CONTENTS
- 1. 個人情報訴訟 | 企業の観点からの定義と紛争構造

- - 企業が管理すべき個人情報の範囲
- 2. 個人情報訴訟 | 企業が直面する主な紛争類型

- - 民事上の損害賠償
- - 行政制裁および争訟
- - 刑事手続き
- 3. 個人情報訴訟 | 企業の初期対応戦略

- - 事前予防が最善の防御
1. 個人情報訴訟 | 企業の観点からの定義と紛争構造

個人情報訴訟は、企業(個人情報処理者)が個人情報保護に関する法令に違反したという主張に基づき、情報主体、 監督機関または捜査機関から法的責任を追及される一連の手続きを意味します。
実務では以下の手続きが単独または並行して進められ、 一つの事件が民事・刑事・行政のトラックに同時に拡散しうるという点で、統合的な対応戦略が必要です。
区分 | 主な内容 | 企業のリスク |
侵害の申告および事実調査 | KISA 申告センターへの受付、 資料提出の要求、 現場点検 | 違法事実の摘発、 是正の誘導、 後続制裁の可能性 |
紛争調停 | 個人情報紛争調停委員会による調停案の提示 | 15日内に受諾の可否を未通知の場合は受諾とみなす |
民事訴訟 | 損害賠償および法定損害賠償の請求 | 立証責任の負担、 賠償範囲の拡大リスク |
刑事手続き | 告発、 捜査、 起訴および刑事裁判 | 役職員および法人の刑事責任、 評判リスク |
行政争訟 | 是正命令・過料・課徴金処分に対する行政審判・行政訴訟 | 制裁の長期化および公示リスク |
企業が管理すべき個人情報の範囲
個人情報とは、生きている個人に関する情報であって、次のいずれかに該当する情報を意味します(「個人情報保護法」 第2条第1号)。
区分 | 内容 |
識別情報 | 氏名、 住民登録番号、 映像など個人を識別できる情報 |
結合可能情報 | 単独では識別が難しいが、他の情報と容易に結合して識別可能な情報 |
仮名情報の追加 | 追加情報なしには特定の個人を識別できないように処理された情報 |
企業は、自社が保有・処理するデータが上記の範疇に該当するかを事前に分類し、結合可能性および再識別の危険まで考慮した内部統制体系を備えなければなりません。
2. 個人情報訴訟 | 企業が直面する主な紛争類型

個人情報訴訟は、侵害の申告を出発点として、 民事上の損害賠償、 行政制裁および争訟、 刑事手続きまで、段階的にまたは並行して拡散しうる複合構造を持ちます。
企業は、事件の性格に応じて、各手続きで適用される法的基準と立証責任、 制裁の程度を正確に区分して対応しなければなりません。
また、一つの対応戦略が他の手続きに不利に作用しないよう、統合的なリスク管理も並行しなければなりません。
民事上の損害賠償
個人情報保護法に基づき、情報主体は個人情報処理者の法違反行為によって損害を受けた場合、損害賠償を請求することができます。
この際、企業は故意または過失がないことを立証できなければ責任を免れることが難しくなります。
つまり、 訴訟の構造上、企業が実質的な立証負担を負うことになります。
また、個人情報が紛失・盗難・流出・偽造・変造または毀損された場合、情報主体は 300万ウォン以下の範囲で法定損害賠償を請求することができ、これは実際の損害額と関係なく認められ得ます。
さらに、故意または重大な過失が認められる場合、損害額の最大 5倍まで賠償責任が拡大され得ます。
区分 | 中核内容 | 企業に及ぼす影響 |
一般損害賠償 | 法違反により損害が発生した場合、賠償請求が可能 | 過失の不存在の立証に失敗した場合、責任を負担 |
法定損害賠償 | 流出・毀損などの際、 300万ウォン以下に相当する額が認められ得る | 実損と関係なく賠償リスクが存在 |
倍額(懲罰的) 損害賠償 | 故意・重過失が認められる際、損害額の 5倍を限度に算定 | 管理の空白が存在する際、賠償範囲が急増 |
特に裁判所は、故意の認識の程度、 被害規模、 取得した経済的利益、 違反の期間・回数、 被害回復および再発防止の努力などを総合的に考慮するため、企業は事故以後の対応だけでなく、平時の運営体系の充実性を立証できなければなりません。
企業は次の要素を中心に防御戦略を設計しなければなりません。
中核的争点 | 企業が準備すべき証憑 |
法違反の有無 | 処理の根拠、 同意手続、 目的制限の遵守記録 |
過失の不存在 | アクセス制御ポリシー、 権限管理記録、 セキュリティ点検・パッチ履歴 |
損害および因果関係 | 流出範囲・経路の分析、 二次被害の有無の検討 |
賠償範囲の制限 | 事故後の遮断・回収・通知・再発防止措置の記録 |
紛争が発生してから資料を整理するのではなく、平常時の運営体系がそのまま証憑として活用され得る構造を備えることが重要です。
行政制裁および争訟
侵害の申告や民願の受付の後、監督機関の事実調査が進められると、是正命令、 過料、 課徴金などの行政処分が下されることがあります。
企業は、このような処分が違法または不当であると判断される場合、行政審判または行政訴訟を通じて争うことができます。
この過程で提出された資料と陳述は、民事・刑事手続きにも影響を及ぼしうるため、戦略的な対応が必要です。
段階 | 核心争点 | 企業の対応ポイント |
事実調査 | 資料提出の要求、 違反の有無の判断 | ログ・方針・契約・運営記録の一貫したタイムラインの整理 |
処分段階 | 是正命令・課徴金の賦課 | 処分事由の特定性、 裁量逸脱の有無の検討 |
行政審判 | 処分の取消・減軽の争い | 執行停止の検討、 事業への影響を最小化する戦略 |
行政訴訟 | 違法処分の取消請求 | 民事・刑事手続きとの連携を考慮した統合戦略の樹立 |
行政段階での対応は、制裁の減軽を超えて、その後の訴訟や捜査のリスクまで考慮した「事実関係の管理」の観点からアプローチしなければなりません。
また、 行政処分は公示・報道・投資家の信頼低下など 二次的な経営リスクへと拡散しうるため、 迅速な対応が必要です。
刑事手続き
個人情報を不正に取得したり、同意なく第三者に提供したり、 あるいは 業務上知り得た個人情報を漏洩・流出させた場合、刑事処罰の対象となり得ます。
関連条項 | 主な違反行為 | 処罰水準 |
個人情報保護法第71条 | 同意なく第三者に提供 | 5年以下の懲役または 5,000万ウォン以下の罰金 |
業務上知り得た個人情報の漏洩 | ||
無断流出・偽造・変更 | ||
個人情報保護法第72条 | 虚偽・不正な手段で取得 | 3年以下の懲役または 3,000万ウォン以下の罰金 |
目的外利用 | ||
映像情報処理機器の任意の操作 |
刑事手続きでは、故意性、 組織性、 営利目的の有無などが主な争点となり、初期の供述や資料提出の方向性が、その後の裁判結果に重大な影響を及ぼすことがあります。
3. 個人情報訴訟 | 企業の初期対応戦略

個人情報訴訟に関連して、捜査機関からの連絡、 調査の通知、 調停案の提示、 訴状の送達を受けた場合は、直ちに次の手続きを稼働させなければなりません。
段階 | 核心的な措置 | 確保する資料 |
事実関係の確定 | 流出の範囲・期間・経路の特定 | システムログ、 アクセス記録 |
証憑の保存 | 内部統制の存在の立証 | ポリシー、 点検記録、 委託管理資料 |
対外対応の統制 | 単一窓口の運営 | 公式な立場表明文 |
改善措置の併行 | 被害拡散の遮断 | 権限の回収、 セキュリティ強化の記録 |
特に紛争調停の手続きでは、調停案の受領後 15日以内に受諾の可否を回答しなければ、受諾したものとみなされることがあるため、期限の管理が非常に重要です。
事前予防が最善の防御
個人情報訴訟は、平時の運営構造の適正性を立証する問題です。
点検項目 | 確認内容 | 紛争時の提出資料 |
処理根拠の管理 | 同意・契約・法令の根拠の明確化 | 処理根拠のマッピング表 |
アクセス統制 | 最小権限、 権限回収の記録 | 権限変更の履歴 |
委託管理 | 受託会社の点検 | 委託契約・点検報告書 |
ログ保存 | 閲覧可能な状態の維持 | ログ保存方針 |
事故対応体系 | 通知・遮断・再発防止の手続き | 事故対応報告書 |
AI データ管理 | 仮名処理の適正性、 再識別の防止 | 仮名処理・結合手続きの文書 |
法務法人 大倫は、企業法務、 刑事、 民事、 行政の専門弁護士が協業するワンチーム体系を通じて、調査対応、 行政争訟、 損害賠償訴訟の防御、 刑事リスク管理まで総合戦略を提供します。
また、デジタルフォレンジックおよび電子証拠分析のインフラを通じて、ログ・電子文書の完全性の確保とデータフロー分析を支援することで、企業が説明可能な遵法・セキュリティ運営体系をもとに責任範囲を最小化できるよう助力しています。
AI専門弁護士とともに、貴社のデータ処理構造が紛争状況でも説明可能なように設計されているか点検されることをお勧めします。











