韓国の個人情報保護委員会(PIPC)は、暗号資産(仮想通貨)取引所Bithumb(ビッサム)に対し、利用者の個人情報を本人の同意なく海外プラットフォームに提供したとして、2億1000万ウォン(約2100万円)の課徴金を科したと発表しました。この処分は、オーダーブック(注文板)の共有や海外取引所への送金支援のプロセスにおいて、適切な同意手続きが行われていなかったことを理由としています。あわせてPIPCはブロックチェーン企業向けの個人情報保護ガイドラインを公表しており、透明性や分散性といった技術的特性に対応したプライバシー保護の必要性を示しています。本件は、Web3ビジネスを展開する企業にとって、顧客データの越境移転やブロックチェーンの設計における法規制遵守の重要性を改めて示す事例として注目されます。
個人情報の国外移転における2つの違反内容
PIPCの発表によると、今回の処分の対象となった違反は主に2点に大別されます。
1点目は、2025年9月から11月にかけて行われた、テザー(USDT)市場におけるオーダーブックの共有に関する対応です。Bithumbは、ステラ・エクスチェンジ(Stellar Exchange)への情報移転について利用者の同意を得ていたものの、実際にはビングエックス(BingX)が運営するプラットフォームにデータを共有していたとされています。
2点目は、13の海外取引所との送金を支援する過程における対応です。Bithumbが送金を支援するにあたり、利用者の氏名、ウォレットアドレス、生年月日を共有しましたが、この際にも十分な同意を得ていなかったと指摘されています。
PIPCは、個人情報の越境移転は情報主体の自己決定権と密接に関わる問題であると説明しています。そのため、個人情報保護法で定められた要件と手続きを慎重に順守する必要があるとして、課徴金の処分に加えて、Bithumbに対して海外への利用者情報送信手続きの是正を命じました。
ブロックチェーン技術の特性を踏まえた新たなガイドライン
PIPCは今回の処分と同時に、ブロックチェーン企業向けの個人情報保護ガイドラインを公表しました。
このガイドラインは、ブロックチェーン技術が持つ透明性、分散性、改ざん困難性といった特性を踏まえた内容となっています。具体的には、氏名や住民登録番号などの個人を識別できる情報について、オンチェーン(ブロックチェーン上)への記録を避けるべきだとしています。
ブロックチェーン上に一度記録されたデータは改ざんや削除が困難であるため、個人情報の保護と技術の安全な活用を両立させるためには、サービス設計の段階からオンチェーンに記録する情報の選定を厳密に行う必要があると見られます。
ポイント
- 韓国の個人情報保護委員会(PIPC)が、暗号資産取引所Bithumbに対して2億1000万ウォンの課徴金を科し、是正を命じました。
- 違反の背景には、オーダーブック共有時に合意とは異なるプラットフォームへデータを共有したことや、海外送金支援時の同意取得が不十分であったことがあります。
- マネーロンダリング防止などの目的があっても、個人情報の国外移転の際には厳格な法的手続きと情報主体の同意が必要であることが示されました。
- 新たに公表されたガイドラインでは、ブロックチェーンの特性を考慮し、氏名や住民登録番号などの個人識別情報をオンチェーンに記録しないよう求めています。
- 暗号資産やブロックチェーンを扱う企業に対し、技術の利便性と厳格な個人情報保護の両立に向けた体制構築が求められる点で注目されます。