[施行2011.9.30] [法律第10465号、2011.3.29、制定]
行政安全部(個人情報保護課)、02-2100-1732
第1章 総則
第1条(目的)この法律は、個人情報の収集・流出・誤用・乱用から私生活の秘密等を保護することにより国民の権利と利益を増進し、進んで個人の尊厳と価値を実現するために個人情報処理に関する事項を規定することを目的とする。
第2条(定義)この法律で使う用語の意味は次のとおりである。
1."個人情報"とは、生きている個人に関する情報として姓名、住民登録番号及び映像等を通して個人を調べてみることができる情報(該当情報だけでは特定個人を調べてみることができなくても他の情報と簡単に結合して調べてみることができるものを含む。)をいう。
2."処理"とは、個人情報の収集、生成、記録、保存、保有、加工、編集、検索、出力、訂正、復旧、利用、提供、公開、破棄、その他これと類似の行為をいう。
3."情報主体"とは、処理される情報により調べてみることができる者であってその情報の主体になる者をいう。
4."個人情報ファイル"とは、個人情報を簡単に検索することができるように一定の規則により体系的に配列し、又は構成した個人情報の集合物をいう。
5."個人情報処理者"とは、業務を目的に個人情報ファイルを運用するために自ら又は他人を通じて個人情報を処理する公共機関、法人、団体及び個人等をいう。
6."公共機関"とは、次の各目の機関をいう。
イ.国会、裁判所、憲法裁判所、中央選挙管理委員会の行政事務を処理する機関、中央行政機関(大統領所属機関及び国務総理所属機関を含む。)及びその所属機関、地方自治体
ロ その他の国家機関及び公共団体中大統領令で定める機関
7."映像情報処理機器"とは、一定の空間に持続的に設置され、人又は事物の映像等を撮影し、又はこれを有線、無線網を通じて伝送する装置であって、大統領令で定める装置をいう。
第3条(個人情報保護原則)@個人情報処理者は、個人情報の処理目的を明確にしなければならず、その目的に必要な範囲で最小限の個人情報だけを適法に正当に収集しなければならない。
A個人情報処理者は、個人情報の処理目的に必要な範囲で適合するように個人情報を処理しなければならず、その目的以外の用途で活用してはならない。
B個人情報処理者は、個人情報の処理目的に必要な範囲で個人情報の正確性、完全性及び最新性が保障されるようにしなければならない。
C個人情報処理者は、個人情報の処理方法及び種類等により情報主体の権利が侵害を受ける可能性とその危険程度を考慮して個人情報を安全に管理しなければならない。
D個人情報処理者は、個人情報処理方針等個人情報の処理に関する事項を公開しなければならず、閲覧請求権等情報主体の権利を保障しなければならない。
E個人情報処理者は、情報主体の私生活侵害を最小化する方法で個人情報を処理しなければならない。
F個人情報処理者は、個人情報の匿名処理が可能な場合には、匿名により処理されるようにしなければならない。
G個人情報処理者は、この法律及び関係法令で規定している責任と義務を遵守して実践することにより情報主体の信頼を得るために努力しなければならない。
第4条(情報主体の権利)情報主体は自身の個人情報処理と関連して次の各号の権利を持つ。
1.個人情報の処理に関する情報を提供される権利
2.個人情報の処理に関する同意可否、同意範囲等を選択して定める権利
3.個人情報の処理可否を確認して個人情報に対して閲覧(写本の発給を含む。以下同じである。)を要求する権利
4.個人情報の処理停止、訂正・削除及び破棄を要求する権利
5.個人情報の処理により発生した被害を迅速で公正な手続きにより救済を受ける権利
第5条(国家等の責務)@国家と地方自治体は、個人情報の目的他収集、誤用・乱用及び無分別な監視・追跡等による弊害を防止して人間の尊厳と個人の私生活保護を企てるための施策を講じなければならない。
A国家と地方自治体は、第4条の規定による情報主体の権利を保護するために法令の改善等必要な施策を用意しなければならない。
B国家と地方自治体は、個人情報の処理に関する不合理な社会的慣行を改善するために個人情報処理者の自律的な個人情報保護活動を尊重して促進・支援しなければならない。
C国家と地方自治体は、個人情報の処理に関する法令又は条例を制定し、又は改正する場合には、この法律の目的に符合するようにしなければならない。
第6条(他の法律との関係)個人情報保護に関しては、「情報通信網利用促進及び情報保護等に関する法律」、「信用情報の利用及び保護に関する法律」等他の法律に特別な規定がある場合を除いては、この法律で定めるところに従う。
第2章 個人情報保護政策の樹立等
第7条(個人情報保護委員会)@個人情報保護に関する事項を審議・議決するために大統領所属で個人情報保護委員会(以下"保護委員会"という。)を置く。保護委員会は、その権限に属する業務を独立して遂行する。
A保護委員会は、委員長1人、常任委員1人を含む15人以内の委員で構成し、常任委員は政務職公務員に任命する。
B委員長は、委員中で公務員でない者から大統領が委嘱する。
C委員は次の各号のいずれかに該当する者を大統領が任命し、又は委嘱する。この場合、委員中5人は国会が選出する者を、5人は大法院長が指名する者を各々任命し、又は委嘱する。
1.個人情報保護と関連した市民社会団体又は消費者団体から推薦を受けた者
2.個人情報処理者で構成された事業者団体から推薦を受けた者
3.その他個人情報に関する学識と経験が豊富な者
D委員長と委員の任期は3年とし、1次に限って再任することができる。
E保護委員会の会議は委員長が必要と認め、在籍委員4分の1以上の要求がある場合に委員長が招集する。
F保護委員会は、在籍委員過半数の出席と出席委員過半数の賛成で議決する。
G保護委員会の事務を支援するために保護委員会に事務局を置く。
H第1項から第8項までで規定した事項の他に保護委員会の組織と運営に必要な事項は、大統領令で定める。
第8条(保護委員会の機能等)@保護委員会は、次の各号の事項を審議・議決する。
1.第9条の規定による基本計画及び第10条の規定による施行計画
2.個人情報保護と関連した政策、制度及び法令の改善に関する事項
3.個人情報の処理に関する公共機関間の意見調停に関する事項
4.個人情報保護に関する法令の解釈・運用に関する事項
5.第18条第2項第5号による個人情報の利用・提供に関する事項
6.第33条第3項の規定による影響評価結果に関する事項
7.第61条第1項の規定による意見提示に関する事項
8.第64条第4項の規定による措置の勧告に関する事項
9.第66条の規定による処理結果の公表に関する事項
10.第67条第1項の規定による年次報告書の作成・提出に関する事項
11.個人情報保護と関連して大統領、保護委員会の委員長又は委員2人以上が会議に送る事項
12.その他この法律又は他の法令により保護委員会が審議・議決する事項
A保護委員会は、第1項各号の事項を審議・議決するために必要なときは、関係公務員、個人情報保護に関する専門知識がある者、市民社会団体及び関連事業者から意見を聞くことができ、関係機関等に対して資料等の提出を要求することができる。
第9条(基本計画)@個人情報の保護及び情報主体の権益保障のために行政安全部長官は、3年ごとに個人情報保護基本計画(以下"基本計画"という。)を関係中央行政機関の長と協議下に作成し、保護委員会に提出して、保護委員会の審議・議決を経て施行しなければならない。
A基本計画には次の各号の事項が含まれなければならない。
1.個人情報保護の基本目標と推進方向
2.個人情報保護と関連した制度及び法令の改善
3.個人情報侵害防止のための対策
4.個人情報保護自主規制の活性化
5.個人情報保護教育・広報の活性化
6.個人情報保護のための専門人材の養成
7.その他個人情報保護のために必要な事項
B国会、裁判所、憲法裁判所、中央選挙管理委員会は、該当機関(その所属機関を含む。)の個人情報保護のための基本計画を樹立・施行することができる。
第10条(施行計画)@中央行政機関の長は、基本計画により毎年個人情報保護のための施行計画を作成して保護委員会に提出し、保護委員会の審議・議決を経て施行しなければならない。
A施行計画の樹立・施行に必要な事項は、大統領令で定める。
第11条(資料提出要求等)@行政安全部長官は、基本計画を効率的に樹立・推進するために個人情報処理者、関係中央行政機関の長、地方自治体の長及び関係団体等に個人情報処理者の法規遵守現況と個人情報管理実態等に関する資料の提出や意見の陳述等を要求することができる。
A中央行政機関の長は、施行計画を効率的に樹立・推進するために所管分野の個人情報処理者に第1項の規定による資料提出等を要求することができる。
B第1項及び第2項の規定による資料提出等を要求された者は、特別な事情がなければこれに従わなければならない。
C第1項及び第2項の規定による資料提出等の範囲と方法等必要な事項は、大統領令で定める。
第12条(個人情報保護指針)@行政安全部長官は、個人情報の処理に関する基準、個人情報侵害の類型及び予防措置等に関する標準個人情報保護指針(以下"標準指針"という。)を定めて個人情報処理者にその遵守を推奨することができる。
A中央行政機関の長は、標準指針により所管分野の個人情報処理と関連した個人情報保護指針を定めて個人情報処理者にその遵守を推奨することができる。
B国会、裁判所、憲法裁判所及び中央選挙管理委員会は、該当機関(その所属機関を含む。)の個人情報保護指針を定めて施行することができる。
第13条(自主規制の促進及び支援)行政安全部長官は、個人情報処理者の自律的な個人情報保護活動を促進して支援するために次の各号の必要な施策を用意しなければならない。
1.個人情報保護に関する教育・広報
2.個人情報保護と関連した機関・団体の育成及び支援
3.個人情報保護認証マークの導入・施行支援
4.個人情報処理者の自律的な規約の制定・施行支援
5.その他個人情報処理者の自律的個人情報保護活動を支援するために必要な事項
第14条(国際協力)@政府は国際的環境での個人情報保護水準を向上させるために必要な施策を用意しなければならない。
A政府は個人情報国外以前により情報主体の権利が侵害されないように関連施策を用意しなければならない。
第3章 個人情報の処理
第1節 個人情報の収集、利用、提供等
第15条(個人情報の収集・利用)@個人情報処理者は、次の各号のいずれかに該当する場合には、個人情報を収集することができるしその収集目的の範囲で利用することができる。
1.情報主体の同意を受けた場合。
2.法律に特別な規定があり、又は法令上義務を遵守するために避けることができない場合。
3.公共機関が法令等で定める所管業務の遂行のために避けることができない場合。
4.情報主体との契約の締結及び履行のためにやむを得ず必要な場合。
5.情報主体又はその法定代理人が意思表示をすることができない状態にあったり住所不明等で事前同意を受けることができない場合であって、明確に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要と認められる場合。
6.個人情報処理者の正当な利益を達成するために必要な場合であって、明白に情報主体の権利より優先する場合。この場合、個人情報処理者の正当な利益と相当な関連があって合理的な範囲を超過しない場合に限る。
A個人情報処理者は、第1項第1号の規定による同意を受けるときは、次の各号の事項を情報主体に知らせなければならない。次の各号のいずれかの事項を変更する場合にもこれを知らせ、同意を受けなければならない。
1.個人情報の収集・利用目的
2.収集しようとする個人情報の項目
3.個人情報の保有及び利用期間
4.同意を拒否する権利があるという事実及び同意拒否による不利益がある場合には、その不利益の内容
第16条(個人情報の収集制限)@個人情報処理者は、第15条第1項各号のいずれかに該当して個人情報を収集する場合には、その目的に必要な最小限の個人情報を収集しなければならない。この場合、最小限の個人情報収集という立証責任は個人情報処理者が負担する。
A個人情報処理者は、情報主体が必要な最小限の情報以外の個人情報収集に同意しないという理由で情報主体に財貨又はサービスの提供を拒否してはならない。
第17条(個人情報の提供)@個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体の個人情報を第三者に提供(共有を含む。以下同じである。)することができる。
1.情報主体の同意を受けた場合。
2.第15条第1項第2号・第3号及び第5号の規定により個人情報を収集した目的範囲で個人情報を提供する場合。
A個人情報処理者は、第1項第1号の規定による同意を受けるときは、次の各号の事項を情報主体に知らせなければならない。次の各号のいずれかの事項を変更する場合にもこれを知らせ、同意を受けなければならない。
1.個人情報を提供される者
2.個人情報を提供される者の個人情報利用目的
3.提供する個人情報の項目
4.個人情報を提供される者の個人情報保有及び利用期間
5.同意を拒否する権利があるという事実及び同意拒否による不利益がある場合には、その不利益の内容
B個人情報処理者が個人情報を国外の第三者に提供するときは、第2項各号による事項を情報主体に知らせ、同意を受けなければならず、この法律に違反する内容で個人情報の国外以前に関する契約を締結してはならない。
第18条(個人情報の利用・提供制限)@個人情報処理者は、個人情報を第15条第1項の規定による範囲を超過して利用し、又は第17条第1項及び第3項の規定による範囲を超過して第三者に提供してはならない。
A前項の規定にかかわらず、個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体又は第三者の利益を不当に侵害するおそれがある時を除いては、個人情報を目的以外の用途で利用し、又はこれを第三者に提供することができる。ただし、第5号から第9号までの場合は、公共機関の場合に限定する。
1.情報主体から別途の同意を受けた場合。
2.他の法律に特別な規定がある場合。
3.情報主体又はその法定代理人が意思表示をすることができない状態にあり、又は住所不明等で事前同意を受けることができない場合であって、明確に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要と認められる場合。
4.統計作成及び学術研究等の目的のために必要な場合であって、特定個人を調べてみることができない形態で個人情報を提供する場合。
5.個人情報を目的以外の用途で利用し、又はこれを第三者に提供しなければ他の法律で定める所管業務を遂行することができない場合であって、保護委員会の審議・議決を経た場合。
6.条約、その他の国際協定の履行のために外国政府又は国際機構に提供するために必要な場合。
7.犯罪の捜査と控訴の提起及び維持のために必要な場合。
8.裁判所の裁判業務遂行のために必要な場合。
9.刑及び監護、保護処分の執行のために必要な場合。
B個人情報処理者は、第2項第1号による同意を受けるときは、次の各号の事項を情報主体に知らせなければならない。次の各号のいずれかの事項を変更する場合にもこれを知らせ、同意を受けなければならない。
1.個人情報を提供される者
2.個人情報の利用目的(提供時には、提供される者の利用目的をいう。)
3.利用又は提供する個人情報の項目
4.個人情報の保有及び利用期間(提供時には、提供される者の保有及び利用期間をいう。)
5.同意を拒否する権利があるという事実及び同意拒否による不利益がある場合には、その不利益の内容
C公共機関は第2項第2号から第6号まで、第8号及び第9号により個人情報を目的以外の用途で利用し、又はこれを第三者に提供する場合には、その利用又は提供の法的根拠、目的及び範囲等に関して必要な事項を行政安全部令で定めるところにより官報又はインターネット
ホームページ等に掲載しなければならない。
D個人情報処理者は、第2項各号のいずれかの場合に該当して個人情報を目的以外の用途で第三者に提供する場合には、個人情報を提供される者に利用目的、利用方法、その他必要な事項の規定に対して制限をし、又は、個人情報の安全性確保のために必要な措置を用意するように要請しなければならない。この場合、要請を受けた者は、個人情報の安全性確保のために必要な措置をしなければならない。
第19条(個人情報を提供された者の利用・提供制限)個人情報処理者から個人情報を提供された者は、次の各号のいずれかに該当する場合を除いては、個人情報を提供された目的以外の用途で利用し、又はこれを第三者に提供してはならない。
1.情報主体から別途の同意を受けた場合。
2.他の法律に特別な規定がある場合。
第20条(情報主体以外から収集した個人情報の収集出処等告知)@個人情報処理者が情報主体以外から収集した個人情報を処理するときは、情報主体の要求があれば直ちに次の各号のすべての事項を情報主体に知らせなければならない。
1.個人情報の収集出処
2.個人情報の処理目的
3.第37条の規定による個人情報処理の停止を要求する権利があるという事実
A前項は次の各号のいずれかに該当する場合には、適用しない。ただし、この法律による情報主体の権利より明確に優先する場合に限る。
1.告知を要求する対象になる個人情報が第32条第2項各号のいずれかに該当する個人情報ファイルに含まれている場合。
2.告知により他の人の生命・身体を害するおそれがあり、又は他人の財産とその他の利益を不当に侵害するおそれがある場合。
第21条(個人情報の破棄)@個人情報処理者は、保有期間の経過、個人情報の処理目的達成等その個人情報が不必要になったときは、遅滞なくその個人情報を破棄しなければならない。ただし、他の法令により保存しなければならない場合には、この限りでない。
A個人情報処理者が第1項の規定により個人情報を破棄するときは、復旧又は再生しないように措置しなければならない。
B個人情報処理者が第1項ただし書により個人情報を破棄せず、保存しなければならない場合には、該当個人情報又は個人情報ファイルを他の個人情報と分離して保存・管理しなければならない。
C個人情報の破棄方法及び手続き等に必要な事項は、大統領令で定める。
第22条(同意を受ける方法)@個人情報処理者は、この法律による個人情報の処理に対して情報主体(第5項の規定による法定代理人を含む。以下この条の規定において同じである。)の同意を受けるときは、それぞれの同意事項を区分して情報主体がこれを明確に認知することができるように知らせ、各々同意を受けなければならない。
A個人情報処理者は、第15条第1項第1号、第17条第1項第1号、第23条第1号及び第24条第1項第1号により個人情報の処理に対して情報主体の同意を受けるときは、情報主体との契約締結等のために情報主体の同意なく処理することができる個人情報と情報主体の同意が必要な個人情報を区分しなければならない。この場合、同意なく処理することができる個人情報という立証責任は個人情報処理者が負担する。
B個人情報処理者は、情報主体に財貨やサービスを広報し、又は販売を薦めるために個人情報の処理に対する同意を受けようとするときは、情報主体がこれを明確に認知することができるように知らせて同意を受けなければならない。
C個人情報処理者は、情報主体が第2項の規定により選択的に同意することができる事項に同意せず、又は第3項及び第18条第2項第1号による同意をしないという理由で情報主体に財貨又はサービスの提供を拒否してはならない。
D個人情報処理者は、満14才未満児童の個人情報を処理するためにこの法律による同意を受けなければならないときは、その法定代理人の同意を受けなければならない。この場合、法定代理人の同意を受けるために必要な最小限の情報は法定代理人の同意なく該当児童から直接収集することができる。
E第1項から第5項までで規定した事項の他に情報主体の同意を受ける細部的な方法及び第5項の規定による最小限の情報の内容に関して必要な事項は、個人情報の収集媒体等を考慮して大統領令で定める。
第2節 個人情報の処理制限
第23条(敏感情報の処理制限)個人情報処理者は、思想・信念、労働組合・政党の加入・脱退、政治的見解、健康、性生活等に関する情報、その他情報主体の私生活を顕著に侵害するおそれがある個人情報であって、大統領令で定める情報(以下"敏感情報"という。)を処理してはならない。ただし、次の各号のいずれかに該当する場合には、この限りでない。
1.情報主体に第15条第2項各号又は第17条第2項各号の事項を知らせて他の個人情報の処理に対する同意と別に同意を受けた場合。
2.法令で敏感情報の処理を要求し、又は許容する場合。
第24条(固有識別情報の処理制限)@個人情報処理者は、次の各号の場合を除いては、法令により個人を固有に区別するために付与された識別情報であって、大統領令で定める情報(以下"固有識別情報"という。)を処理することができない。
1.情報主体に第15条第2項各号又は第17条第2項各号の事項を知らせて他の個人情報の処理に対する同意と別に同意を受けた場合。
2.法令で具体的に固有識別情報の処理を要求し、又は許容する場合。
A大統領令で定める基準に該当する個人情報処理者は、情報主体がインターネット
ホームページを通じて会員に加入する場合、住民登録番号を使わずに会員に加入することができる方法を提供しなければならない。
B個人情報処理者が第1項各号により固有識別情報を処理する場合には、その固有識別情報が紛失・盗難・流出・変造又は毀損されないように大統領令で定めるところにより暗号化等安全性確保に必要な措置をしなければならない。
C行政安全部長官は、第2項の規定による方法の提供を支援するために関係法令の整備、計画の樹立、必要な施設及びシステムの構築等諸般措置を用意することができる。
[施行日:2012.3.30]第24条第2項
第25条(映像情報処理機器の設置・運営制限)@何人も次の各号の場合を除いては、公開された場所に映像情報処理機器を設置・運営してはならない。
1.法令で具体的に許容している場合。
2.犯罪の予防及び捜査のために必要な場合。
3.施設安全及び火災予防のために必要な場合。
4.交通取り締まりのために必要な場合。
5.交通情報の収集・分析及び提供のために必要な場合。
A何人も不特定多数が利用する風呂場、お手洗い、発汗室、更衣室等個人の私生活を顕著に侵害するおそれがある場所の内部を見ることができるように映像情報処理機器を設置・運営してはならない。ただし、刑務所、精神保健施設等法令に基づいて人を拘禁し、又は保護する施設であって、大統領令で定める施設に対しては、この限りでない。
B第1項各号により映像情報処理機器を設置・運営しようとする公共機関の長と第2項ただし書により映像情報処理機器を設置・運営しようとする者は、公聴会・説明会の開催等大統領令で定める手続を踏んで関係専門家及び利害関係人の意見を取りまとめなければならない。
C第1項各号により映像情報処理機器を設置・運営する者(以下"映像情報処理機器運営者"という。)は、情報主体が簡単に認識することができるように大統領令で定めるところにより案内板設置等必要な措置をしなければならない。ただし、大統領令で定める施設に対しては、この限りでない。
D映像情報処理機器運営者は、映像情報処理機器の設置目的と異なる目的で映像情報処理機器を任意に操作し、又は他の所を映してはならず、録音機能は使うことができない。
E映像情報処理機器運営者は、個人情報が紛失・盗難・流出・変造又は毀損されないように第29条の規定により安全性確保に必要な措置をしなければならない。
F映像情報処理機器運営者は、大統領令で定めるところにより映像情報処理機器運営・管理方針を用意しなければならない。この場合、第30条の規定による個人情報処理方針を定めないことができる。
G映像情報処理機器運営者は、映像情報処理機器の設置・運営に関する事務を委託することができる。ただし、公共機関が映像情報処理機器設置・運営に関する事務を委託する場合には、大統領令で定める手続き及び要件に従わなければならない。
第26条(業務委託による個人情報の処理制限)@個人情報処理者が第三者に個人情報の処理業務を委託する場合には、次の各号の内容が含まれた文書によらなければならない。
1.委託業務遂行目的他個人情報の処理禁止に関する事項
2.個人情報の技術的・管理的保護措置に関する事項
3.その他個人情報の安全な管理のために大統領令で定めた事項
A前項の規定により個人情報の処理業務を委託する個人情報処理者(以下"委託者"という。)は、委託する業務の内容と個人情報処理業務の委託を受けて処理する者(以下"受託者"という。)を情報主体がいつでも簡単に確認することができるように大統領令で定める方法により公開しなければならない。
B委託者が財貨又はサービスを広報し、又は販売を薦める業務を委託する場合には、大統領令で定める方法により委託する業務の内容と受託者を情報主体に知らせなければならない。委託する業務の内容や受託者が変更された場合にもまた同じである。
C委託者は、業務委託により情報主体の個人情報が紛失・盗難・流出・変造又は毀損されないように受託者を教育して、処理現況点検等大統領令で定めるところにより受託者が個人情報を安全に処理するかを監督しなければならない。
D受託者は、個人情報処理者から委託を受けた該当業務範囲を超過して個人情報を利用し、又は第三者に提供してはならない。
E受託者が委託を受けた業務と関連して個人情報を処理する過程でこの法律に違反して発生した損害賠償策に対しては、受託者を個人情報処理者の所属職員とみなす。
F受託者に関しては、第15条から第25条まで、第27条から第31条まで、第33条から第38条まで及び第59条を準用する。
第27条(営業譲渡等による個人情報の以前制限)@個人情報処理者は、営業の全部又は一部の譲渡・合併等で個人情報を他の人に移転する場合には、あらかじめ次の各号の事項を大統領令で定める方法により該当情報主体に知らせなければならない。
1.個人情報を移転しようとする事実
2.個人情報を受け継ぐ者(以下"営業譲受者等"という。)の姓名(法人の場合には、法人の名称をいう。)、住所、電話番号及びその他の連絡先
3.情報主体が個人情報の移転を望まない場合、措置することができる方法及び手続き
A営業譲受者等は個人情報を受け継いだときは、遅滞なくその事実を大統領令で定める方法により情報主体に知らせなければならない。ただし、個人情報処理者が第1項の規定によりその以前事実をすでに知らせた場合には、この限りでない。
B営業譲受者等は営業の譲渡・合併等で個人情報を受け継いだ場合には、以前当時の本来目的にだけ個人情報を利用し、又は第三者に提供することができる。この場合、営業譲受者等は個人情報処理者とみなす。
第28条(個人情報取り扱い者に対する監督)@個人情報処理者は、個人情報を処理するという場合において個人情報が安全に管理されるように役職員、派遣勤労者、時間制勤労者等個人情報処理者の指揮・監督を受けて個人情報を処理する者(以下"個人情報取り扱い者"という。)に対して適切な管理・監督を行わなければならない。
A個人情報処理者は、個人情報の適正な取り扱いを保障するために個人情報取扱者に定期的に必要な教育を実施しなければならない。
第4章 個人情報の安全な管理
第29条(安全措置義務)個人情報処理者は、個人情報が紛失・盗難・流出・変造又は毀損されないように内部管理計画樹立、接続記録保管等大統領令で定めるところにより安全性確保に必要な技術的・管理的及び物理的措置をしなければならない。
第30条(個人情報処理方針の樹立及び公開)@個人情報処理者は、次の各号の事項が含まれた個人情報の処理方針(以下"個人情報処理方針"という。)を定めなければならない。この場合、公共機関は第32条の規定により登録対象になる個人情報ファイルに対して個人情報処理方針を定める。
1.個人情報の処理目的
2.個人情報の処理及び保有期間
3.個人情報の第三者提供に関する事項(該当する場合にだけ定める。)
4.個人情報処理の委託に関する事項(該当する場合にだけ定める。)
5.情報主体の権利・義務及びその行事方法に関する事項
6.その他個人情報の処理に関して大統領令で定めた事項
A個人情報処理者が個人情報処理方針を樹立し、又は変更する場合には、情報主体が簡単に確認することができるように大統領令で定める方法により公開しなければならない。
B個人情報処理方針の内容と個人情報処理者と情報主体間に締結した契約の内容が違う場合には、情報主体に有利なのを適用する。
C行政安全部長官は、個人情報処理方針の作成指針を定めて個人情報処理者にその遵守を推奨することができる。
第31条(個人情報保護責任者の指定)@個人情報処理者は、個人情報の処理に関する業務を総括して責任を負うべき個人情報保護責任者を指定しなければならない。
A個人情報保護責任者は、次の各号の業務を遂行する。
1.個人情報保護計画の樹立及び施行
2.個人情報処理実態及び慣行の定期的な調査及び改善
3.個人情報処理と関連した不満の処理及び被害救済
4.個人情報流出及び誤用・乱用防止のための内部統制システムの構築
5.個人情報保護教育計画の樹立及び施行
6.個人情報ファイルの保護及び管理・監督
7.その他個人情報の適切な処理のために大統領令で定めた業務
B個人情報保護責任者は、第2項各号の業務を遂行するという場合において必要な場合、個人情報の処理現況、処理体系等に対していつも調査し、又は関係当事者から報告を受けることができる。
C個人情報保護責任者は、個人情報保護と関連してこの法律及び他の関係法令の違反事実を知ることになった場合には、直ちに改善措置をしなければならず、必要なときは、所属機関又は団体の長に改善措置を報告しなければならない。
D個人情報処理者は、個人情報保護責任者が第2項各号の業務を遂行するという場合において正当な理由なく不利益を与えたり受けさせてはならない。
E個人情報保護責任者の指定要件、業務、資格要件、その他必要な事項は、大統領令で定める。
第32条(個人情報ファイルの登録及び公開)@公共機関の職人個人情報ファイルを運用する場合には、次の各号の事項を行政安全部長官に登録しなければならない。登録した事項が変更された場合にもまた同じである。
1.個人情報ファイルの名称
2.個人情報ファイルの運営根拠及び目的
3.個人情報ファイルに記録される個人情報の項目
4.個人情報の処理方法
5.個人情報の保有期間
6.個人情報を通常的又は反復的に提供する場合には、その提供される者
7.その他大統領令で定める事項
A次の各号のいずれかに該当する個人情報ファイルに対しては、第1項の規定を適用しない。
1.国家安全、外交上秘密、その他国家の重大な利益に関する事項を記録した個人情報ファイル
2.犯罪の捜査、控訴の提起及び維持、刑及び監護の執行、矯正処分、保護処分、保安観察処分と出入国管理に関する事項を記録した個人情報ファイル
3.「租税犯処罰法」による犯則行為調査及び「関税法」による犯則行為調査に関する事項を記録した個人情報ファイル
4.公共機関の内部的業務処理だけのために使用される個人情報ファイル
5.他の法令により秘密に分類された個人情報ファイル
B行政安全部長官は、必要な場合には第1項の規定による個人情報ファイルの登録事項とその内容を検討して該当公共機関の長に改善を勧告することができる。
C行政安全部長官は、第1項の規定による個人情報ファイルの登録現況を何人も簡単に閲覧することができるように公開しなければならない。
D第1項の規定による登録及び第4項の規定による公開の方法、範囲及び手続きに関して必要な事項は、大統領令で定める。
E国会、裁判所、憲法裁判所、中央選挙管理委員会(その所属機関を含む。)の個人情報ファイル登録及び公開に関しては、国会規則、大法院規則、憲法裁判所規則及び中央選挙管理委員会規則で定める。
第33条(個人情報影響評価)@公共機関の長は、大統領令で定める基準に該当する個人情報ファイルの運用により情報主体の個人情報侵害が憂慮される場合には、その危険要因の分析と改善事項導出のための評価(以下"影響評価"という。)をしてその結果を行政安全部長官に提出しなければならない。この場合、公共機関の長は、影響評価を行政安全部長官が指定する機関(以下"評価機関"という。)中から依頼しなければならない。
A影響評価をする場合には、次の各号の事項を考慮しなければならない。
1.処理する個人情報の数
2.個人情報の第三者提供可否
3.情報主体の権利を害する可能性及びその危険程度
4.その他大統領令で定めた事項
B行政安全部長官は、第1項の規定により提出させた影響評価結果に対して保護委員会の審議・議決を経て意見を提示することができる。
C公共機関の長は、第1項の規定により影響評価をした個人情報ファイルを第32条第1項の規定により登録するときは、影響評価結果を共に添付しなければならない。
D行政安全部長官は、影響評価の活性化のために関係専門家の育成、影響評価基準の開発・普及等必要な措置を用意しなければならない。
E第1項の規定による評価機関の指定基準及び指定取消、評価基準、影響評価の方法・手続き等に関して必要な事項は、大統領令で定める。
F国会、裁判所、憲法裁判所、中央選挙管理委員会(その所属機関を含む。)の影響評価に関する事項は、国会規則、大法院規則、憲法裁判所規則及び中央選挙管理委員会規則で定めるところに従う。
G公共機関以外の個人情報処理者は、個人情報ファイル運用により情報主体の個人情報侵害が憂慮される場合には、影響評価をするために積極的に努力しなければならない。
第34条(個人情報流出通知等)@個人情報処理者は、個人情報が流出したことを知ることになったときは、遅滞なく該当情報主体に次の各号の事実を通知しなければならない。
1.流出した個人情報の項目
2.流出した時点とその経緯
3.流出により発生することができる被害を最小化するために情報主体がすることができる方法等に関する情報
4.個人情報処理者の対応措置及び被害救済手続き
5.情報主体に被害が発生した場合、申告等を接収することができる担当部署及び連絡先
A個人情報処理者は、個人情報が流出した場合、その被害を最小化するための対策を用意して必要な措置をしなければならない。
B個人情報処理者は、大統領令で定めた規模以上の個人情報が流出した場合には、第1項の規定による通知及び第2項の規定による措置結果を遅滞なく行政安全部長官又は大統領令で定める専門機関に申告しなければならない。この場合、行政安全部長官又は大統領令で定める専門機関は被害拡散防止、被害復旧等のための技術を支援することができる。
C第1項の規定による通知の時期、方法及び手続き等に関して必要な事項は、大統領令で定める。
第5章 情報主体の権利保障
第35条(個人情報の閲覧)@情報主体は個人情報処理者が処理する自身の個人情報に対する閲覧を該当個人情報処理者に要求することができる。
A前項の規定にかかわらず、情報主体が自身の個人情報に対する閲覧を公共機関に要求しようとするときは、公共機関に直接閲覧を要求し、又は大統領令で定めるところにより行政安全部長官を通じて閲覧を要求することができる。
B個人情報処理者は、第1項及び第2項の規定による閲覧を要求されていたときは、大統領令で定める期間内に情報主体が該当個人情報を閲覧することができるようにしなければならない。この場合、該当期間内に閲覧することができない正当な理由があるときは、情報主体にその理由を知らせて閲覧を演技することができ、その理由が消滅するときは、遅滞なく閲覧できるようにしなければならない。
C個人情報処理者は、次の各号のいずれかに該当する場合には、情報主体にその理由を知らせて閲覧を制限し、又は拒否することができる。
1.法律により閲覧が禁止され、又は制限される場合。
2.他の人の生命・身体を害するおそれがあり、又は他人の財産とその他の利益を不当に侵害するおそれがある場合。
3.公共機関が次の各目のいずれかに該当する業務を遂行する時重大な支障を招く場合。
イ.租税の賦課・徴収又は還付に関する業務
ロ 「初・中等教育法」及び「高等教育法」による各級学校、「生涯教育法」による生涯教育施設、その他の他の法律により設置された高等教育機関での成績評価又は入学者選抜に関する業務
ハ 学歴・機能及び採用に関する試験、資格審査に関する業務
ニ 補償金・給付金算定等に対して進行中の評価又は判断に関する業務
ホ 他の法律により進行中の監査及び調査に関する業務
D第1項から第4項までの規定による閲覧要求、閲覧制限、通知等の方法及び手続きに関して必要な事項は、大統領令で定める。
第36条(個人情報の訂正・削除)@第35条の規定により自身の個人情報を閲覧した情報主体は、個人情報処理者にその個人情報の訂正又は削除を要求することができる。ただし、他の法令でその個人情報が収集対象に明示されている場合には、その削除を要求することができない。
A個人情報処理者は、第1項の規定による情報主体の要求を受けたときは、個人情報の訂正又は削除に関して他の法令に特別な手続きが規定されている場合を除いては、遅滞なくその個人情報を調査して情報主体の要求により訂正・削除等必要な措置をした後その結果を情報主体に知らせなければならない。
B個人情報処理者が第2項の規定により個人情報を削除するときは、復旧又は再生しないように措置しなければならない。
C個人情報処理者は、情報主体の要求が第1項ただし書に該当するときは、遅滞なくその内容を情報主体に知らせなければならない。
D個人情報処理者は、第2項の規定による調査をする時必要な場合には該当情報主体に訂正・削除要求事項の確認に必要な証拠資料を提出させることができる。
E第1項・第2項及び第4項の規定による訂正又は削除要求、通知方法及び手続き等に必要な事項は、大統領令で定める。
第37条(個人情報の処理停止等)@情報主体は、個人情報処理者に対して自身の個人情報処理の停止を要求することができる。この場合、公共機関に対しては、第32条の規定により登録対象になる個人情報ファイル中自身の個人情報に対する処理の停止を要求することができる。
A個人情報処理者は、第1項の規定による要求を受けたときは、遅滞なく情報主体の要求により個人情報処理の全部を停止し、又は一部を停止しなければならない。ただし、次の各号のいずれかに該当する場合には、情報主体の処理停止要求を拒否することができる。
1.法律に特別な規定があり、又は法令上義務を遵守するために避けることができない場合。
2.他の人の生命・身体を害するおそれがあり、又は他人の財産とその他の利益を不当に侵害するおそれがある場合。
3.公共機関が個人情報を処理しなければ他の法律で定める所管業務を遂行することができない場合。
4.個人情報を処理しなければ情報主体と約定したサービスを提供することができない等契約の履行が困難な場合であって、情報主体がその契約の解約医師を明確に明らかにしない場合。
B個人情報処理者は、第2項ただし書により処理停止要求を拒否したときは、情報主体に遅滞なくその理由を知らせなければならない。
C個人情報処理者は、情報主体の要求により処理が停止した個人情報に対して遅滞なく該当個人情報の破棄等必要な措置をしなければならない。
D第1項から第3項までの規定による処理停止の要求、処理停止の拒絶、通知等の方法及び手続きに必要な事項は、大統領令で定める。
第38条(権利行使の方法及び手続き)@情報主体は、第35条の規定による閲覧、第36条の規定による訂正・削除、第37条の規定による処理停止等の要求(以下"閲覧等要求"という。)を文書等大統領令で定める方法・手続きにより代理人にさせることができる。
A満14才未満児童の法定代理人は、個人情報処理者にその児童の個人情報閲覧等要求をすることができる。
B個人情報処理者は、閲覧等要求をする者に大統領令で定めるところにより手数料及び郵送料(写本の郵送を請求する場合に限る。)を請求することができる。
C個人情報処理者は、情報主体が閲覧等要求をすることができる具体的な方法と手続きを用意し、これを情報主体が知ることができるように公開しなければならない。
D個人情報処理者は、情報主体が閲覧等要求に対する拒絶等措置に対して不服がある場合、異議を提起することができるように必要な手続きを用意して案内しなければならない。
第39条(損害賠償責任)@情報主体は個人情報処理者がこの法律に違反した行為で損害を受けたときは、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は、故意又は過失がないことを立証しなければ責任を免れることができない。
A個人情報処理者がこの法律による義務を遵守して相当な注意と監督を怠らない場合には、個人情報の紛失・盗難・流出・変造又はき損による損害賠償責任の減軽を受けることができる。
第6章 個人情報紛争調停委員会
第40条(設置及び構成)@個人情報に関する紛争の調停のために個人情報紛争調停委員会(以下"紛争調停委員会"という。)を置く。
A紛争調停委員会は、委員長1人を含む20人以内の委員で構成して、その中1人は常任委員とする。
B委員は次の各号のいずれかに該当する者の中から行政安全部長官が任命し、又は委嘱する。
1.個人情報保護業務を管掌する中央行政機関の高位公務員団に属する公務員又はこれに相当する公共部門及び関連団体の職に在職していたり在職した者であって個人情報保護業務の経験がある者
2.大学や公認された研究機関で副教授以上又はこれに相当する職に在職していたり在職した者
3.判事・検査又は弁護士で在職していたり在職した者
4.個人情報保護と関連した市民社会団体又は消費者団体から推薦を受けた者
5.個人情報処理者で構成された事業者団体の役員で在職していたり在職した者
C委員長は、委員中で公務員でない者から行政安全部長官が任命する。
D委員長と委員の任期は2年とし、1次に限って再任することができる。ただし、第3項第1号により任命された公務員の委員はその職に在職する間、在任する。
E紛争調停委員会は、紛争調停業務を効率的に遂行するために必要な場合には大統領令で定めるところにより調停事件の分野別に5人以内の委員で構成される調停部を置くことができる。この場合、調停部が紛争調停委員会で委任されて議決した事項は、紛争調停委員会で議決したとみなす。
F紛争調停委員会又は調停部は在籍委員過半数の出席で開議し、出席委員過半数の賛成で議決する。
G行政安全部長官は、紛争調停委員会事務局運営等業務を支援するために大統領令で定めるところにより専門機関を指定することができる。
Hこの法律で定めた事項の他に紛争調停委員会運営に必要な事項は、大統領令で定める。
第41条(委員の身分保障)委員は資格停止以上の刑を宣告され、又は心身上の障害で職務を遂行することができない場合を除いては、その意思に反して免職され、又は解職されない。
第42条(委員の除斥・忌避・回避)@紛争調停委員会の委員は次の各号のいずれかに該当する場合には、第43条第1項の規定により紛争調停委員会に申請された紛争調停事件(以下この条の規定において"事件"という。)の審議・議決で除斥される。
1.委員又はその配偶者や配偶者であった者がその事件の当事者になり、又はその事件に関して共同の権利者又は義務者の関係にある場合。
2.委員がその事件の当事者と親族又は親族であった場合。
3.委員がその事件に関して証言、鑑定、法律諮問をした場合。
4.委員がその事件に関して当事者の代理人として関与し、又は関与した場合。
A当事者は、委員に公正な審議・議決を期待する難しい事情があれば委員長に忌避申請をすることができる。この場合、委員長は、忌避申請に対して紛争調停委員会の議決を経ないで定める。
B委員が第1項又は第2項の理由に該当する場合には、自らその事件の審議・議決から回避することができる。
第43条(調停の申請等)@個人情報と関連した紛争の調停を希望する者は、紛争調停委員会に紛争調停を申請することができる。
A紛争調停委員会は、当事者の一方から紛争調停申請を受けたときは、その申請内容を相手方に知らせなければならない。
B公共機関が第2項の規定による紛争調停の通知を受けた場合には、特別な理由がなければ紛争調停に応じなければならない。
第44条(処理期間)@紛争調停委員会は、第43条第1項の規定による紛争調停申請を受けた日から60日以内にこれを審査して調停案を作成しなければならない。ただし、やむを得ない事情がある場合には、紛争調停委員会の議決で処理期間を延長することができる。
A紛争調停委員会は、第1項ただし書により処理期間を延長した場合には、期間延長の理由とその他の期間延長に関する事項を申請人に知らせなければならない。
第45条(資料の要請等)@紛争調停委員会は、第43条第1項の規定により紛争調停申請を受けたときは、該当紛争の調停のために必要な資料を紛争当事者に要請することができる。この場合、紛争当事者は、正当な理由がなければ要請に従わなければならない。
A紛争調停委員会は、必要と認めれば紛争当事者又は参考人を委員会に出席させてその意見を聞くことができる。
第46条(調停前合意勧告)紛争調停委員会は、第43条第1項の規定により紛争調停申請を受けたときは、当事者にその内容を提示して調停前合意を勧告することができる。
第47条(紛争の調停)@紛争調停委員会は、次の各号のいずれかの事項を含む調停案を作成することができる。
1.調査対象侵害行為の中止
2.原状回復、損害賠償、その他必要な救済措置
3.同一又は類似の侵害の再発を防止するために必要な措置
A紛争調停委員会は、第1項の規定により調停案を作成すれば遅滞なく各当事者に提示しなければならない。
B第1項の規定により調停案の提示を受けた当事者が提示を受けた日から15日以内に受諾可否を知らせなければ調停を拒否したとみなす。
C当事者が調停内容を受諾した場合、紛争調停委員会は、調停書を作成して、紛争調停委員会の委員長と各当事者が記名捺印しなければならない。
D第4項の規定による調停の内容は裁判上和解と同じ効力を持つ。
第48条(調停の拒否及び中止)@紛争調停委員会は、紛争の性質上紛争調停委員会で調停することは適合しないと認め、又は不正の目的で調停が申請されたと認める場合には、その調停を拒否することができる。この場合、調停拒否の理由等を申請人に知らせなければならない。
A紛争調停委員会は、申請された調停事件に対する処理手続きを進行中に一方当事者が訴を提起したときは、その調停の処理を中止し、これを当事者に知らせなければならない。
第49条(集団紛争調停)@国及び地方自治体、個人情報保護団体及び機関、情報主体、個人情報処理者は、情報主体の被害又は権利侵害が多数の情報主体に同一又は類似の類型で発生する場合であって、大統領令で定める事件に対しては、紛争調停委員会に一括的な紛争調停(以下"集団紛争調停"という。)を依頼又は申請することができる。
A前項の規定により集団紛争調停の依頼を受けたり申請を受けた紛争調停委員会は、その議決で第3項から第7項までの規定による集団紛争調停の手続きを開始することができる。この場合、紛争調停委員会は、大統領令で定める期間、その手続きの開始を公告しなければならない。
B紛争調停委員会は、集団紛争調停の当事者でない情報主体又は個人情報処理者からその紛争調停の当事者に追加で含まれるようにする申請を受けることができる。
C紛争調停委員会は、その議決で第1項及び第3項の規定による集団紛争調停の当事者中から共同の利益を代表するので最も適合した1人又は数人を代表当事者として選任することができる。
D紛争調停委員会は、個人情報処理者が紛争調停委員会の集団紛争調停の内容を受諾した場合には、集団紛争調停の当事者ではない者として被害を受けた情報主体に対する補償計画書を作成し、紛争調停委員会に提出するように勧告することができる。
E第48条第2項の規定にかかわらず、紛争調停委員会は、集団紛争調停の当事者の多数の情報主体中一部の情報主体が裁判所に訴を提起した場合には、その手続きを中止せず、訴を提起した一部の情報主体をその手続きから除く。
F集団紛争調停の期間は第2項の規定による公告が終了した日の次の日から60日以内とする。ただし、やむを得ない事情がある場合には、紛争調停委員会の議決で処理期間を延長することができる。
G集団紛争調停の手続き等に関して必要な事項は、大統領令で定める。
第50条(調停手続き等)@第43条から第49条までの規定で定めたものの他に紛争の調停方法、調停手続き及び調停業務の処理等に必要な事項は、大統領令で定める。
A紛争調停委員会の運営及び紛争調停手続きに関してこの法律で規定しない事項の規定に対しては、「民事調停法」を準用する。
第7章 個人情報団体訴訟
第51条(団体訴訟の対象等)次の各号のいずれかに該当する団体は、個人情報処理者が第49条の規定による集団紛争調停を拒否し、又は集団紛争調停の結果を受諾しない場合には、裁判所に権利侵害行為の禁止・中止を求める訴訟(以下"団体訴訟"という。)を提起することができる。
1.「消費者基本法」第29条の規定により公正取引委員会に登録した消費者団体として次の各目の要件を全部整えた団体
イ.定款により常時的に情報主体の権益増進を主な目的とする団体であること。
ロ 団体の正会員数が1千人以上であること。
ハ 「消費者基本法」第29条の規定による登録後3年が経過したこと。
2.「非営利民間団体支援法」第2条の規定による非営利民間団体として次の各目の要件を全部整えた団体
イ.法律上又は事実上同じ侵害を受けた100人以上の情報主体から団体訴訟の提起を要請されること。
ロ 定款に個人情報保護を団体の目的で明示した後最近3年以上これのために活動実績があること。
ハ 団体の常時構成員数が5千人以上であること。
ニ 中央行政機関に登録されていること。
第52条(専属管轄)@団体訴訟の訴えは、被告の主な事務所又は営業所がある所、主な事務所や営業所がない場合には、主な業務担当者の住所がある所の地方法院本院合議部の管轄に専属する。
A前項を外国企業業者に適用する場合、大韓民国にあるこれらの主な事務所・営業所又は業務担当者の住所により定める。
第53条(訴訟代理人の選任)団体訴訟の原告は弁護士を訴訟代理人として選任しなければならない。
第54条(訴訟許可申請)@団体訴訟を提起する団体は訴状と共に次の各号の事項を記載した訴訟許可申込書を裁判所に提出しなければならない。
1.原告及びその訴訟代理者
2.被告
3.情報主体の侵害された権利の内容
A前項の規定による訴訟許可申込書には次の各号の資料を添付しなければならない。
1.訴提起団体が第51条各号のいずれかに該当する要件を整えていることを釈明する資料
2.個人情報処理者が調停を拒否し、又は調停結果を受諾しなかったことを証明する書類
第55条(訴訟許可要件等)@裁判所は、次の各号の要件を全部備えた場合に限り、決定で団体訴訟を許可する。
1.個人情報処理者が紛争調停委員会の調停を拒否し、又は調停結果を受諾しなかったこと。
2.第54条の規定による訴訟許可申込書の記載事項の規定に欠陥がないこと。
A団体訴訟を許可し、又は不許可する決定に対しては、即時抗告することができる。
第56条(確定判決の効力)原告の請求を棄却する判決が確定した場合、これと同じ事案に関しては、第51条の規定による他の団体は団体訴訟を提起することができない。ただし、次の各号のいずれかに該当する場合には、この限りでない。
1.判決が確定した後その事案と関連して国・地方自治体又は国・地方自治体が設立した機関により新たな証拠が現れた場合。
2.棄却判決が原告の故意によることが明らかになった場合。
第57条(「民事訴訟法」の適用等)@団体訴訟に関してこの法律に特別な規定がない場合には、「民事訴訟法」を適用する。
A第55条の規定による団体訴訟の許可決定がある場合には、「民事執行法」第4編による保全処分をすることができる。
B団体訴訟の手続きに関して必要な事項は、大法院規則で定める。
第8章 補則
第58条(適用の一部除外)@次の各号のいずれかに該当する個人情報に関しては、第3章 から第7章までを適用しない。
1.公共機関が処理する個人情報中「統計法」により収集される個人情報
2.国家安全保障と関連した情報分析を目的に収集又は提供要請される個人情報
3.公衆衛生等公共の安全と安寧のために緊急に必要な場合であって、一時的に処理される個人情報
4.言論、宗教団体、政党が各々取材・報道、布教、選挙立候補者推薦等固有目的を達成するために収集・利用する個人情報
A第25条第1項各号により公開された場所に映像情報処理機器を設置・運営して処理される個人情報に対しては、第15条、第22条、第27条第1項・第2項、第34条及び第37条を適用しない。
B個人情報処理者が同窓会、同好会等親睦企画のための団体を運営するために個人情報を処理する場合には、第15条、第30条及び第31条を適用しない。
C個人情報処理者は、第1項各号により個人情報を処理する場合にもその目的のために必要な範囲で最小限の期間に最小限の個人情報だけを処理しなければならず、個人情報の安全な管理のために必要な技術的・管理的及び物理的保護措置、個人情報の処理に関する苦衷処理、その他個人情報の適切な処理のために必要な措置を用意しなければならない。
第59条(禁止行為)個人情報を処理し、又は処理した者は、次の各号のいずれかに該当する行為をしてはならない。
1.偽りその他の不正な手段でも方法で個人情報を取得し、又は処理に関する同意を受ける行為
2.業務上知ることになった個人情報を漏洩し、又は権限なく他の人が利用するように提供する行為
3.正当な権限なく又は許された権限を超過して他人の個人情報をき損、滅失、変更、偽造又は流出する行為
第60条(秘密維持等)次の各号の業務に従事し、又は従事した者は、職務上知ることになった秘密を他人に漏洩し、又は職務上目的以外の用途で利用してはならない。ただし、他の法律に特別な規定がある場合には、この限りでない。
1.第8条の規定による保護委員会の業務
2.第33条の規定による影響評価業務
3.第40条の規定による紛争調停委員会の紛争調停業務
第61条(意見提示及び改善勧告)@行政安全部長官は、個人情報保護に影響を及ぼす内容が含まれた法令や条例に対して必要と認めるときは、保護委員会の審議・議決を経て関係機関に意見を提示することができる。
A行政安全部長官は、個人情報保護のために必要と認めるときは、個人情報処理者に個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を行政安全部長官に知らせなければならない。
B関係中央行政機関の長は、個人情報保護のために必要と認めるときは、所管法律により個人情報処理者に個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を関係中央行政機関の長に知らせなければならない。
C中央行政機関、地方自治体、国会、裁判所、憲法裁判所、中央選挙管理委員会は、その所属機関及び所管公共機関に対して個人情報保護に関する意見を提示し、又は指導・点検をすることができる。
第62条(侵害事実の申告等)@個人情報処理者が個人情報を処理する時個人情報に関する権利又は利益を侵害受けた者は、行政安全部長官にその侵害事実を申告することができる。
A行政安全部長官は、第1項の規定による申告の受理・処理等に関する業務を効率的に遂行するために大統領令で定めるところにより専門機関を指定することができる。この場合、専門機関は個人情報侵害申告センター(以下"申告センター"という。)を設置・運営しなければならない。
B申告センターは次の各号の業務を遂行する。
1.個人情報処理と関連した申告の受理・相談
2.事実の調査・確認及び関係者の意見聴取
3.第1号及び第2号による業務に付随する業務
C行政安全部長官は、第3項第2号の事実調査・確認等の業務を効率的にするために必要な場合には「国家公務員法」第32条の4により所属公務員を第2項の規定による専門機関に派遣することができる。
第63条(資料提出要求及び検査)@行政安全部長官は、次の各号のいずれかに該当する場合には、個人情報処理者に関係物品・書類等資料を提出させることができる。
1.この法律に違反する事項を発見し、又は疑惑があることを知ることになった場合。
2.この法律違反に対する申告を受け、又は嘆願が受理された場合。
3.その他情報主体の個人情報保護のために必要な場合であって、大統領令で定める場合。
A行政安全部長官は、個人情報処理者が第1項の規定による資料を提出せず、又はこの法律に違反した事実があると認められれば所属公務員をして個人情報処理者の事務所や事業場に出入りして業務状況、帳簿又は書類等を検査させることができる。この場合、検査をする公務員はその権限を示す証票を携帯し、これを関係人に提示しなければならない。
B関係中央行政機関の長は、所管法律により個人情報処理者に第1項の規定による資料提出を要求し、又は第2項の規定による検査をすることができる。
C行政安全部長官と関係中央行政機関の長は、個人情報処理者から提出させ、又は収集した書類・資料等をこの法律による場合を除いては、第三者に提供し、又は一般に公開してはならない。
D行政安全部長官及び関係中央行政機関の長は、情報通信網を通じて資料の提出等を受けた場合や収集した資料等を電子化した場合には、個人情報・営業秘密等が流出しないように制度的・技術的補完措置をしなければならない。
第64条(是正措置等)@行政安全部長官は、個人情報が侵害されたと判断する相当な根拠がありこれを放置する場合、回復困難な被害が発生するおそれがあると認められるときは、この法律に違反した者(中央行政機関、地方自治体、国会、裁判所、憲法裁判所、中央選挙管理委員会は除く。)に対して次の各号に該当する措置を命じることができる。
1.個人情報侵害行為の中止
2.個人情報処理の一時的な停止
3.その他個人情報の保護及び侵害防止のために必要な措置
A関係中央行政機関の長は、個人情報が侵害されたと判断する相当な根拠がありこれを放置する場合、回復困難な被害が発生するおそれがあると認められるときは、所管法律により個人情報処理者に対して第1項各号に該当する措置を命じることができる。
B地方自治体、国会、裁判所、憲法裁判所、中央選挙管理委員会は、その所属機関及び所管公共機関がこの法律に違反したときは、第1項各号に該当する措置を命じることができる。
C保護委員会は、中央行政機関、地方自治体、国会、裁判所、憲法裁判所、中央選挙管理委員会がこの法律に違反したときは、該当機関の長に第1項各号に該当する措置をするように勧告することができる。この場合、勧告を受けた機関は特別な理由がなければこれを尊重しなければならない。
第65条(告発及び懲戒勧告)@行政安全部長官は、個人情報処理者にこの法律等個人情報保護と関連した法規の違反による犯罪疑惑があると認めるに足りる相当な理由があるときは、管轄捜査機関にその内容を告発することができる。
A行政安全部長官は、この法律等個人情報保護と関連した法規の違反行為があると認めるに足りる相当な理由があるときは、責任がある者を懲戒することをその所属機関・団体等の長に勧告することができる。この場合、勧告を受けた者はこれを尊重しなければならず、その結果を行政安全部長官に通知しなければならない。
B関係中央行政機関の長は、所管法律により個人情報処理者に対して第1項の規定による告発をし、又は所属機関・団体等の長に第2項の規定による懲戒勧告をすることができる。この場合、第2項の規定による勧告を受けた者はこれを尊重しなければならず、その結果を関係中央行政機関の長に通知しなければならない。
第66条(結果の公表)@行政安全部長官は、第61条の規定による改善勧告、第64条の規定による是正措置命令、第65条の規定による告発又は懲戒勧告及び第75条の規定による過怠金賦課の内容及び結果に対して保護委員会の審議・議決を経て公表することができる。
A関係中央行政機関の長は、所管法律により第1項の規定による公表をすることができる。
B第1項及び第2項の規定による公表の方法、基準及び手続き等は大統領令で定める。
第67条(年次報告)@保護委員会は、関係機関等から必要な資料を提出させ、毎年個人情報保護施策の樹立及び施行に関する報告書を作成し、定期国会開会前まで国会に提出(情報通信網による提出を含む。)しなければならない。
A前項の規定による報告書には次の各号の内容が含まれなければならない。
1.情報主体の権利侵害及びその救済現況
2.個人情報処理に関する実態調査等の結果
3.個人情報保護施策の推進現況及び実績
4.個人情報関連海外の立法及び政策動向
5.その他個人情報保護施策に関して公開又は報告しなければならない事項
第68条(権限の委任・委託)@この法律による行政安全部長官又は関係中央行政機関の長の権限は、その一部を大統領令で定めるところにより特別市長、広域市長、道知事、特別自治道知事又は大統領令で定める専門機関に委任し、又は委託することができる。
A前項の規定により行政安全部長官又は関係中央行政機関の長の権限の委任又は委託を受けた機関は委任又は委託を受けた業務の処理結果を行政安全部長官又は関係中央行政機関の長に通知しなければならない。
B行政安全部長官は、第1項の規定による専門機関に権限の一部を委任し、又は委託する場合、該当専門機関の業務遂行のために必要な経費を出捐することができる。
第69条(罰則適用市議公務員議題)行政安全部長官又は関係中央行政機関の長の権限を委託した業務に従事する関係機関の役職員は「刑法」第129条から第132条までの規定を適用するときは、公務員とみなす。
第9章 罰則
第70条(罰則)公共機関の個人情報処理業務を邪魔する目的で公共機関で処理している個人情報を変更し、又は抹消し、公共機関の業務遂行の中断・マヒ等深刻な支障を招いた者は、10年以下の懲役又は1億ウォン以下の罰金に処する。
第71条(罰則)次の各号のいずれかに該当する者は、5年以下の懲役又は5千万ウォン以下の罰金に処する。
1.第17条第1項第2号に該当しないときにおいても、同項第1号に違反して情報主体の同意を受けずに個人情報を第三者に提供した者及びその事情を知って個人情報の提供を受けた者
2.第18条第1項・第2項、第19条、第26条第5項又は第27条第3項の規定に違反して個人情報を利用し、又は第三者に提供した者及びその事情を知りながらも営利又は不正の目的で個人情報を提供を受けた者
3.第23条の規定に違反して敏感情報を処理した者
4.第24条第1項の規定に違反して固有識別情報を処理した者
5.第59条第2号に違反して業務上知ることになった個人情報を漏洩し、又は権限なく他の人が利用するように提供した者及びその事情を知りながらも営利又は不正の目的で個人情報を提供された者
6.第59条第3号に違反して他人の個人情報をき損、滅失、変更、偽造又は流出した者
第72条(罰則)次の各号のいずれかに該当する者は、3年以下の懲役又は3千万ウォン以下の罰金に処する。
1.第25条第5項の規定に違反して映像情報処理機器の設置目的と異なる目的で映像情報処理機器を任意に操作し、又は他の所を映す者又は録音機能を使った者
2.第59条第1号に違反して偽りその他の不正な手段又は方法で個人情報を取得し、又は個人情報処理に関する同意を受ける行為をした者及びその事情を知りながらも営利又は否定した目的で個人情報を提供された者
3.第60条の規定に違反して職務上知ることになった秘密を漏洩し、又は職務上目的の他に利用した者
第73条(罰則)次の各号のいずれかに該当する者は、2年以下の懲役又は1千万ウォン以下の罰金に処する。
1.第24条第3項、第25条第6項又は第29条の規定に違反して安全性確保に必要な措置をせずに個人情報を紛失・盗難・流出・変造又はき損した者
2.第36条第2項の規定に違反して訂正・削除等必要な措置をせずに個人情報を引き続き利用し、又はこれを第三者に提供した者
3.第37条第2項の規定に違反して個人情報の処理を停止せずに引き続き利用し、又は第三者に提供した者
第74条(両罰規定)@法人の代表者又は法人若しくは個人の代理人、使用人、その他の従業員がその法人又は個人の業務に関して第70条の規定に該当する違反行為をしたときは、その行為者を罰するほか、その法人又は個人を7千万ウォン以下の罰金に処する。ただし、法人又は個人がその違反行為を防止するために該当業務に関して相当な注意と監督を怠らない場合には、この限りでない。
A法人の代表者又は法人若しくは個人の代理人、使用人、その他の従業員がその法人又は個人の業務に関して第71条から第73条までのいずれかに該当する違反行為をしたときは、その行為者を罰するほかその法人又は個人にも該当条文の罰金刑を科する。ただし、法人又は個人がその違反行為を防止するために該当業務に関して相当な注意と監督を怠らない場合には、この限りでない。
第75条(過怠金)@次の各号のいずれかに該当する者には5千万ウォン以下の過怠金を賦課する。
1.第15条第1項の規定に違反して個人情報を収集した者
2.第22条第5項の規定に違反して法定代理人の同意を受けない者
3.第25条第2項の規定に違反して映像情報処理機器を設置・運営した者
A次の各号のいずれかに該当する者には3千万ウォン以下の過怠金を賦課する。
1.第15条第2項、第17条第2項、第18条第3項又は第26条第3項の規定に違反して情報主体に知らせなければならない事項を知らせない者
2.第16条第2項又は第22条第4項の規定に違反して財貨又はサービスの提供を拒否した者
3.第20条第1項の規定に違反して情報主体に同じ項各号の事実を知らせない者
4.第21条第1項の規定に違反して個人情報を破棄しない者
5.第24条第2項の規定に違反して情報主体が住民登録番号を使わなくなり得る方法を提供しない者
6.第24条第3項、第25条第6項又は第29条の規定に違反して安全性確保に必要な措置をしない者
7.第25条第1項の規定に違反して映像情報処理機器を設置・運営した者
8.第34条第1項の規定に違反して情報主体に同項各号の事実を知らせない者
9.第34条第3項の規定に違反して措置結果を申告しない者
10.第35条第3項の規定に違反して閲覧を制限し、又は拒否した者
11.第36条第2項の規定に違反して訂正・削除等必要な措置をしない者
12.第37条第4項の規定に違反して処理が停止した個人情報に対して破棄等必要な措置をしない者
13.第64条第1項の規定による是正命令に従わない者
B次の各号のいずれかに該当する者には1千万ウォン以下の過怠金を賦課する。
1.第21条第3項の規定に違反して個人情報を分離して保存・管理しない者
2.第22条第1項から第3項までの規定に違反して同意を受けた者
3.第25条第4項の規定に違反して案内板設置等必要な措置をしない者
4.第26条第1項の規定に違反して業務委託時に同項各号の内容が含まれた文書によらない者
5.第26条第2項の規定に違反して委託する業務の内容と受託者を公開しない者
6.第27条第1項又は第2項の規定に違反して情報主体に個人情報の以前事実を知らせない者
7.第30条第1項又は第2項の規定に違反して個人情報処理方針を定めず、又はこれを公開しない者
8.第31条第1項の規定に違反して個人情報保護責任者を指定しない者
9.第35条第3項・第4項、第36条第2項・第4項又は第37条第3項の規定に違反して情報主体に知らせなければならない事項を知らせない者
10.第63条第1項の規定による関係物品・書類等資料を提出せず、又は偽りで提出した者
11.第63条第2項の規定による出入り・検査を拒否・妨害又は忌避した者
C第1項から第3項までの規定による過怠金は大統領令で定めるところにより行政安全部長官と関係中央行政機関の職人賦課・徴収する。この場合、関係中央行政機関の長は、所管分野の個人情報処理者に過怠金を賦課・徴収する。
[施行日:2012.3.30]第75条第2項第5号
附則<法律第10465号、2011.3.29>
<省略>