。
(2)紛争調停委員会は、申請された調停事件に対する処理手続を進行中に、一方の当事者が訴訟を提起すると、その調停の処理を中止し、これを当事者に通知しなければならない。
第49条(集団紛争調停)(1)国家及び地方自治団体、個人情報保護団体及び機関、情報主体、個人情報処理者は、情報主体の被害や権利侵害が、多数の情報主体に同じもしくは似たような類型で発生する場合、大統領令に定める事件については、紛争調停委員会に一括的な紛争調停(以下「集団紛争調停」という)を依頼または申請することができる。
(2)第1項により集団紛争調停を依頼されたり申請された紛争調停委員会は、その議決により、第3項から第7項までの規定による集団紛争調停の手続を開始することができる。この場合、紛争調停委員会は、大統領令で定める期間の間、その手続の開始を公告しなければならない。
(3)紛争調停委員会は、集団紛争調停の当事者ではない情報主体または個人情報処理者から、その紛争調停の当事者に追加で含まれるようにする申請を受けることができる。
(4)紛争調停委員会は、その議決により、第1項及び第3項による集団紛争調停の当事者の中で、共同の利益を代表するのに最適な1名または数人を代表者として選任することができる。
(5)紛争調停委員会は、個人情報処理者が紛争調停委員会の集団紛争調停の内容を受諾した場合には、集団紛争調停の当事者ではない者として被害を受けた情報主体に対する補償計画書を作成し、紛争調停委員会に提出するよう勧告することができる。
(6)第48条第2項にかかわらず、紛争調停委員会は、集団紛争調停の当事者である多数の情報主体の一部の情報主体が法院に訴訟を提起した場合には、その手続を中止せずに、訴訟を提起した一部の情報主体を、その手続から除外する。
(7)集団紛争調停の期間は、第2項による公告が終了した日の翌日から60日以内とする。ただし、やむを得ない事情がある場合には、紛争調停委員会の議決により処理期間を延長することができる。
(8)集団紛争調停の手続等に関し必要な事項は大統領令で定める。
第50条(調停手続等)(1)第43条から第49条までの規定に定めるものの他、紛争の調停方法、調停手順と調停業務の処理等必要な事項は大統領令で定める。
(2)紛争調停委員会の運営及び紛争調停手続に関してこの法律で規定しない事項については、「民事調停法」を準用する。
第7章 個人情報の団体訴訟
第51条(団体訴訟の対象等)次の各号のいずれかに該当する団体は、個人情報処理者が第49条による集団紛争調停を拒否したり、集団紛争調停の結果を受諾していない場合には、法院に権利侵害行為の禁止・中止を求める訴訟(以下「団体訴訟」という)を提起することができる。
1. 「消費者基本法」第29条により公正取引委員会に登録した消費者団体であって、次の各目の要件をすべて備えた団体
ア. 定款によって常時的に、情報主体の権益増進を主たる目的とする団体であること
イ. 団体の正会員数が1千名以上であること
ウ. 「消費者基本法」第29条による登録後3年が経過していること
2. 「非営利民間団体支援法」第2条による非営利民間団体として、次の各目の要件をすべて備えた団体
ア. 法律上または事実上同一の侵害を受けた100名以上の情報主体から、団体訴訟の提起を要請されていること
イ. 定款に個人情報保護を団体の目的に明示した後、最近3年以上、そのための活動実績があること
ウ. 団体の常時構成員数が5千名以上であること
エ. 中央行政機関に登録されていること
第52条(専属管轄)(1)団体訴訟の訴えは、被告の主たる事務所または営業所があるところ、主な事務所や営業所がない場合には、主たる業務担当者の住所がある所の地方法院本院合意部の管轄に専属する。
(2)第1項を外国事業者に適用する場合、大韓民国にある彼らの主たる事務所、営業所または業務担当者の住所により定める。
第53条(訴訟代理人の選任)団体訴訟の原告は弁護士を訴訟代理人に選任しなければならない。
第54条(訴訟許可申請)(1)団体訴訟を提起する団体は、訴状と一緒に次の各号の事項を記載した訴訟許可申請書を法院に提出しなければならない。
1. 原告及びその訴訟代理人
2. 被告
3. 情報主体の侵害された権利の内容
(2)第1項による訴訟許可申請書には、次の各号の資料を添付しなければならない。
1. 訴訟提起団体が第51条各号のいずれかに該当する要件を備えていることを弁明する資料
2. 個人情報処理者が調停を拒否したか調停結果を受諾していないことを証明する書類
第55条(訴訟許可要件等)(1)法院は、次の各号の要件をすべて備えた場合に限り、決定により団体訴訟を可能にする。
1. 個人情報処理者が紛争調停委員会の調停を拒否したり、調停結果を承認しなかったこと
2. 第54条による訴訟許可申請書の記載事項に瑕疵がないこと
(2)団体訴訟を許可、または不許可とする決定に対しては、即時抗告することができる。
第56条(確定判決の効力)原告の請求を棄却する判決が確定した場合これと同じ事項に関しては、第51条による他の団体は、団体訴訟を提起することができない。ただし、次の各号のいずれかに該当する場合には、この限りでない。
1. 判決が確定した後、その事案と関連して国家・地方自治団体または国家・地方自治団体が設立した機関により新たな証拠が提示された場合
2. 棄却判決が原告の故意によるものであることが明らかになった場合
第57条(「民事訴訟法」の適用等)(1)団体訴訟に関し、この法律に特別の規定がない場合は、「民事訴訟法」を適用する。
(2)第55条による団体訴訟の許可決定がある場合には、「民事執行法」第4編による保全処分をすることができる。
(3)団体訴訟の手続に関し必要な事項は、大法院規則で定める。
第8章 補則
第58条(適用の一部除外)(1)次の各号のいずれかに該当する個人情報については、第3章から第7章までを適用しない。
1. 公共機関が処理する個人情報のうち、「統計法」に基づいて収集される個人情報
2. 国家安全保障に係る情報分析を目的として収集、提供、要求される個人情報
3. 公衆衛生等公共の安全と健康のために緊急に必要な場合として、一時的に処理される個人情報
4. 言論、宗教団体、政党がそれぞれの取材報道、布教、選挙の立候補者推薦等、それぞれの目的を達成するために収集利用する個人情報
(2)第25条第1項各号により公開された場所に映像情報処理装置を設置運営して処理される個人情報に対しては、第15条、第22条、第27条第1項・第2項、第34条、及び第37条を適用しない。
(3)個人情報処理者が同窓会、同好会等の親睦を図るための団体を運営するために個人情報を処理する場合には、第15条、第30条、及び第31条を適用しない。
(4)個人情報処理者は、第1項各号の規定により個人情報を処理する場合にも、その目的のために必要な範囲で最小限の期間で最小限の個人情報のみを処理しなければならず、個人情報の安全な管理のために必要な技術的、管理的及び物理的保護措置、個人情報の処理に関する苦情処理、その他の個人情報の適切な処理をするために必要な措置を講じなければならない。
第59条(禁止行為)個人情報を処理したり、処理した者は、次の各号のいずれかに該当する行為をしてはならない。
1. 虚偽その他の不正な手段や方法で個人情報を取得したり処理に関する同意を受ける行為
2. 業務上知り得た個人情報を漏洩したり、権限なしに他の人が利用するように提供する行為
3. 正当な権限なしに、または許容された権限を超過して他の人の個人情報の毀損、滅失、変更、偽造、または流出する行為
第60条(秘密保持等)次の各号の業務に従事する、もしくは従事した者は、職務上知り得た秘密を他人に漏洩したり、職務上の目的以外の用途に利用してはならない。ただし、他の法律に特別の規定がある場合には、この限りでない。
1. 第8条による保護委員会の業務
2. 第33条による影響評価業務
3. 第40条による紛争調停委員会の紛争調停業務
第61条(意見提示及び改善勧告)(1)行政安全部長官は、個人情報保護に影響を与える内容が含まれている法令や条例に対して必要と認める場合、保護委員会の審議議決を経て、関係機関に意見を提示することができる。
(2)行政安全部長官は、個人情報保護のため必要と認める場合、個人情報処理者に個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を行政安全部長官に通知しなければならない。
(3)関係中央行政機関の長は、個人情報保護のため必要と認める場合、所管の法律に従い、個人情報処理者に個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を関係中央行政機関の長に知らせなければならない。
(4)中央行政機関、地方自治団体、国会、法院、憲法裁判所、中央選挙管理委員会は、その所属機関及び所管公共機関に対して、個人情報保護に関する意見を提示したり、指導点検をすることができる。
第62条(侵害事実の申告等)(1)個人情報処理者が個人情報を処理する際、個人情報に関する権利または利益を侵害された人は、行政安全部長官に、その侵害事実を申告することができる。
(2)行政安全部長官は、第1項による申告の受付処理等に関する業務を効率的に遂行するために大統領令で定めるところにより専門機関を指定することができる。この場合、専門機関は、個人情報侵害申告センター(以下「申告センター」という)を設置運営しなければならない。
(3)申告センターは、次の各号の業務を遂行する。
1. 個人情報処理に関する申告の受付相談
2. 事実の調査確認及び関係者の意見聴取
3. 第1号及び第2号による業務に付随する業務
(4)行政安全部長官は、第3項第2号の事実調査、確認等の業務を効率的に行うために必要な場合は、「国家公務員法」第32条の4により、所属公務員を第2項による専門機関に派遣することができる。
第63条(資料提出要求及び検査)(1)行政安全部長官は、次の各号のいずれかに該当する場合には、個人情報処理者に関係する物品・書類等の資料を提出させることができる。
1. この法律に違反する事項を発見したり容疑があることを知った場合
2. この法律違反の申告を受けたり、苦情が受け付けられた場合、
3. その他情報主体の個人情報保護のため必要な場合として大統領令で定める場合
(2)行政安全部長官は、個人情報処理者が第1項による資料を提出しなかったり、この法律に違反した事実があると認定されれば、所属公務員は個人情報処理者の事務所や事業場に立ち入り、業務状況、帳簿や書類等を検査することができる。この場合、検査をする公務員は、その権限を示す証票を所持し、これを関係人に提示しなければならない。
(3)関係中央行政機関の長は所管の法律に従い、個人情報処理者に第1項による資料提出を要求したり、第2項による検査をすることができる。
(4)行政安全部長官と関係中央行政機関の長は、個人情報処理者から提出を受けたり、収集した書類資料等を、この法律による場合を除き、第三者に提供したり一般に公開してはならない。
(5)行政安全部長官と関係中央行政機関の長は、情報通信網を通じて資料の提出等を受けた場合や、収集した資料等を電子化した場合には、個人情報、営業秘密等が流出されないように制度的、技術的な補完措置を講じなければならない。
第64条(是正措置等)(1)行政安全部長官は、個人情報が侵害されたと判断する相当な根拠があり、これを放置した場合、回復が困難な被害が発生する恐れがあると認定されれば、この法律に違反した者(中央行政機関、地方自治団体、国会、法院、憲法裁判所、中央選挙管理委員会は除外する)に対し次の各号に該当する措置を命ずることができる。
1. 個人情報侵害行為の停止
2. 個人情報処理の一時的な停止
3. その他個人情報の保護及び侵害防止のために必要な措置
(2)関係中央行政機関の長は、個人情報が侵害されたと判断する相当な根拠があり、これを放置した場合、回復が困難な被害が発生する恐れがあると認定されれば、所管の法律に従って、個人情報処理者に対して、第1項各号に該当する措置を命ずることができる。
(3)地方自治団体、国会、法院、憲法裁判所、中央選挙管理委員会は、その所属機関及び所管公共機関がこの法律に違反したときは、第1項各号に該当する措置を命ずることができる。
(4)保護委員会は、中央行政機関、地方自治団体、国会、法院、憲法裁判所、中央選挙管理委員会がこの法律に違反したときは、当該機関の長に、第1項各号に該当する措置をするように勧告することができる。この場合、勧告を受けた機関は、特別な事由がない限りこれを尊重しなければならない。
第65条(告発及び懲戒勧告)(1)行政安全部長官は、個人情報処理者にこの法律等個人情報保護に関する法規の違反による犯罪容疑があると認定するに値する相当な理由があるときは、管轄捜査機関にその内容を告発することができる。
(2)行政安全部長官は、この法律等個人情報保護に関する法規の違反行為があると認定するに値する相当な理由があるときは、責任がある者を懲戒することを、その所属機関・団体等の長に勧告することができる。この場合、勧告を受けた者は、これを尊重しなければならず、その結果を行政安全部長官に通報しなければならない。
(3)関係中央行政機関の長は所管の法律に基づいて、個人情報処理者に対して、第1項による告発をしたり、所属機関・団体等の長に第2項による懲戒勧告をすることができる。この場合、第2項による勧告を受けた者は、これを尊重しなければならず、その結果を関係中央行政機関の長に通報しなければならない。
第66条(結果の公表)(1)行政安全部長官は第61条による改善勧告、第64条による是正措置命令、第65条による告発や懲戒処分勧告及び第75条による過怠料賦課の内容及び結果について、保護委員会の審議議決を経て公表することができる。
(2)関係中央行政機関の長は所管の法律に基づいて、第1項による公表をすることができる。
(3)第1項及び第2項による公表の方法、基準及び手続等は、大統領令で定める。
第67条(年次報告)(1)保護委員会は、関係機関等から必要な資料の提出を受け、毎年、個人情報保護施策の樹立及び施行に関する報告書を作成し、定期国会開会前までに国会に提出(情報通信網による提出を含む)しなければならない。
(2)第1項による報告書には、次の各号の内容が含まれなければならない。
1. 情報主体の権利侵害及びその救済の現状
2. 個人情報処理に関する実態調査等の結果
3. 個人情報保護施策の推進の現状及び実績
4. 個人情報に関連する海外の立法及び政策動向
5. その他、個人情報保護施策に関して開示または報告しなければならない事項
第68条(権限の委任・委託)(1)この法律による行政安全部長官または関係中央行政機関の長の権限は、その一部を大統領令で定めるところにより特別市長、広域市長、道知事、特別自治道知事または大統領令で定める専門機関に委任したり委託することができる。
(2)第1項により、行政安全部長官または関係中央行政機関の長の権限を委任または委託を受けた機関は、委任または委託を受けた業務の処理結果を行政安全部長官または関係中央行政機関の長に通報しなければならない。
(3)行政安全部長官は、第1項による専門機関の権限の一部を委任するか、委託する場合は、該当専門機関の業務遂行のために必要な経費を出捐することができる。
第69条(罰則適用時の公務員の擬制)行政安全部長官または関係中央行政機関の長の権限を委託した業務に従事する関係機関の役職員は、「刑法」第129条から第132条までの規定を適用するときは、公務員とみなす。
第9章 罰則
第70条(罰則)公共機関の個人情報処理業務を妨害する目的で公共機関で処理している個人情報を変更したり、抹消して、公共機関の業務遂行の中断、麻痺等の深刻な支障をもたらした者は、10年以下の懲役または1億ウォン以下の罰金に処する。
第71条(罰則)次の各号のいずれかに該当する者は、5年以下の懲役または5千万ウォン以下の罰金に処する。
1. 第17条第1項第2号に該当していなくても同項第1号に違反し、情報主体の同意を得ずに個人情報を第三者に提供した者、及びその事情を知りながら個人情報を提供された者
2. 第18条第1項・第2項、第19条、第26条第5項、または第27条第3項に違反して、個人情報を利用したり、第三者に提供した者、及びその事情を知りながら営利または不正な目的で個人情報を提供された者
3. 第23条に違反して、機微情報を処理した者
4. 第24条第1項に違反して、固有識別情報を処理した者
5. 第59条第2号に違反して、業務上知り得た個人情報を漏洩したり、権限のない他の人が利用するように提供した者、及びその事情を知りながら営利または不正な目的で個人情報を提供された者
6. 第59条第3号に違反して、他人の個人情報を毀損、滅失、変更、偽造、または流出した者
第72条(罰則)次の各号のいずれかに該当する者は、3年以下の懲役または3千万ウォン以下の罰金に処する。
1. 第25条第5項に違反し、映像情報処理機器の設置目的と異なる目的で映像情報処理機器を任意に操作したり、他の場所を映す者、または録音機能を使用した者
2. 第59条第1号に違反し、虚偽その他の不正な手段や方法で個人情報を取得したり、個人情報処理に関する同意を得る行為をした者、及びその事情を知りながら営利または不正な目的で個人情報を提供された者
3. 第60条に違反し、職務上知り得た秘密を漏洩したり、職務上の目的以外で利用した者
第73条(罰則)次の各号のいずれかに該当する者は、2年以下の懲役または1千万ウォン以下の罰金に処する。
1. 第24条第3項、第25条第6項または第29条に違反し、安全性確保に必要な措置をしないことにより、個人情報を紛失、盗難、流出、変造または毀損された者
2. 第36条第2項に違反して、訂正、削除等必要な措置をせずに個人情報を継続利用したり、これを第三者に提供した者
3. 第37条第2項に違反し、個人情報の処理を停止せずに継続利用したり、第三者に提供した者
第74条(両罰規定)(1)法人の代表者や法人または個人の代理人、使用人、その他の従業員がその法人または個人の業務に関して、第70条に該当する違反行為をした場合、その行為者を罰する他、その法人または個人を7千万ウォン以下の罰金に処する。ただし、法人または個人がその違反行為を防止するために該当業務に関し相当の注意及び監督を怠らなかった場合は、この限りでない。
(2)法人の代表者や法人または個人の代理人、使用人、その他の従業員がその法人または個人の業務に関して、第71条から第73条までのいずれかに該当する違反行為をした場合、その行為者を罰する他、その法人または個人に該当条文の罰金刑を科す。ただし、法人または個人がその違反行為を防止するために該当業務に関し相当の注意及び監督を怠らなかった場合は、この限りでない。
第75条(過怠料)(1)次の各号のいずれかに該当する者は5千万ウォン以下の過怠料を賦課する。
1. 第15条第1項に違反して、個人情報を収集した者
2. 第22条第5項に違反して、法定代理人の同意を受けていない者
3. 第25条第2項に違反して、映像情報処理機器を設置・運営した者
(2)次の各号のいずれかに該当する者は、3千万ウォン以下の過怠料を賦課する。
1. 第15条第2項、第17条第2項、第18条第3項、または第26条第3項に違反し、情報主体に通知する事項を通知していない者
2. 第16条第2項または第22条第4項に違反して、財貨やサービスの提供を拒否した者
3. 第20条第1項に違反して、情報主体への同項各号の事実を公表しない者
4. 第21条第1項に違反して、個人情報を破棄しない者
5. 第24条第2項に違反して、情報主体が住民登録番号を使用しないようにすることができる方法を提供していない者
6. 第24条第3項、第25条第6項、または第29条に違反し、安全性確保に必要な措置をしなかった者
7. 第25条第1項に違反して、映像情報処理機器を設置・運営した者
8. 第34条第1項に違反して、情報主体への同項各号の事実を公表しない者
9. 第34条第3項に違反して、措置結果を報告していない者
10. 第35条第3項に違反して、閲覧を制限したり、拒絶した者
11. 第36条第2項に違反して、訂正・削除等必要な措置をしない者
12. 第37条第4項に違反して、処理が停止された個人情報に対し、破棄等必要な措置をしなかった者
13. 第64条第1項の規定による是正命令に従わない者
(3)次の各号のいずれかに該当する者は、1千万ウォン以下の過怠料を賦課する。
1. 第21条第3項に違反して、個人情報を分離して保存・管理していない者
2. 第22条第1項から第3項までの規定に違反して、同意を受けた者
3. 第25条第4項に違反して、案内板設置等必要な措置をしなかった者
4. 第26条第1項に違反して、業務委託時に同項各号の内容が含まれている文書によらない者
5. 第26条第2項に違反して、委託する業務の内容と受託者を公開していない者
6. 第27条第1項または第2項に違反して、情報主体への個人情報の移転事実を公表しない者
7. 第30条第1項または第2項に違反して、個人情報処理方針を定めていないか、これを公開しない者
8. 第31条第1項に違反して、個人情報保護責任者を指定していない者
9. 第35条第3項・第4項、第36条第2項・第4項、または第37条第3項に違反して、情報主体に通知する事項を通知していない者
10. 第63条第1項による関係物品・書類等の資料を提出しない、または虚偽の提出をした者
11. 第63条第2項の規定による立入検査を拒否、妨害または忌避した者
(4)第1項から第3項までの規定による過怠料は、大統領令で定めるところにより、行政安全部長官と関係中央行政機関の長が賦課徴収する。この場合、関係中央行政機関の長は、所管分野の個人情報処理者に過怠料を賦課徴収する。
[施行日:2012.3.30]第75条第2項第5号
附則<法律第10465号、2011.3.29>
第1条(施行日)この法律は、公布後6ヶ月が経過した日から施行する。ただし、第24条第2項及び第75条第2項第5号は、公布後1年が経過した日から施行する。
第2条(他の法律の廃止)「公共機関の個人情報保護に関する法律」は廃止する。
第3条(個人情報紛争調停委員会に関する経過措置)この法律施行当時、従前の「情報通信網利用促進及び情報保護等に関する法律」による個人情報紛争調停委員会の行為や個人情報紛争調停委員会に対する行為はそれに該当するこの法律による個人情報紛争調停委員会の行為や個人情報紛争調停委員会に対する行為とみなす。
第4条(処理中の個人情報に関する経過措置)この法律施行前に、他の法令に基づいて適法に処理された個人情報は、この法律に従って処理されたものとみなす。
第5条(罰則の適用に関する経過措置)(1)この法律の施行前に、従前の「公共機関の個人情報保護に関する法律」に違反する行為に対して罰則を適用するときは、従前の「公共機関の個人情報の保護に関する法律」に従う。
(2)この法律施行前に、従前の「情報通信網利用促進及び情報保護等に関する法律」に違反する行為に対して罰則を適用するときは、従前の「情報通信網利用促進及び情報保護等に関する法律」に従う。
第6条(他の法律の改正)(省略)
第7条(他の法令との関係)この法律施行当時他の法令で従前の「公共機関の個人情報保護に関する法律」や、その規定を引用している場合は、この法律のそれに該当する規定があるときは、従前の規定に代えて、この法またはこの法律の該当規定を引用したものとみなす。
