韓国のフィンテック分野におけるデータプライバシー関連法

←索引へ戻る

韓国の金融業界が急速にDXを進める中、政府はイノベーションと消費者保護のバランスを取りながらデータ活用を重視する政策を優先しています。この取り組みの中心となるのは、改正された信用情報の利用及び保護に関する法律（以下、信用情報法）に基づくマイデータ・ライセンス制度と、AIやクラウド技術に対応するためのネットワーク分離政策の改革です。本稿では、個人信用情報保護、マイデータ・システム、ネットワーク分離改革における重要な法的・政策的展開に焦点を当てて解説します。

主要な政策

個人データ保護の強化：信用情報法は個人情報保護法を補完する特別法として機能しており、金融取引における信用情報の利用に関する事柄においては優先的に適用されます。特に定めがない場合は、個人情報保護法の一般規定が適用されます。

データ主体を保護するため、信用情報法は信用情報の収集に先立って同意を得ることを求め、利用目的の明確な記載を義務付けるとともに、データ利用を必要最小限に限定しています。第三者との情報共有の際には、別途、具体的な同意が必要となります。

また同法は、金融機関に対して同意プロセスの簡素化と可視化を図り、潜在的なプライバシー・リスクと消費者の利益を明示した「データ利用同意評価」を提供することを義務付けています。これは、金融消費者による「インフォームド・コンセント」を支援することを目的としたものです。

さらに同法は、AIを用いた信用評価や保険料算出など、自動化されたデータ処理が台頭しつつあることを認めつつ、消費者に対しては説明を求める権利やプロファイリングに異議を申し立てる権利を与えています。また、個人が自らの信用情報を金融機関の間で移転するよう要求することも可能としています。さらに同法は、セキュリティ強化のためのデータ運用の継続的な見直しを義務付けており、情報漏洩があった場合は、実際の損失額の最大５倍までの懲罰的損害賠償を認めています。

マイデータ政策の改善：2020年の信用情報法の改正により、個人の金融データを集約して、商品のレコメンデーションや金融アドバイスなどのサービスを提供するマイデータ事業者向けのライセンス制度が確立されました。

中小のフィンテック企業の参入を促進するため、同法は５億ウォン（35万2399米ドル、執筆時点）という低い資本金要件を設け、これらの企業に対しては金融機関への出資規制も免除しています。事業者は金融委員会（以下、FSC）の承認を得るために、スタッフ、インフラ、事業計画の基準を満たさなければなりません。

外国法人が韓国でマイデータ事業を運営するには、現地子会社を設立し、そこでマイデータ事業のライセンスを取得する必要があります。また、外国法人が主要株主となる場合、財務の健全性、信頼性、運営の誠実性、資本力など、施行令に定める要件も満たさなければなりません。

2022年１月５日に開始された金融マイデータ・サービスは、その後、業界の成長と消費者保護の強化を支援するために規制強化が図られてきました。2022年末までに、金融マイデータを通じて提供される情報の範囲は、銀行、保険、クレジットカード、金融投資、公共機関など全分野で492項目から720項目へと大幅に拡大されました。

2025年１月21日、政府は同法に基づく下位規則である信用情報事業の監督規則を改正しました。この改正により、

1. 1. マイデータ事業者は対面による営業活動が許可され、
   2. 未成年者によるマイデータ・サービスの利用が改善され、
   3. マイデータ事業者によるデータ結合の基準が明確化され、
   4. マイデータ事業者がデータ主体の同意を得た上で第三者に情報を販売する場合、金融保安院に設置された「マイデータ安全提供システム」を利用することが義務付けられました。

ネットワーク分離

電子金融取引監督規則は、電子金融取引法に基づく下位規則として、ハッキングや外部脅威からシステムを保護するために、物理的なネットワーク分離を義務付けています。内部の業務システムはインターネットなどの外部ネットワークから遮断され、データセンター・システムや、運用、開発、セキュリティに使用される端末も物理的に隔離されなければなりません。

しかしながら、当初は効果的であったものの、韓国の物理的ネットワーク分離規制は、今日の急速に進化するIT環境においては時代にそぐわないものになりつつあります。インターネットから厳格に切り離すことにより、SaaSやAI、セキュリティツールの利用が制限され、更新の遅延や防御力の低下を招くためです。金融業界からも、このような非効率性や、イノベーション・研究開発への悪影響、グローバル・スタンダードとの乖離拡大への懸念が示されており、継続的な改革が求められています。

これを受けて政府は、2024年８月に３段階のネットワーク分離改革計画を発表し、現在、第１段階が以下に焦点を当てて進行中です。

1. 1. 生成AI（GenAI）の利用許可：ほとんどのGenAIサービスはインターネット環境下のクラウドベースで提供されているため、ネットワーク分離規制によりその利用が著しく制限されています。また、韓国内にサーバーを持たない海外のAIモデルを通じた個人信用情報の処理や保管は、現在、行うことはできません。これらの制限に対処するため、政府は規制サンドボックスを通じた例外を認め、金融機関がGenAIを用いて仮名化された個人信用情報であっても処理できるようにする計画を立てています。FSCはこの枠組みの下で、各申請に対して、AI利用の目的、データの範囲、セキュリティ対策などの要素を個別に審査し、サンドボックス指定の承認を行います。
   2. クラウドベースのアプリケーション（SaaS）の利用の拡大：2023年９月、規制サンドボックスを通じて内部ネットワーク内でのSaaS利用が承認されました。最近の改革により、その利用範囲は仮名化された信用データにまで拡大され、協業ツールやERPシステムだけでなく、セキュリティ、顧客管理、業務自動化プログラムにも適用されるようになっています。SaaSへのアクセスが許可されたデバイスも、有線PCだけでなく、モバイルデバイスにまで拡大されています。FSCは、各申請に対して、SaaS利用の範囲、事業運営の性質、セキュリティ対策のレベルを審査の上で、サンドボックス指定の承認を行います。SaaSの使用範囲拡大を考慮し、FSCは強化されたセキュリティ対策の実施も義務付けています。
   3. 研究開発（R&D）のためのネットワーク分離の緩和：R&Dネットワークに対する例外措置は2022年11月に導入されましたが、R&Dと業務ネットワークを物理的に分離することが困難だったため、その効果は限定的でした。個人信用データの使用禁止も、サービス開発を妨げました。政府は現在、論理的な分離および仮名化された信用データのR&D利用を認める改革を推進し、顧客データ分析に基づく新たなサービスの開発を促進しようとしています。

改革の展望

ネットワーク分離改革の展開に伴い、多くの企業が、クラウドソリューションを通じて内部ネットワーク内でGenAIやSaaSを使用するためのサンドボックス承認を得ています。規制サンドボックスの指定は、国内資本で設立された金融機関や電子金融業者に限定されず、韓国法の下で設立された外国企業の子会社も対象となっています。

2025年２月３日、ネットワーク分離政策改革の推進の一環として、電子金融取引監督規制が改正されました。その結果、金融機関や電子金融業者は、R&Dネットワーク内で仮名化された個人信用情報の使用が許可されることになりました。

金融業界におけるネットワーク分離政策の改革は今後も続くと見込まれています。FSCは、現在規制サンドボックスの下で許可されている内部ネットワーク内での、GenAIとSaaSの使用がもたらす成果とセキュリティ上の影響を評価する計画です。これらの取り組みが非常に効果的であり、重大なセキュリティリスクは認められないと評価された場合、FSCは現行規制を改正し、これらの措置を恒久的に制度化する意向です。加えてFSCは、R&Dネットワークで許可されているデータについて、仮名化データにとどまらず、実際の個人信用情報を含むよう拡大することも検討しています。

一方で、クラウドサービスやデータセンターへの依存度が高まる中、第三者のリスク管理の不十分さに対する懸念が依然として残っています。これに対応するため、政府は、ネットワーク分離規制緩和後のSaaS、GenAI、その他関連技術の拡大利用に伴うリスクに対処するために、規制枠組みの強化を計画しています。

FSCは、自律的な保護と成果に基づく説明責任を基盤とする新たなセキュリティ・フレームワークを構築するため、段階的にネットワーク分離改革を推進していく方針を表明しました。長期的には、「デジタル金融セキュリティ法（仮称）」と題した新法の導入を計画しており、規則ベースの規制から原則ベースの規制へと移行する予定です。

まとめ

韓国政府は、データ経済の促進と個人情報の保護の両立に取り組んでいます。しかし、ハッキングやデータ漏洩などの課題に対しては、引き続き技術面での改善が求められています。サービスプロバイダーの責任の明確化、消費者被害への救済措置の改善、社会的弱者への保護の強化は依然として優先事項です。データが価値創造の中心的な位置を占めるようになるにつれて、データ政策に関する公の議論が活発化すると予想され、それによって政府のアプローチは引き続き洗練されたものになっていくでしょう。