韓国個人情報保護委員会(PIPC)は6月25日、仮想通貨取引所Bithumbに対し、2億1,000万ウォンの罰金を科したと発表した。理由は、Bithumbが注文簿共有と仮想資産移転の2つの業務シナリオにおいて、個人情報保護法の海外個人情報移転規定に違反したためである。注文簿共有違反は1億2,000万ウォン、仮想資産のAML移転違反は9,000万ウォン。
注文簿共有罰金1億2,000万ウォン:同意対象はStellar、実際のデータはBingXに送信
PIPCの調査は、昨年(2025年)の国会監査で提起された問題に端を発する。調査の結果、2025年9月から11月にかけて、Bithumbが海外取引所とTether(USDT)市場の注文簿を共有する過程で、個人情報の越境移転が発生していたことが判明した。
具体的な違反内容は以下の通りである。ユーザーに対しては、個人情報をStellar取引所に移転することに対する個別同意が求められていたが、調査結果では、会員番号と注文情報が実際には、ユーザーの同意書に記載された対象ではなく、別の取引所が運営するシステム(bingx.com)に送信されていた。PIPCはこの違反に対して1億2,000万ウォンの罰金を科した。
仮想資産のAML移転違反:13の海外取引所に個人情報を提供したが、個別同意を取得せず
調査では同時に、Bithumbがマネーロンダリング防止(AML)義務を履行するため、ユーザーが仮想資産を海外取引所に移転する際、13の海外取引所に対して送信者と受信者の氏名、ウォレットアドレス、その他の詳細情報を提供していたが、個人情報保護法における海外移転の法的要件(データ主体の個別同意の取得を含む)を完全には満たしていなかったことが判明した。PIPCはこの違反に対して9,000万ウォンの罰金を科した。
PIPCは次のように述べている。「マネーロンダリング対策のために個人情報を提供する必要性は認識しているが、個人情報の越境移転はデータ主体の自己決定権と密接に関連するため、法的要件と手続きを厳格に遵守しなければならない。」
個人情報保護委員会、『ブロックチェーンサービスにおける個人情報保護ガイドライン』を発表
PIPCは今回の調査に基づき、ブロックチェーン技術の特性を踏まえた『ブロックチェーンサービスにおける個人情報保護ガイドライン』を策定した。このガイドラインは、3つの技術特性に対する保護措置を網羅している。すなわち、透明性によるオンチェーン情報の漏洩・追跡を防止するための措置、非中央集権性に起因する参加者間の情報共有を管理するための措置、そして改ざん不可能性に基づく個人情報の削除に関するコンプライアンス経路の策定である。
よくある質問
Bithumbの注文簿共有違反の具体的な内容は?
2025年9月から11月にかけて、BithumbはUSDT市場の注文簿を共有する際、ユーザーに対して個別同意の対象をStellar取引所としていたが、調査により、会員番号と注文情報が実際にはbingx.comが運営するシステムに送信されており、ユーザーの同意書に記載された対象と一致しないことが判明した。PIPCはこれに対して1億2,000万ウォンの罰金を科した。
AML業務目的であれば、個人情報保護法の海外移転に関するコンプライアンス要件は免除されるのか?
今回のPIPCの罰金処分によれば、AML業務目的であっても、海外移転の合法性要件が自動的に免除されるわけではない。PIPCは、マネーロンダリング対策のために個人情報を提供する場合であっても、個人情報保護法の関連法的要件と手続き(データ主体の個別同意の取得を含む)を厳格に遵守しなければならないと明確に述べている。
『ブロックチェーンサービスにおける個人情報保護ガイドライン』は、どの3つの技術特性に対して保護措置を策定しているのか?
ガイドラインは、ブロックチェーンの3つの主要な技術特性を対象としている。(1) 透明性——オンチェーン情報の公開による漏洩・追跡を防止するため、(2) 非中央集権性——参加者間の情報共有メカニズムを規制するため、(3) 改ざん不可能性——個人情報のコンプライアンスに則った削除経路を策定するためである。
