韓国 個人情報保護委員会 事例付き「自動化された決定に対する情報主体の権利ガイド」を公開

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、事例も載せた「自動化された決定に対する情報主体の権利ガイド」を公開していますね...欧州とはかなり密接に情報交換をしているのでしょうかね...

こういう文書も公表できるというのは、委員会内でもいろいろと知見を溜めているのでしょうね...

 

● 개인정보위

・2024.09.26 개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개

개인정보위, 사례 중심의 “자동화된 결정에 대한 정보주체의 권리 안내서” 공개	個人情報委員会、事例中心の「自動化された決定に対する情報主体の権利ガイド」を公開
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 26일부터 인공지능(AI) 등 자동화된 결정*이 이루어지는 영역에서 기업ㆍ기관 등이 준수해야 하는 사항을 담은 「자동화된 결정에 대한 개인정보처리자의 조치 기준」(고시)이 시행된다고 밝혔다. 이와 함께, 자동화된 결정에 대한 정보주체의 권리와 기업ㆍ기관 등의 조치사항을 사례 중심으로 설명한 안내서도 공개했다.	個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は、9月26日から人工知能(AI)など自動化された決定*が行われる領域で企業・機関などが遵守すべき事項を盛り込んだ「自動化された決定に対する個人情報処理者の措置基準」(告示)が施行されると明らかにした。これと共に、自動化された決定に対する情報主体の権利と企業・機関などの措置事項を事例中心に説明したガイドも公開した。
* ‘자동화된 결정’은 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 말한다. 정보주체는 자동화된 결정에 대해 설명 또는 검토 요구를 할 수 있고, 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있다.(「개인정보 보호법」 제37조의2)	* '自動化された決定'は、人工知能技術を適用したシステムを含む完全に自動化されたシステムで個人情報を処理して行われる決定をいう。情報主体は、自動化された決定に対して説明または検討要求をすることができ、権利または義務に重大な影響を及ぼす場合には拒否することができる(「個人情報保護法」第37条の2)。
제도 시행에 따라 기업ㆍ기관 등이 정보주체의 권리와 의무에 영향을 미치는 결정을 하면서 사람이 개입하지 않는 방식으로 운영하는 때에는 그 기준과 절차를 공개하는 등 투명성 확보와 함께 설명이 가능하도록 미리 준비해야 한다.	制度の施行により、企業・機関などが情報主体の権利と義務に影響を及ぼす決定を行い、人が介入しない方式で運営する場合には、その基準と手順を公開するなど、透明性の確保と説明ができるように事前に準備しなければならない。
먼저, 모든 자동화된 시스템에 의한 결정이 자동화된 결정에 해당하는 것은 아니므로 자동화된 결정에 해당하는지 여부를 확인해야 한다. 최종 결정 전에 사람에 의한 판단 절차를 마련하여 운영하고 있는 경우는 자동화된 결정에 해당하지 않는다. (안내서 4쪽 ~ 12쪽 참고)	まず、すべての自動化されたシステムによる決定が自動化された決定に該当するわけではないので、自動化された決定に該当するかどうかを確認しなければならない。最終決定前に人による判断手順を設けて運営している場合は、自動化された決定に該当しない。(ガイドブック4ページ～12ページ参照)
인공지능(AI) 기술 등을 활용하여 자동화된 시스템으로 의사결정을 하고 있는 기업ㆍ기관 등은 “자동화된 결정 자율진단표”(붙임2)를 활용하여 스스로 자동화된 결정에 해당하는지 여부를 확인해 볼 수 있다.	人工知能(AI)技術などを活用して自動化されたシステムで意思決定を行っている企業・機関などは、「自動化された決定自律診断表」(添付2)を活用して、自ら自動化された決定に該当するかどうかを確認することができる。
자동화된 결정에 해당하는 경우에는 정보주체의 권리 행사 요구 내용에 맞추어 기업·기관 등은 다음과 같은 조치를 해야 한다.	自動化された決定に該当する場合には、情報主体の権利行使要求内容に合わせて企業・機関等は次のような措置をしなければならない。
① 정보주체가 자동화된 결정에 대해 설명을 요구한 경우에는 정보주체에게 도움이 될 수 있는 의미 있는 정보*를 선별하여 제공해야 한다. 또한, 정보주체가 자신에 대한 자동화된 결정에 대해 의견을 제출한 경우에는 해당 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 한다.	①情報主体が自動化された決定について説明を要求した場合には、情報主体に役立つ意味のある情報*を選別して提供しなければならない。また、情報主体が自分に対する自動化された決定に対して意見を提出した場合には、その意見を反映できるかどうかを検討し、その結果を通知しなければならない。
* 알고리즘이나 머신러닝의 작동과정에서 개인정보 처리에 대한 복잡한 수학적 설명 대신 간결하고 의미있는 정보를 정보주체에게 제공해야 함	* アルゴリズムや機械学習の作動過程で、個人情報の処理に関する複雑な数学的説明の代わりに、簡潔で意味のある情報を情報主体に提供しなければならない。
더불어, 사람이 이해하기 어려운 인공지능 기술의 특성을 고려하여 기술 발전 상황에 따라 설명가능한 인공지능(XAI : Expainable AI)*을 단계적으로 적용할 수 있도록 준비하는 것이 바람직하다.	また、人が理解しにくい人工知能技術の特性を考慮し、技術の発展状況に応じて説明可能な人工知能(XAI : Expainable AI)*を段階的に適用できるように準備することが望ましい。
* 인공지능 모델의 결과가 어떻게 도출된 것인지 사람이 이해할 수 있는 형태로 설명을 생성하는 알고리즘을 의미함 (안내서 51쪽 ~ 56쪽 참고)	* 人工知能モデルの結果がどのように導き出されたのか、人が理解できる形で説明を生成するアルゴリズムを意味する(ガイドブック51ページ～56ページ参照)
② 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하여 정보주체가 그 결정을 거부한 경우에는 기업ㆍ기관 등은 해당 결정의 적용을 정지하고, 조치 결과를 정보주체에게 알려야 한다. 실질적으로 사람이 개입하여 재처리한 후 그 결과를 정보주체에게 알리는 것도 가능하다.	自動化された決定が情報主体の権利又は義務に重大な影響を及ぼす場合に該当し、情報主体がその決定を拒否した場合には、企業・機関等は当該決定の適用を停止し、措置結果を情報主体に通知しなければならない。実質的に人が介入して再処理した後、その結果を情報主体に知らせることも可能である。
※ 다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능	ただし、自動化された決定が行われるという事実について情報主体が明確に分かるように同意、契約などを通じて事前に知らせたり、法律に明確に規定がある場合には拒否は認められず、説明及び検討要求のみ可能。
이 경우, ‘중대한 영향을 미치는 경우’에 해당하는지를 판단할 때에는 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지, 지속적인 제한이 발생하는지, 회복 가능성은 있는지 등을 종합적으로 고려해야 한다.	この場合、「重大な影響を及ぼす場合」に該当するかどうかを判断する際には、人の生命、身体の安全と関連する情報主体の権利または義務であるか、持続的な制限が発生するか、回復可能性はあるかなどを総合的に考慮しなければならない。
③ 기업ㆍ기관 등이 자동화된 결정을 하는 경우에는 그 기준과 절차 등을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 사전에 공개해야 한다. 공개할 때에는 정보주체가 쉽게 알 수 있도록 권리 행사를 위한 구체적인 방법과 절차를 마련하여 함께 안내해야 한다.	企業・機関などが自動化された決定を行う場合には、その基準と手続きなどを情報主体が容易に確認できるようにインターネットホームページなどに事前に公開しなければならない。公開する際には、情報主体が容易に知ることができるように、権利行使のための具体的な方法と手続きを用意して一緒に案内しなければならない。
양청삼 개인정보정책국장은 “인공지능 기술을 활용하여 자동화된 결정을 할 때에는 이번에 공개한 안내서를 참고하여 그 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 수 있도록 준비가 필요하다”며,	ヤン・チョンサム個人情報政策局長は「人工知能技術を活用して自動化された決定をする際には、今回公開したガイドを参考にしてその基準と内容を事前に把握し、情報主体の要請に対応できるように準備が必要だ」と述べた、
“새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속적으로 홍보하고 안내해 나갈 계획”이라고 밝혔다.	「新しい制度が現場で安定的に定着できるよう、説明会などを通じて持続的に広報し、案内していく計画」と明らかにした。

 

ガイド...

・[PDF] 개인정보위, 사례 중심의 “자동화된 결정에대한 정보주체의 권리 안내서” 공개

・[DOCX][PDF] 仮訳

 

 

・[PPTX][PNG]自主診断表（仮訳）