オーダーブック共有で無断国外移転
韓国の個人情報保護委員会が、個人情報保護法上の国外移転規定に違反したとして、暗号資産(仮想資産)取引所のビッサム(Bithumb)に対し課徴金2億1,000万ウォン(約2,200万円)を賦課するとともに、適法な国外移転要件を満たすよう是正命令を下した。6月24日に開催した第12回全体会議で議決した。
個人情報保護委員会は、2025年の国政監査でビッサムのオーダーブック(板情報)共有に伴う個人情報の国外移転の適法性が指摘されたことを受け、調査に着手した。
調査の結果、ビットサムは2025年9月から11月にかけて、テザー(USDT)建て市場で海外暗号資産取引所とオーダーブックを共有していたことが判明した。この際、利用者からは「ステラ取引所(Stellar Exchange)」へ個人情報を国外移転するとの内容で別途同意を取得していた一方、実際には別の取引所が運営するシステム「bingx.com」へ会員番号および注文情報を国外移転していたことが確認された。
またビッサムは、利用者の暗号資産を13の海外取引所へ移転する際、資金洗浄防止(AML)を目的として、送金人および受取人の氏名やウォレットアドレスを海外取引所へ提供していたほか、生年月日については送金人と受取人が同一人物であることを確認するため、1つの海外取引所にのみ提供していた。しかし、情報主体から別途同意を取得していないなど、個人情報保護法が定める国外移転要件の一部を満たしていなかったことが確認された。
個人情報保護委員会は、暗号資産を他の取引所へ移転する際、資金洗浄防止のために個人情報を提供する必要性自体は認められるものの、個人情報の国外移転は情報主体の自己決定権と密接に関わる事項であるため、個人情報保護法で定められた要件および手続きを厳格に遵守する必要があると判断した。
これを受け個人情報保護委員会は今回、ビッサムに対し、情報主体から別途同意を取得するなど適法な国外移転要件を満たしたうえで、その内容を個人情報処理方針に明確に記載するよう是正措置を命じた。
さらに個人情報保護委員会は、今回の調査を踏まえ、「ブロックチェーンサービス個人情報保護ガイドライン」も策定・公表した。同ガイドラインでは、ブロックチェーンの透明性・分散性・不変性といった技術的特性を踏まえ、オンチェーン情報の公開に伴う追跡防止策や、参加者間における情報共有の管理方法、不変性を考慮した個人情報の廃棄方法などについて指針を示している。
個人情報保護委員会は今後も、個人情報の国外移転を含む個人情報保護法違反に対して厳正に対応するとともに、新たな技術環境において個人情報の保護と安全な利活用の両立を図るため、必要な基準の整備を継続していく方針を示した。
参考:発表
画像:PIXTA