コンプライアンス2026年5月5日 | FlexyConsent

韓国のPIPAと2025年改正：クッキー同意、越境移転、2026年のPIPCに関するパブリッシャー・広告主向けガイド

韓国の個人情報保護法（PIPA、개인정보 보호법）は、2011年に施行されて以来、アジアで最も厳格な同意制度の一つとして静かにその地位を保ってきた。ここ3年で変わったのは執行の姿勢である。2023年改正——PIPA施行以来最大の改定——は2023年から2024年にかけて順次施行され、越境移転規制、自動化された意思決定に関する開示義務、制裁の枠組みを再構築した。개인정보보호위원회（PIPC）は2024年から2025年にかけて過去最大級の制裁金を複数件発動しており、その中には海外のパブリッシャーやグローバルプラットフォームへの制裁も含まれる。2026年において、韓国を軽い規制市場として扱うことは、相当量の韓国トラフィックを抱える事業者にとってもはや持続可能な姿勢ではない。本ガイドでは、PIPAが実際に何を求めているか、2023年改正で何が変わったか、クッキー同意の設定方法、そしてPIPCが現在どのように制度を執行しているかについて詳述する。

2023年改正後のPIPAの構造

PIPAは韓国における個人データに関する主要法令であり、改正版は2024年以降に事業を行うあらゆるパブリッシャーにとっての基準となる。2023年以前のテキストで作業しているチームは、時代遅れの枠組みを参照していることになる。

2023年改正の変更点

2023年改正はいくつかの構造的変更をもたらした：

全セクターにわたる個人情報処理者の義務を統一し、従来の情報通信サービス提供者を他の処理者と異なる扱いとしていた分断的制度を廃止した
越境移転の枠組みを再構築し、移転ごとの明示的同意から、GDPRモデルに近い適切性・保護措置パターンへと移行した
重大な影響を生じる完全自動化された意思決定の対象にならない権利を明確化し、人による審査を求める権利を新設した
義務的な漏えい通知期間をGDPR基準に合わせた72時間に短縮した
深刻な違反に対する行政制裁金の上限を総売上高の最大3パーセントに引き上げた——従来の違反行為による収益に紐づく上限からの大幅な引き上げ

PIPCの役割

PIPCは統一された個人情報保護機関であり、調査、制裁金の賦課、是正命令、執行決定の公開といった権限を有する。2023年以降、閣僚級組織として実質的に拡充されたリソースを持ち、執行姿勢も目に見えて積極化している。

規制対象

PIPAは処理者の所在地を問わず、韓国居住者の個人情報に関するあらゆる処理に適用される。韓国向けにローカライズされたサイトで韓国ユーザーにサービスを提供する米国拠点のパブリッシャーや、韓国の広告枠に入札するプログラマティックバイヤーも対象範囲に含まれる。この域外適用はPIPCの実務において確立されており、2023年以降の海外プラットフォームへの複数の執行事例でも再確認されている。

個人情報の範囲

PIPAの定義は広い。個人情報とは、直接または他の情報との組み合わせにより個人を識別できる、生存する個人に関するあらゆる情報を含む。PIPCはクッキー、広告ID、IPアドレス、デバイスフィンガープリント、行動プロファイルを含むあらゆるオンライン識別子を、直接または合理的な手段で個人と結びつけられる場合に個人情報として一貫して扱ってきた。

민감정보（センシティブ情報）

韓国法は민감정보（センシティブ情報）という独立したカテゴリーを規定しており、より厳格な同意要件を課す。これには思想・信条、労働組合または政党への加入、政治的意見、健康状態、性生活、遺伝情報、識別目的で使用される生体情報、犯罪歴が含まれる。민감정보の処理には別途・具体的な同意が必要であり、通常の個人情報をカバーする包括的な同意では足りない。

고유식별정보（固有識別情報）

PIPAはさらに고유식별정보（固有識別情報）というカテゴリーを設けており、住民登録番号、旅券番号、運転免許番号、外国人登録番号が含まれる。これらの処理は厳しく制限されており、マーケティングや広告目的での使用は原則として禁止されている。

クッキーへの影響

単純なセッションIDを保存するクッキーは通常の個人情報であり、一般的な同意制度の下に置かれる。健康への関心、政治的傾向、宗教的所属など민감정보カテゴリーに触れるオーディエンスセグメントを形成するクッキーは민감정보の領域に入り込み、別途・具体的な同意フローが必要となる。PIPAの민감정보リストと重複するオーディエンスをターゲットにしているパブリッシャーは、そのセグメントを一般的な広告同意の下で運用すべきではない。

2026年におけるPIPA下のクッキー同意

韓国は厳格なオプトイン同意モデルを採用している。クッキーに関するPIPCの立場は一貫しており、2024年・2025年を通じた複数の執行決定によって裏付けられている。

有効な同意の5要件

PIPAは非必須クッキーおよび類似技術への同意について以下を求める：

目的を特定したもの——包括的な同意は無効であり、各処理目的ごとに個別の同意が必要
情報提供に基づくもの——ユーザーは何のデータが収集されるか、なぜか、誰が受け取るか、いつまでかを理解していなければならない
任意であるもの——拒否してもユーザーが通常受けられるサービスを拒否されないようにしなければならない
積極的な行為によって表明されるもの——事前チェック済みボックス、黙示の同意、スクロール同意はすべて無効
目的カテゴリーごとに個別であるもの——必須、分析、広告、パーソナライゼーション、越境移転はそれぞれ個別に収集された同意が必要

準拠したCMPの形

2026年に韓国トラフィック向けに設定されたCMPは以下を提示すべきである：

非必須クッキーが起動する前に表示される視認性の高いバナー（韓国ユーザーには韓国語（한국어）をデフォルトとする）
同等の視覚的目立ち度を持つ同意する・拒否する・カスタマイズの3アクション——PIPCは拒否するが同意するよりも目立たないバナーデザインを具体的に指摘してきた
越境移転の明示的トグルを含む目的別の詳細コントロール
민감정보の処理に対する独立したアクションに紐づけられた、別途かつ明確にラベル付けされたフロー
初回選択後に同意を撤回するための永続的かつ見つけやすい仕組み
完全な開示を含む韓国語の개인정보 처리방침（プライバシーポリシー）

同意記録

処理者は同意の証拠——誰が、いつ、何に、どのインターフェースを通じて同意したか——を保持しなければならない。エクスポート可能なタイムスタンプ付き同意ログが基本的な期待値であり、不十分な同意記録は複数のPIPC執行事例で指摘されている。

2023年改正後の越境移転

韓国の越境移転制度は、2023年以降のほぼすべての国内プライバシー制度改定の中で最も徹底的に再構築された。新たな枠組みを理解することが、2026年の海外パブリッシャーにとって最大のコンプライアンスギャップとなっている。

新たな移転枠組み

改正PIPAは合法的な越境移転のための4つの経路を規定している：

移転先の国またはセクターに対するPIPCの適切性決定
PIPC認定の認証スキームに基づく海外受領者の認証
GDPRの標準契約条項に類似する形で機能するPIPC承認の標準契約
特定の移転に対するデータ主体からの別途の明示的同意（補完的手段として）

重要な理由

2023年改正以前は、ほとんどの越境移転が第4の経路——移転ごとの同意——に依拠していたが、これは複雑で厚みのあるCMPを生み出し、プログラマティックスタックでは維持が困難だった。2023年の枠組みでは、処理者が標準契約や認証に依拠できるようになり、同意負担が軽減され、国際的な慣行に整合する。PIPC標準契約を参照するようにベンダー契約を更新していないパブリッシャーは、デフォルトで依然として旧制度下で運用していることになり、これはもはや資産ではなくコンプライアンス上のリスクである。

2026年の実際的アプローチ

ほとんどの海外パブリッシャーは現在、海外処理者とPIPC標準契約を締結し、プライバシーポリシーに移転手段を記録し、移転ごとの別途同意はエッジケースのみのフォールバックとして維持している。これは実行可能で、防御可能であり、従来よりも大幅にシンプルである。

自動化された意思決定とアルゴリズムの透明性

2023年改正は、重大な影響を生じる完全自動化された意思決定の対象にならない権利と、その人によるレビューを求める権利を導入した。パブリッシャーにとって、これはアルゴリズムによるコンテンツキュレーション、パーソナライズされた価格設定、重大な格差的結果をもたらすあらゆるオーディエンスターゲティングに最も明確に適用される。

開示義務

処理者は、プライバシーポリシーにおいて自動化された意思決定が使用されていることを開示し、基本的なロジックを説明し、潜在的な重大な影響を説明しなければならない。これは独自アルゴリズムを開示することを意味しないが、一般的なユーザーが理解できる意味のある平易な言葉による要約が必要である。

審査請求権

重大な自動化された意思決定の影響を受けたユーザーは、人による審査、訂正、または説明を求めることができる。処理者はこの請求のための窓口を設け、PIPAの標準期間内に回答しなければならない。

データ主体の権利

PIPAは韓国の枠組みを通じて適用される、おなじみの権利の集合を付与している：

処理について情報提供を受ける権利
処理されたデータへのアクセス権
不正確なデータの訂正を求める権利
処理の停止を求める権利
処理がもはや正当化されない場合の削除を求める権利
同意を与えたのと同じ容易さで撤回する権利
重大な影響を生じる自動化された意思決定に異議を唱える権利
PIPCに苦情を申し立てる権利

回答期間

処理者はほとんどのデータ主体の請求に10日以内に回答しなければならず、通知により一度だけさらに10日間延長可能——GDPRの30日間の窓よりも大幅に厳格である。これは海外パブリッシャーにとって最も一般的な運用上のギャップの一つであり、通常GDPRの30日リズムに合わせたツールや手順を持っている。

2026年の制裁と執行姿勢

PIPCの執行活動は2023年以降急速に拡大し、2025年は同機関の歴史の中で最大の制裁金が発動された年となった——その複数が海外プラットフォームとパブリッシャーに対するものである。

行政制裁金

2023年改正は、最も深刻な違反に対する制裁金の上限を総売上高の最大3パーセントに引き上げた。同意、通知、データセキュリティ、漏えい通知、越境移転に関する不備には低い階層の制裁金が適用される。PIPCは2025年に最上位の階層を適用することを厭わなかったが、これは従来のパターンではなかった。

刑事責任

PIPAは個人情報の不法な売買や意図的な大規模漏えいなど、最も悪質な違反に対して刑事罰——懲役を含む——を規定している。これらはまれだが現実のものであり、2025年の事件でも適用された。

執行のテーマ

PIPCの2025年の措置は繰り返し現れる問題を中心に集まっている：不十分または曖昧な同意バナー、有効な2023年以降の手段を持たない越境移転、不十分な漏えい通知、10日以内のデータ主体の権利履行の不備。海外パブリッシャーはすべての4つのカテゴリーで指摘されている。

2026年の韓国トラフィック向け監査チェックリスト

CMPバナーは韓国語（한국어）で提供され、同意する・拒否する・カスタマイズが同等の視覚的目立ち度を持つ
同意目的は詳細であり、민감정보の処理はいずれも独自の固有同意フローの背後に設置されている
越境移転はPIPC標準契約、認証、または適切性決定に依拠——旧来の移転ごとの同意には依拠していない
개인정보 처리방침（プライバシーポリシー）は韓国語で入手可能であり、処理者、目的、保存、権利に関する完全な開示（該当する場合は自動化された意思決定ロジックを含む）が記載されている
同意ログはタイムスタンプ付きで、エクスポート可能であり、少なくとも処理期間＋監査可能なマージンで保存されている
データ主体請求ワークフローは韓国語でエンドツーエンド10日以内に回答できる
漏えい通知の手順書はPIPCの72時間の窓に合わせて調整されている
自動化された意思決定の開示は、そのようなシステムを使用して重大な決定が行われるプライバシーポリシーに含まれている
ベンダーリストは必要性について見直され、未使用または冗長なベンダーが削除されている

2026年の見通し

韓国のプライバシー制度は、アジアで最も厳格な「書面上の」枠組みの一つから、グローバルで最も厳格な「執行上の」制度の一つへと成熟した。2023年改正はコンプライアンスを高コストにしていた構造的障壁を取り除き、PIPCはその後の2年間を法律の残りの部分の執行に集中させてきた。GDPRグレードの同意スタックを持つパブリッシャーは、韓国対応に向けて比較的小さな調整で済む：韓国語のCMPとポリシー、越境移転のためのPIPC標準契約、10日間の回答リズム、そして민감정보リストへの注意。依然として韓国を軽い市場として扱っているパブリッシャーは、2026年と2027年が過去の年よりも実質的にコスト高になることを発見するだろう。朗報は、そのギャップは運用上のものであり、アーキテクチャ上のものではないため、優先順位をつければ数週間で解消できるということだ。