漏洩1000万人で売上10%没収——GDPRを超えた新ルールが9月に動き出す
韓国が2026年9月11日から、個人情報の重大漏洩に対して「売上の最大10%」を過徴金として課す制度を開始する。韓国国会は2026年2月12日、改正個人情報保護法(PIPA)を可決し、同年3月10日に公布された。現行の上限は「売上の3%以下」だったが、一気に3倍超に引き上げられる。EUの一般データ保護規則(GDPR)が定める最大4%を上回る水準であり、日本の個人情報保護法が設ける最大1億円の上限とは桁が違う。「韓国の個人情報保護はGDPRに及ばない」という認識は、この改正で塗り替えられた。漏洩が「偶発的なコスト」でなくなる時代が、今年の秋に始まる。
元記事・原文引用
元ネタ:South Korea Amends Privacy Law to Authorize Fines of Up to 10% of Total Revenue(Hunton Andrews Kurth LLP Privacy & Cybersecurity Law Blog / 2026年2月13日)
“The amendments designate the business owner or representative as the ‘ultimate responsible person’ for data protection.”
3%上限では止まらなかった——2025年漏洩ラッシュが法改正を動かした経緯
改正の直接的な引き金は、2025年に続発した大規模漏洩事件だ。韓国最大のECプラットフォームクーパンでは元従業員による不正アクセスが7ヶ月間にわたって続き、3367万件の顧客データが流出した。同年には通信・金融・プラットフォームの各分野でも大規模漏洩が相次ぎ、韓国政府は「現行の3%では実効的な抑止力を確保できない」と判断した。
法改正の背景には構造的な問題がある。漏洩が発生しても罰則が軽微であれば、企業にとってセキュリティへの先行投資は「割に合わない」計算になりやすい。韓国政府はこの歪みを是正するために、罰則の水準を「コスト計算が成立しないレベル」まで引き上げる方針を選んだ。改正を後押ししたのは、クーパン漏洩が韓国社会に与えたインパクトの大きさだ。国民の3人に2人の個人情報が流出したとも言われるこの事件が、立法加速の決定的な理由となった。
10%が発動する3条件と「CEO最終責任者化」の意味
売上10%の過徴金は無条件に適用されるわけではなく、次の3条件のいずれかに該当する場合に限り発動する。①過去3年以内に故意または重大過失による同種違反を繰り返した場合、②故意または重大過失により1000万人以上の被害を出した場合、③個人情報保護委員会(PIPC)の是正命令に従わず漏洩事故を起こした場合だ。売上がない企業には50億ウォン(約55億円)が上限となる。
ただし「1000万人以上」という条件は厳しいと見ることもできる。韓国の人口は約5200万人であり、事業者が1000万人分の個人情報を保有するのは大規模プラットフォームや通信会社に限られる。中小規模の事業者は現行の3%ルールが引き続き適用されるため、10%条項は実質的に大手に対する制度設計と言える。
同時に導入されたのが「CEO最終責任者化」だ。改正法は事業主・代表者を個人情報保護の「最終責任者」として法律に明記し、充分な予算支援と専門人材確保を法的義務とした。一定規模以上の企業では、個人情報保護責任者(CPO)の指定・変更に取締役会の決議が必要になる。また、2027年7月からは売上規模・処理規模に応じた企業にISMS-P(情報保護管理体系認証)の取得が義務付けられる。注目すべきはインセンティブ設計だ。個人情報保護に向けた予算・人材・設備への投資実績がある企業は、10%の過徴金が「必須減額」される(故意・重大過失の場合を除く)。「投資すれば守られる、しなければ10%没収」という構造で企業行動の変容を促す設計になっている点が、この改正の本質だ。
日本の上限1億円 vs 韓国の売上10%——罰則の桁が変わると企業行動は変わるか
韓国でビジネスを展開する日本企業にとって、この改正は他人事ではない。韓国に法人・支店・現地法人を持つ日本企業は改正PIPAの適用対象となる。例えば韓国の年間売上が100億円の日本企業が1000万人以上の漏洩を繰り返した場合、最大10億円の過徴金リスクを抱えることになる。
一方、日本の個人情報保護委員会が所管する個人情報保護法は2022年改正でも法人への最大罰則は1億円にとどまる。GDPRの4%とも、韓国の10%とも計算方法が異なるため単純比較は難しいが、「罰則感覚の桁が違う」事実は変わらない。韓国の改正法は、インセンティブ構造を通じて「先に投資した企業ほど有利になる」ゲームルールを作り出した。日本企業の韓国担当者は、9月施行に向けたCPO体制の整備と投資実績記録の準備を今すぐ始める必要がある。
予防投資を「コスト」から「義務」に変えた国が、日本に問うこと
韓国が選んだのは「漏洩を起こしてから謝る」モデルから「漏洩を起こさない構造を作れ」モデルへの転換だ。売上10%という数字の意味は、その割合の大きさだけではない。「経営トップが最終責任者である」という法的明記と、「投資すれば減額される」というインセンティブがセットになって初めて機能する仕組みだ。1000万人という発動条件が「大手だけ」を対象にしているという批判があるとしても、その大手が率先してセキュリティ投資を積み上げることで、業界全体の水準を引き上げる効果は期待できる。
日本が「1億円の上限」を維持し続けることは、企業にとってセキュリティ投資を抑制する合理性を温存することでもある。韓国の9月施行は、日本の立法者・企業・セキュリティ担当者それぞれに同じ問いを突き付けている——「漏洩のコストを本当の意味で重くするとき、日本の制度は何を変える必要があるか?」
参照・原文リンク:Hunton Andrews Kurth LLP / 韓国政策ブリーフィング / 法律新聞(한국)
この記事を読んで、日本の個人情報保護法をより深く学びたい方へ:
日本の個人情報保護法の基礎から改正の経緯まで網羅した定番テキスト。韓国法との比較検討にも役立つ。