韓国における個人情報保護法は、「個人情報保護法」（以下、「PIPA」と略）と呼ばれています。PIPAは、韓国国会によって2003年に制定され、2004年に施行されました。

PIPAは、個人情報の収集、利用、提供、処理、管理、破棄などの一連の処理について、事業者が遵守すべき基本的なルールを定めています。また、個人情報主体である個人の権利や利益を保護するための手段や、個人情報漏えい事件に対する責任の所在なども定めています。

具体的には、PIPAには以下のような内容が含まれています。

• 個人情報保護方針の策定
• 個人情報の収集にあたっての事前同意の取得
• 個人情報の利用目的の明確化
• 個人情報の第三者提供にあたっての同意の取得
• 個人情報の正確性の維持や安全管理措置の強化
• 個人情報主体の権利の保護（情報開示請求、訂正・削除請求など）
• 個人情報漏えい事件に対する責任の所在

PIPAは、事業者だけでなく、個人情報の処理に関わる全ての者が遵守する必要があります。また、PIPAは、個人情報の国外移転についても規定しており、韓国国内で収集された個人情報が国外に転送される場合には、個人情報主体の同意を得る必要があります。
PIPAは、個人情報保護に関する基本的なルールを定めた法律であり、その運用にあたっては、個人情報保護委員会が設置されています。

また、韓国で個人情報漏洩が発生した場合、以下のようなエスカレーション先があります。

• 1. 内部報告 個人情報漏洩が発生した場合、まずは事業者内で速やかに内部報告を行うことが求められます。内部報告によって、事態を早期に把握し、被害を最小限に抑えることができます。
• 2. 韓国個人情報保護委員会への報告 個人情報保護法によって、個人情報漏洩が発生した場合には、事業者は速やかに韓国個人情報保護委員会に報告することが義務付けられています。報告内容には、漏洩した個人情報の種類や件数、被害者への対応策などが含まれます。
• 3. 被害者への通知 個人情報漏洩によって被害を受けた個人に対しては、速やかに被害の内容や対応策を通知することが求められます。通知の方法は、被害者の個人情報が流出したかどうかや、被害の程度によって異なります。
• 4. 監督官庁への報告 韓国には、個人情報保護に関する監督官庁である情報通信倫理委員会や、韓国通信委員会などがあります。個人情報漏洩が発生した場合には、これらの監督官庁に報告することも必要です。
• 5. 法的対応 個人情報漏洩によって、被害が拡大した場合には、法的措置を検討することも必要です。韓国では、個人情報保護法に違反した場合、懲役刑や罰金などの刑事罰が科せられることがあります。また、被害者に対して損害賠償を支払うことが求められることもあります。