빅데이터 활용을 위한 일본 개인정보보호법의 개정논의와 자율규제

1. 들어가며

빅데이터의 활용이 전 세계적인 화두로 등장하면서 우리나라에서도 그 법제화에 관심이 모아지고 있다. 그러나 이에 대해서는 개인정보보호의 문제를 어떻게 해결할 것인가라는 큰 과제가 존재한다. 최근에 일본에서도 이에 관한 논의가 진행되어 이미 「개인정보보호법」의 개정에 관한 방침 및 그 방향성이 공개된 상황이다.

본고의 목적은 빅데이터의 활용에 관한 일본에서의 최근의 법 개정 논의를 소개하고 우리나라에의 시사점을 발견하고자 하는 데에 있다. 본고는 일본의 개인정보보호법의 특징이 ‘자율규제’¹ 에 있다는 생각에서 이점에 강조를 두고자 한다. 최근의 법 개정 논의에 대하여도 그와 같은 점의 연장선상에서 시사를 발견하고자 하였다.

 

2. 일본의 개인정보보호법제 개관 ²

(1) 법제 정비의 연혁

일본에서 개인정보보호법제의 정비는 1980년에 채택된 「OECD 프라이버시 가이드라인」³ 으로부터 촉발되었다. 이 가이드라인의 부속서에 제시된 OECD 8원칙은 개인정보호보호에 관한 국제적인 기본원칙으로서 현재까지 큰 영향을 미치고 있다.⁴ 이후 일본에서는 정부 주도하에 1981년부터 공적부문과 민간부문의 쌍방에서 개인정보보호에 관한 법제 정비를 본격적으로 검토하기 시작하였다. 그러나 그 후 행정개혁의 일환으로서 공적부문에서의 개인정보보호가 우선과제로 대두됨에 따라 1988년에 「행정기관이 보유하는 전자계산기 처리에 관련된 개인정보의 보호에 관한 법률」이 제정되었다. 한편 그 무렵 민간부문에서는 일부 업계에서 스스로 개인정보보호에 관한 지침 내지 가이드라인⁵ 을 제정함으로써 대응하는 이른바 자율규제가 시작되고 있었는데, 위 법률 제정당시의 부대결의에서도 민간부문에서의 개인정보보호에 대한 정부의 신속한 대응이 필요하다는 점이 지적되었다. 이 부대결의에 따라 각 중앙행정부서는 민간의 개인정보보호에 대한 가이드라인을 (고시형태로) 제정하였고,⁶ 관련 업계에서는 이 가이드라인에 기초하거나 스스로 지침 등을 정하여 개인정보보호를 도모하는 체제가 구축되었다. 일본에서 민간의 자율규제에 의한 개인정보보호라는 전통이 수립된 것은 이 무렵이다.

그러나 그것이 곧 민간부문에서의 개인정보보호법 제정으로 연결되지는 않았는데, 법제정비의 계기가 된 것은 크게 두 가지였다. 첫째는 국제적인 요인으로 1995년 EU의 「개인정보보호에 관한 지침」⁷ 의 채택이다. 그 제25조에서는 “가맹국은 개인정보의 제3국에의 이전은 당해 제3국이 충분한 수준의 개정정보보호조치를 확보하고 있는 경우에 한하여 가능하다”는 규정을 두고 있었는데, EU와의 통상교섭 등에서 EU수준의 개인정보보호법제가 필요하다는 산업계의 지적이 나오고 있었던 것은 이러한 이유 때문이었다. 둘째는 정보통신기술이 발달하면서 민간부문에서 개인정보가 대량으로 유출되는 사건이 연속으로 발생하면서 개인정보보호에 대한 관심이 한층 높아지고 있었다는 점이다. 이에 따라 1998년부터 민간부문에서의 개인정보보호법 제정을 위한 검토가 정부차원에서 시작되었고, 이후 민간부문뿐만 아니라 공적부문을 포괄하는 개인정보보호법제의 일괄정비로 그 목표가 상향조정되었다. 그 후 수년에 걸친 논의 끝에 개인정보보호에 관한 3법(개인정보보호법, 행정기관이 보유하는 개인정보보호법,⁸ 독립행정법인등이 보유하는 개인정보보호법)이 제정되어(2003년 5월), 2005년 4월부터 전면 시행되고 있다. 이 중에서 ‘개인정보보호법’이 민간부문에서의 개인정보보호에 관한 법률이고, 나머지 두 개가 공적부문에서의 그것이다.

(2) 개인정보보호법의 체계

개인정보호법은 민간부분의 개인정보보호에 관한 법률이지만, 이 법에는 또한 공적부문의 개인정보보호에 관한 기본적인 내용도 포함하고 있기 때문에 그 점에서는 개인정보보호에 관한 기본법으로서의 성격도 갖는다. 기본법적인 부분은 제1장~제3장으로서, 기본이념 및 정의, 국가나 지방자치단체의 책무 및 시책 등이다.⁹ 이에 따라 국가나 지방자치단체는 개인정보의 적정한 취급을 확보하기 위하여 개인정보보호에 관한 기본방침을 마련하는 등 필요한 시책을 책정하여 추진하여야 하며, 아울러 개인정보의 성질 및 이용방법을 감안하여 특히 엄격한 개인정보보호가 요구되는 분야에 대하여는 법제상의 조치 기타 필요한 조치를 강구하여야 한다(제6조). 기타 필요한 조치로서 ‘가이드라인’의 작성 및 그에 기초한 행정지도 등이 있다.¹⁰

한편 제4장 이하는 “민간부문 개인정보보호에 관한 일반법”으로서의 성격을 갖는다.¹¹ “민간부문 개인정보보호에 관한 일반법”이란 민간부문의 개인정보보호에 있어서 개별분야(금융, 정보통신, 의료 등)마다 개별법을 두어 규제하는 방식이 아니라 개별분야 전체를 포괄하는 일반적인 내용의 규율만을 두고 있다는 의미이다. 따라서 일반법적인 부분은 개인정보취급사업자¹² 모두에게 타당할 수 있는 필요최소한의 내용으로 되어 있는데(이른바 minimum standard), 개인정보취급사업자의 의무¹³ 및 제재(시정 권고 및 명령) (제4장 제1절), 민간단체에 의한 개인정보보호의 추진(제4장 제2절), 의무위반에 대한 벌칙(제6장) 등이 그 주요한 내용이다.

이와 같이 개인정보보호법은 민간부문의 개인정보취급사업자에 대하여는 그 분야나 업종을 불문하고 포괄적이고 횡단적인 규율만을 두고 있지만, 개별분야에서의 개인정보보호는 “민간단체를 통하여 구체화된다는 점에 주의할 필요가 있다(자율규제). 이러한 전제 하에 제4장 제2절에서는 업계별로 주무대신에 의해 인정(認定)된 개인정보보호단체를 통한 개인정보보호에 관하여 규정하고 있는데, 이것은 자율규제의일부분을 법제화한 것이다. 이하 항목을 바꾸어 상설한다.

 

3. 일본에서 개인정보보호 관련 자율규제의 현황

(1) 인정 개인정보보호단체제도

1) 의의
일본에서의 개인정보보호는 기본적으로 업계단체에 의한 자율규제를 통해 이루어진다. 그 자율규제의 일부분이 법제화된 것이 “인정 개인정보보호단체제도”이다. 개인정보보호법상 개인정보취급사업자의 의무에 관한 규정(제4장 제1절)은 일부의 적용예외¹⁴ 를 제외하고 모든 분야에서의 개인정보취급사업자에게 횡단 적으로 적용되는 것으로서 이른바 미니멈 기준 정한 것이다. 따라서 업계마다 보다 높은 수준의 개인정보의 적정한 취급의 확보가 필요한바, 이 제도는 이러한 목적을 달성하기 위해 설계되었다(제4장 제2절). 이 제도는 개인정보호보호 업무에 관한 일정한 기준을 갖춘 민간단체를 주무대신이 ‘인정’하고, 인정을 받은 개인정보호보호단체(이하 “인정단체”라고도 한다)는 법이 정한 개인정보보호에 관한 업무를 수행하는 구조로 되어 있다. 이때 인정단체와 관련된 개인정보취급사업자가 그 구성원이 됨으로써 개인정보보호에 관한 자율적인 규제가 가능하게 된다.

2) 업무 및 인정(認定)기준
인정단체가 수행하는 업무는 다음의 세 가지이다(법 제37조).

①개인정보취급사업자(대상사업자)의 개인정보의 취급에 관한 민원이나 분쟁처리(분쟁처리 업무) ②개인정보의 적정한 취급을 위한 대상사업자에 대한 정보의 제공(정보제공 업무) ③그밖에 대상사업자의 개인정보의 적정한 취급의 확보에 관하여 필요한 업무(기타 필요업무).

대상사업자의 개인정보의 적정한 취급의 확보를 목적으로 이들 세 가지 업무(이하 “인정업무”라 한다)를 하고자 하는 법인이나 비법인 단체는 주무대신의 인정(認定)을 받아 ‘인정 개인정보보호단체가 될 수 있다(법 제37조). 주무대신이 인정업무를 행하기를 원하는 법인이나 단체를 ‘인정’하기 위한 기준은 다음과 같다(법 제39조). 첫째, 인정업무를 적정하고 확실하게 수행하는데 필요한 업무의 실시방법이 정해져 있을 것, 둘째, 인정업무를 적정하고 확실히 행하는데 충분한 지식 및 능력, 재정적 기초를 갖고 있을 것, 셋째, 인정업무 이외의 업무를 행하고 있는 경우에는 그 업무를 행함으로써 인정업무가 불공정하게 되지 않을 것.

3) 대상사업자
인정단체는 그 단체의 구성원인 개인정보취급사업자를 ‘대상사업자’로 하여 그 성명이나 명칭을 공표하여야 한다(제41조). 대부분의 경우 인정단체는 업계단체(사업자단체나 협회)이다. 따라서 개인정보를 취급하는 개별 사업자(개인정보취급사업자)가 대상 사업자로서 인정단체의 구성원이 된다.

4) 개인정보호지침
인정단체는 대상사업자가 개인정보를 적정하게 취급할 수 있도록 이용목적의 특정, 안전관리를 위한 조치, 본인(정보주체)의 요구에 응하는 절차 등에 관하여 이 법률의 취지에 따라 지침(개인정보보호지침)을 작성하고, 공표하도록 노력하여야 한다(43조1항). 인정단체가 개인정보호보지침을 공표한 때에는 대상사업자가 당해 개인정보보호지침을 준수할 수 있도록 지도, 권고 등 필요한 노력을 기울여야 한다(제43조). 이들 노력의무는 개인정보보호법에서 정하는 필요최소한의 의무에서 더 나아가 각 인정단체별로 그 분야의 특성에 맞는 보다 엄격한 개인정보보호에 관한 지침을 작성하고, 자주적으로 그 준수가 이루어지도록 하는 것이 규제의 방법으로서는 보다 효율적이라는 입법자의 의사를 반영한 것이다.

5) 기타
인정단체는 인정업무를 실시함에 따라 알게 된 정보를 목적 외에 시용할 수 없으며(제44조), 그 위반은 인정의 취소사유가 된다(제48조 제1항 제3호). 인정단체가 아닌 자가 인정단체와 같거나 유사한 명칭을 사용하는 것은 금지되며(제45조), 이에 위반한 경우 과태료에 처해진다(제59조 제2호). 주무대신은 인정 개인정보보호단체제도의 시행에 필요한 한도에서 인정단체에 대하여 보고의 징수(제46조), 업무실시방법의 개선ㆍ개인정보보호지침의 변경 등을 명령할 수 있고(제47조), 인정기준에 적합하지 않게 된 경우 등 소정의 경우에는 인정을 취소할 수 있다(제48조). 여기서 주무대신은 대상사업자의 설립을 허가 또는 인가한 중앙행정기관의 장이나 대상사업자의 사업을 소관 하는 중앙행정기관의 장으로서, 주무대신이 불명확한 경우에는 내각총리대신이 지정한다(제49조).

(2) 현황

이와 같이 일본에서의 민간부문의 개인정보보호는 업계단체별로 개별적인 자율규제에 의해 수행되는 것이 전통적인 특징인데, 개인정보보보호법은 이러한 자율규제에 일정한 법제화를 도모하여, 국가로부터 인정을 받은 단체(인정 개인정보보호단체)가 중심이 되어 사업자들의 개인정보의 적정한 취급을 확보할 수 있도록 하는 규제체제를 마련하였다고 볼 것이다.

그렇다면 민간부문 개인정보보호의 핵심적인 역할을 수행하는 ‘인정 개인정보보호단체’의 현황은 어떠한가? 2013년 10월 1일 기준으로 주무대신으로부터 인정을 받은 인정단체는 모두 39개 단체이고 이들이 보유하고 있는 개인정보보호지침은 모두 42개이다.¹⁵ 한편 이와는 별도로 중앙행정기관이 소관 분야별로 개인정보보호에 관한 가이드라인을 고시나 통달의 형태로 제정하고 있는데, 총 27개 분야에서 40개의 가이드라인이 제정되어 있다.¹⁶ 이와 같이 본다면 일본에서의 개인정보보호는 각 소관부서의 분야별로 법이 정한 최소한의 기준 안에서 고시 등의 형태로 제정되는 가이드라인에 의해 개별적인 규제가 이루어지며, 한편 소관부서가 주무대신으로서 개인정보보호단체를 인정할 경우 그 인정단체는 주무대신이 제정한 가이드라인을 참조하고 각 업계별 특성을 감안하여 자율적으로 개인정보보호지침을 제정하고, 분쟁처리나 정보제공 등의 업무를 통하여 대상사업자의 개인정보의 적정한 취급의 확보를 도모하는 체제라고 정리할 수 있을 것이다.

이와 같이 “소관부서별 개별규제 + 인정단체를 중심으로 한 자율규제”가 일본의 개인정보보호를 위한 규제의 큰 틀이라 할 수 있는데, 법 제정 후 10여년이 지난 현 시점의 평가로서, 사업자들의 개인정보 누설 방지를 위한 대책이 자율적으로 이루어지고 있고 개인정보 누설 사건의 당사자가 문제를 신속히 발표하는 등 대체적으로 개인정보보호법이 효율적으로 기능하고 있다는 평가가 있다.¹⁷ 한편 법률 위반을 걱정하여 개인정보의 제공을 일체 하지 않는다든지, 개인정보보호법을 이유로 개인정보를 기업 활동에 활용하지 않는 행태가 일반화되는 등 법조문의 형식적 이해로 인한 과민반응이 문제점으로 지적되기도 한다.¹⁸

 

4. 빅데이터 활용을 위한 최근의 법 개정 논의

(1) 법 개정의 배경

지난 2014년 6월 24일 내각총리대신(수상) 직속의 “IT종합전략본부”는 “빅데이터의 이용ㆍ활용에 관한 제도개정 대강(大綱)”(이하 “「대강」”이라고 한다)을 발표하여 개인정보보호법의 개정을 예고하였다.¹⁹ 이 「대강」에서 제시된 지침에 따라 관련부서에서 조문안을 작성하여 내년 3월경 정기국회에 제출할 것을 예정하고 있다. 법 개정의 취지는 한마디로 개인정보 주체의 동의 없이도 ‘빅데이터’(「대강」에서는 “personal data”²⁰ 라 한다)의 활용이 가능하도록 하자는 데에 있다. 그러나 이것은 개인정보보호법의 근간을 흔들 수도 있는 문제이기 때문에 개인정보의 보호에 문제가 생기지 않는다는 점에 대한 정보주체(이용자)로부터의 신뢰확보가 필수적이다. 이점에 관하여 「대강」은 다음과 같이 법 개정의 배경을 설명하고 있다.

개인정보보호법 제정(2003년) 후의 정보통신기술의 비약적인 발전에 따라 이른바 빅데이터의 수집ㆍ분석이 가능해지고 있는바, 이를 성장전략 내지 산업진흥을 위해 활용할 수 있는 방안이 기대되고 있는 한편, 소비자(이용자)들의 개인정보나 프라이버시 보호에 대한 의식은 한층 높아지고 있고 법제상으로도 동의를 받아야 할 개인정보의 범위에 포함되는지가 애매한 이른바 ‘그레이존’이 확대되고 있어 보호받아야 할 개인정보의 범위나 사업자가 준수하여야 할 룰이 명확하지 않은 측면이 있다. 이와 같은 상황에서 그레이존 및 사업자의 빅데이터에 관한 ‘활용의 벽’을 제거하고, 지금과 마찬가지로 개인정보보호의 수준을 유지하면서 빅데이터의 활용을 가능하게 하는 환경정비가 요구되고 있다. 또한 국제적으로도 클라우딩 서비스 등 국경을 넘는 정보의 유통이 대단히 용이하게 이루어지는 상황에서 개인정보나 프라이버시 보호에 관한 논의가 세계적으로도 급격하게 진행되고 있는 상황이다.²¹.)) 따라서 외국의 정보가 일본에 집적할 수 있는 사업 환경을 만들기 위해서도 제도의 국제적인 조화를 도모할 필요가 있다.²²

(2) 법 개정의 기본골자

이와 같은 배경 하에 「대강」은 “빅데이터의 보호와 이용ㆍ활용의 균형”이라는 기본이념 내지 목적을 설정하고 이를 위하여 다음과 같이 제도설계의 기본적인 방침 내지 방향성을 제시하고 있다. 이하 「대강」의 내용을 정리한 후, 필요한 경우 간단한 해설을 덧붙인다.

1) 개인의 동의 없는 빅데이터 활용의 촉진― “특정가능성 저감데이터”의 취급
“현행법은 ‘개인데이터’²³ 의 제3자제공이나 목적 외 이용의 경우 원칙적으로 본인의 동의를 얻도록 하고 있다(16조1항, 23조1항). 개정법에서는 개인데이터를 특정의 개인이 식별될 가능성을 저감시킨 데이터(‘특정가능성 저감데이터’)로 가공하도록 하고, 그 가공된 데이터에 대하여 특정의 개인을 식별하는 것을 금지하는 등 적정한 취급에 관한 규율을 정함으로써 본인의 동의 없이 제3자제공이나 목적 외 이용이 가능하도록 한다. 구체적인 가공방법에 대해서는 데이터의 유용성이나 다양성에 배려하여 일률적으로는 정하지 않고 사업 등의 특성에 따라 적절한 처리를 할 수 있도록 하되, 민간단체가 자율규제의 룰을 책정하거나 best practice를 공유하도록 한다.”²⁴
「대강」의 제안은 위와 같으나 참고적으로 ‘특정가능성 저감데이터’의 정의에 대해서 「대강」을 기초한 검토회²⁵ 의 사무국에서는 “개인데이터에 포함된 성명, 생년월일 그 밖의 記述 등에 의해 특정의 개인이 식별될 수 있는 것을 삭제하는 등 시행령에서 정하는 방법에 의한 가공을 하여 개인이 특정될 가능성을 저감시킨 것”이라고 제안하면서, ‘가공방법’에 대해서는 가령 성명, 주소, 생년월일의 정보를 포함하는 구매이력에 있어서, 성명을 삭제하고, 주소는 광역자치단체(都道府県) 단위, 생년월일은 연대로 일반화하도록 가공하는 예를 들고 있다. 또한 그러한 특정가능성 저감데이터의의 ‘적정한 취급’과 관련하여 검토회에서는 본인의 동의 없이 특정가능성 저감데이터의 제3자 제공을 가능하게 하는 제도가 논의되었는데, 예컨대 ①정보의 제공자에 대하여 특정가능성 저감데이터에의 가공방법 등에 관한 정보를 미리 제3자 기관에 제출하게 할 것, ②제3자기관은 제출받은 가공방법 등에 관한 정보를 영업비밀 등 사업자의 권익을 침해하지 않는 범위 내에서 공개할 것, ③정보의 수령자에 대해서 개인의 재특정의 금지 및 안전관리조치를 의무화할 것 등이다.

2) 기본적인 제도의 틀에 관한 규율 ― 보호대상이 되는 “개인정보”의 범위
“현행법이 보호대상으로 하는 ‘개인정보’란 “생존하는 개인에 관한 정보로서, 당해 정보에 포함된 성명, 생년월일, 그 밖의 記述 등에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 대조(照合)함으로써 특정 개인을 식별할 수 있는 것을 포함한다)을 말한다”(2조1항). 그러나 빅데이터 중에는 현재로서는 개인정보로서 보호의 대상이 되는지가 사업자에게 분명하지 않기 때문에 사업자의 ‘활용의 벽’이 되고 있다는 지적이 있다.²⁶ 이 때문에 개인의 권익보호와 사업활동의 실태에 배려하면서, 지문인식 데이터, 얼굴인식 데이터 등 개인의 신체적 특성에 관한 것 등에서 보호대상이 되는 것을 명확히 하고 필요에 따라 규율을 정한다.

또한 보호대상의 재검토 시에는 사업자의 조직, 활동의 실태 및 정보통신기술의 진전 등 사회의 실태를 반영한 유연한 판단을 할 수 있도록 유의함과 동시에, 기술의 진전과 새로운 빅데이터의 이용ㆍ활용의 수요에 따라 재검토가 기동적으로(신속하게) 이루어질 수 있도록 조치한다. 한편 보호의 대상이 되는 ‘개인정보’ 등의 정의에 해당하는지 여부에 대해서는 제3자기관이 해석의 명확성을 도모함과 동시에 개별 사안에 관한 사전상담 등에 의해 신속하게 대응하도록 노력한다.”²⁷

이와 같이 「대강」의 제안은 “지문인식 데이터, 얼굴인식 데이터 등 개인의 신체적 특성에 관한 것 등”으로 포괄적으로만 보호대상을 설정하고 있기 때문에 향후에 그 구체적 범위가 문제될 것이다. 여기서는 참고적으로 「대강」의 검토과정에서의 논의를 소개한다. 검토회의 사무국은 ‘(가칭) 準개인정보’라는 개념을 설정하고 이를 다음과 같은 세 가지 유형으로 분류하였다.

①개인 또는 개인의 정보통신단말 등에 부여되어 계속적으로 공용되는 정보(여권번호, 면허증번호, IP주소, 휴대전화ID 등) ②신체적 특성에 관한 정보로서 보편성을 갖는 것(얼굴인식 데이터, 유전자정보, 음성이나 지문 등) ③특징적인 행동의 이력에 관한 정보(이동이력[위치]정보, 구매이력정보, Web열람이력정보 등)

한편 검토회에서 별도로 조직된 기술검토WG에서는 위 3유형을 다음과 같이 구체화하였다.

①개인 또는 개인이 사용하는 통신단말기 등에 관한 것(면허증번호, 여권번호, 건강보험증의 기호 및 번호, 금융기관 계좌번호, 신용카드번호, 이메일주소, 전화번호, 휴대전화번호, 정보통신단말 시리얼번호, IC카드의 고유ID, 부동산번호 등) ②개인의 신체적 특성에 관한 것(음성, 지문, 정맥 패턴, 홍채, DNA, 얼굴인식 데이터, 생체인증에 사용되는 데이터, 보행 패턴, 필적) ③특정 개인을 식별할 수 있는 다량 또는 다양한 정보의 수집을 가능하게 하는 것.

다만 ③에서 사무국이 제안한 이동이력, 구매이력, Web열람이력 등은 현시점에서는 법의 보호대상에 포함시키지 않고 보다 상세한 검토가 필요하다고 하였다.

3) 민간주도에 의한 자율규제의 활용
“빅데이터의 이용ㆍ활용의 촉진과 개인정보 및 프라이버시의 보호를 양립시키기 위해 ‘multi stakeholder process’(국가, 사업자, 소비자, 학식 경험자 등의 관계자가 오픈된 공간에서 룰의 책정 등에 관하여 논의하는 방법)를 활용하여 민간주도에 의한 자율규제의 룰을 창설한다. 이 경우 자율규제의 룰을 책정하는 민간단체는 법령 등의 규정 외에 법령 등에 규정되어 있지 않은 사항에 대해서도 정보통신기술의 발전 등에 조응하여 개인정보 및 프라이버시의 보호를 위해 기동적인 대처를 필요로 하는 과제에 관하여 정보의 성질이나 시장구조 등 업계ㆍ분야별 특성 및 이해관계자의 의견을 감안하여 룰을 책정하고, 그 룰의 대상사업자에 대하여 필요한 조치를 할 수 있도록 한다. 또한 제3자기관은 당해 룰 및 민간단체를 인정 할 수 있도록 한다.

한편 국경을 넘는 빅데이터의 원활한 이전을 실현하기 위해 제3자기관의 인정을 받은 민간단체가 국경을 넘어 정보유통을 하려는 사업자에 대해서 상대국이 인정하는 개인정보 또는 프라이버시 보호수준과의 적합성을 심사하여 인증하는 업무를 하도록 하는 제도를 창설한다. 인증업무를 하는 민간단체는 제3자기관의 감독을 받도록 한다.”²⁸

이와 같이 민간주도의 자율규제를 적극적으로 활용하자는 제안은 “소관부서별 개별규제 + 인정단체를 중심으로 한 자율규제”라는 현행 개인정보보호법상의 규제의 기본 틀에 입각한 것이어서 제도창설로서 특별할 것은 없다. 다만 multi stakeholder process에 의한 균형 잡힌 룰(지침)의 책정이 강조되었다는 점, 제3자기관이 민간단체뿐만 아니라 그 룰(지침)을 인정하도록 한 점(현행법상으로는 주무대신이 민간단체를 인정하고 있을 뿐 지침을 인정하지는 않는다), 인정단체의 업무로서 빅데이터의 국제적인 활용에 관한 인증업무를 추가하고 있다는 점에서 개정법에서는 자율규제의 역할 내지 법적 위상이 보다 높아질 것으로 예상된다.

4) 제3자기관의 창립에 의한 실효성 있는 제도 집행의 확보
“전문적 知見의 집중화, 분야횡단적이고 신속ㆍ적절한 법집행의 확보에 의해 빅데이터의 보호와 이용ㆍ활용을 균형 있게 추진하기 위해 독립한 제3자기관을 설치하고 그 체제정비를 도모한다. 번호법²⁹ 에 규정되어 있는 특정개인정보보호위원회의 소관사무를 확대 재편성하여 내각총리대신 하에 위원회조직으로 설치한다. 이 제3자기관은 번호법에 규정된 업무 외에 빅데이터의 취급에 관한 감시ㆍ감독, 사전상담ㆍ분쟁처리, 기본방침의 책정ㆍ추진, 인정 개인정보보호단체의 감시ㆍ감독, 국제협력 등의 업무를 수행한다.

제3자기관은 현행 주무대신이 갖고 있는 개인정보취급사업자에 대한 권한ㆍ기능(조언, 보고징수, 권고, 명령)에 추가하여 지도, 현장검사, 공표 등을 할 수 있도록 하며, 현행 주무대신이 갖고 있는 인정단체에 대한 권한ㆍ기능(인정, 인정취소, 보고징수, 명령)을 갖는 것으로 한다. 이에 따라 제3자기관을 중심으로 한 실효성 있는 집행ㆍ감독 등이 가능하도록 제3자기관과 각 중앙행정부서의 장(주무대신)과의 관계를 정리한다. 이때 양자의 역할을 명확히 하고 필요한 경우 양자의 연계를 도모한다.”³⁰

 

5. 우리나라에의 시사점

(1) 빅데이터 활용을 위한 법 개정 논의로부터의 시사

우리나라에서는 최근에 방송통신위원회가 마련한 「빅데이터 개인정보호보호 가이드라인(안)」의 제정을 둘러싼 논란이 뜨거운 상황이다.³¹ 빅데이터의 활용이 산업에 미치는 영향을 고려하여 그 제정을 서둘러야 한다는 입장이 있는 반면, 최근에는 제정에 반대하는 측이 제기한 진정(陳情)에 대해 개인정보보호위원회로부터 위 가이드라인(안)이 「개인정보 보호법」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 규정과 입법취지에 부합하지 않는 일부 내용을 포함하고 있으므로 위 법률의 내용과 체계에 부합하도록 재검토를 권고한다는 취지의 결정이 내려지기도 하였다(2014.7.30).

여기서는 위 가이드라인의 당부에 대해 논의할 여력은 없다. 다만 일본에서의 법 개정 논의로부터 시사를 얻을 점은 있다고 생각한다. 우리나라에서의 가이드라인의 제정 움직임은 “동의없는 빅데이터의 활용”을 목적으로 한다는 점에서는 일본에서의 최근의 법 개정 논의와 공통된다. 또한 우리의 경우 일본이 예정하고 있는 ‘제3자기관’이 이미 설립되어 있고 (개인정보보호위원회) 이를 통해 개인정보가 보호되는 체제라는 점에서는 일본의 논의로부터 특별히 시사를 받을 것은 없다.

그러나 양국의 빅데이터 활용을 위한 입법논의에는 근본적인 차이가 발견된다. 즉 일본의 경우 “보호와 활용의 균형”이라는 기본이념 내지 목표 하에 개정이 추진되고 있다는 점이다. 빅데이터의 활용 자체가 개인정보보호법의 개정이 없이는 이루어질 수 없다는 생각에 기초해 있는 것이다. 이것은 고시라는 형태로 (개인정보보호법 등에 위반할 수도 있다는 주장이 있는 상황에서) 가이드라인의 제정을 추진하고 있는 방통위의 입장과는 상반되는 것이다. 물론 일본에서도 주무부서에 의한 가이드라인이 고시 등의 형태로 제정되고 있고, 법 개정을 위한 논의에서도 보호되는 개인정보의 범위를 둘러싼 협의가 마무리된 상황이 아니기 때문에 이후 진통이 예상되지만, 이해당사자들과의 논의를 통한 타협점의 모색을 당연한 전제로 하고 있다는 점에서, 제정을 고수하는 측의 입장과 이에 반대하는 측의 입장이 대립하면서 서로의 주장만을 고집하는 우리와는 근본적인 논의의 상황이 다르다고 할 것이다. 우리가 한번 쯤 음미해볼 대목이라고 생각한다.

(2) 자율규제로부터의 시사

최근의 빅데이터의 활용을 위한 법 개정 논의에서 뿐만 아니라 일본의 개인정보보호법제 전체에서 우리가 주목해야 할 점은 자율규제의 전통과 이에 기초한 제도개정의 논의라고 생각한다. 우리나라의 경우도 자율규제가 개인정보보호법에 명시는 되어 있다(제13조). 그러나 그 내용에서 알 수 있는 바와 같이 그것은 쉽게 말하면 “정부에 의한 자율규제”에 다름 아니다. 톱다운 방식의 자율규제의 권고로서는 실효성이 없다.

일본에서의 자율규제가 개인정보보호를 위한 기본적인 규제의 틀이라는 점은 다음과 같은 점에서 확인할 수 있다. 첫째, 업계사정에 맞는 지침의 제정과 운용이다. 업계는 개인정보보호법을 최소한의 기준으로 하여 주무대신이 제정하는 가이드라인을 참조하고 업계 사정을 반영하여 (그 이상의 보호수준을 갖춘) 개인정보보호지침을 자율적으로 제정하여 운용한다. 다만 최근의 법 개정 논의에서는 multi stakeholder process의 적극적인 활용이 강조되면서 관계자들이 참가한 오픈된 장소에서의 공정성을 갖춘 룰 책정이 예정되고 있는 상황이다. 또한 법 개정에 의해 이러한 지침에 대해 제3자기관으로부터 인정을 받는 제도가 도입될 것으로 예상되는바, 이후에는 자율적인 지침의 공정성에도 방점이 두어질 것으로 생각된다.

둘째, 민간단체의 인정제도를 통해 자율규제의 법적 근거가 명확해지고 공신력이 높아졌다는 점이다. 인정단체제도를 통하여 개인정보보호에 대한 규제는 행정기관 -> 인정단체 -> 대상사업자로 이어지는 피라미드 구조 속에서 이루어진다. 이것은 법의 체계 안에서 사업자가 그 단체를 통하여 자율적으로 개인정보보호를 추구하는 형태라고 이해할 수 있을 것이다.

셋째, 거의 모든 산업분야에서 자율규제가 이루어지고 있다는 점이다. 이것은 인정단체 및 인정단체가 제정한 지침의 숫자에서 확인이 가능하다. 이것은 자율규제를 통한 개인정보보호가 각 산업분야별로 정착되고 있음을 의미하는 것이다. 인정단체의 주된 업무가 개인정보관련 분쟁의 처리라는 점을 생각하면 인정단체를 통한 개인정보보호가 행정기관의 관련업무의 부담을 덜어주고 있다는 평가도 가능하다.

다만 제3자기관의 설치가 자율규제의 전통에 어떠한 영향을 미칠지는 미지수이다. 그러나 개인정보보호단체와 지침의 인정 주체가 제3자기관으로 이관된다 하더라도 현재와 같은 자율규제의 큰 틀은 유지될 것으로 예상된다.

향후 우리나라에서도 법에서 개인정보보호에 관한 포괄적이고 일반적인 최소한의 기준을 정하고(그 기준에 부합하지 않는 개별적인 개인정보보호 관련법의 개정도 수반되어야 할 것이다), 구체적인 개인정보보호는 민간이 자율적으로 실행할 수 있도록 하며, 민간의 자율규제의 수준에 대해 행정기관이 (인정과 같은) 인센티브를 부여하고 (필요에 따라) 관리 감독을 하도록 하는 시스템을 정비하는 것은 어떨까? 이것이 규제완화라는 큰 흐름에 부응할 뿐만 아니라 행정의 부담을 덜 수 있고, 민간이 자율적으로 개인정보를 보호하기 때문에 업계의 사정에 맞는 개인정보보호의 구체적인 룰의 책정과 실천이 가능하게 하는 제도모델이기 때문이다.
—————————————–

1. 일본에서는 ‘自主規制’라고 표기한다. [본문으로]
2. 이에 관한 국내문헌은 다수에 이르나 여기서는 김상미, “일본의 개인정보보호 법제”, KISO 저널 제7호(2012.7.9.)만을 인용하기로 한다. [본문으로]
3. OECD Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data(1980). [본문으로]
4. 일본은 OECD 8원칙을 사업자의 의무규정으로 도입하였다. [본문으로]
5. 재단법인 금융정보시스템센터(FISC)의 「금융기관 등에서의 개인정보보호를 위한 취급지침」(1987년), 재단법인 일본정보처리학회(JIPDEC)의 「민간부문에서 개인정보보호를 위한 가이드라인」(1988년) 등. [본문으로]
6. 통산성 「개인정보호보 가이드라인」(1989년), 우정성 「개인정보보호 가이드라인」(1991년) 등. [본문으로]
7. European Parliament and Council Directive 95/46/EC of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. [본문으로]
8. 「행정기관이 보유하는 전자계산기 처리에 관련된 개인정보의 보호에 관한 법률」(1988년)을 전부 개정한 것이다. [본문으로]
9. 제1장 총칙, 제2장 국가 및 지방자치단체의 책무 등, 제3장 개인정보보호에 관한 시책 등(제1절 개인정보보호에 관한 기본방침, 제2절 국가의 시책. 제3절 지방자치단체의 시책, 제4절 국가 및 지방자치단체의 협력). [본문으로]
10. 宇賀克也『個人情報保護法の逐条解説〔第3版〕』(有斐閣、2009)57頁. [본문으로]
11. 제4장 개인정보취급사업자의 의무 등(제1절 개인정보취급사업자의 의무, 제2절 민간단체에 의한 개인정보보호의 추진), 제5장 잡칙, 제6장 벌칙. [본문으로]
12. 5천명을 초과하는 개인정보를 종이매체 또는 전자매체를 막론하고 데이터베이스화하여 사업 활동을 하고 있는 사업자(개인정보보호법 제2조 제3항). [본문으로]
13. 개인정보취급사업자가 준수하여야 할 의무의 구체적 내용에 대하여는, 김상미, 앞의 논문(각주 2)을 참조. [본문으로]
14. 보도, 저술, 학술연구, 종교 활동, 정치활동 목적의 개인정보 취급에 대하여는 제4장(개인정보취급사업자의 의무 등)의 규정이 적용되지 않는다(제50조). [본문으로]
15. 인정단체 및 그 제정 개인정보보호지침의 상세에 대하여는 消費者庁의 홈페이지를 참조. available: http://www.caa.go.jp/planning/kojin/ninteidantai.html [본문으로]
16. 소관부서별 가이드라인의 상세에 대하여는 消費者庁의 홈페이지를 참조. available: http://www.caa.go.jp/planning/kojin/houtaikei_1.pdf [본문으로]
17. 김상미, 앞의 문헌(각주 2). [본문으로]
18. 김상미, 앞의 문헌(각주 2). [본문으로]
19. available: http://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20140624/siryou5.pdf [본문으로]
20. ‘personal data’의 공식적인 定義가 있는 것은 아니나 대체적으로 “개인정보보호법이 규정하는 개인정보에 한하지 않고, 위치정보나 구매이력 등, 개인의 행동ㆍ상태 등에 관한 정보로 대표되는, 개인식별성이 없는 정보”로 이해되고 있다. [본문으로]
21. OECD에서는 1980년의 「프라이버시 가인드라인」을 2013년 7월에 개정하였다(OECD Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data); 미국에서는 「소비자 프라이버시 권리장전」을 2012년 2월에 공표하였다(Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy); EU에서는 「개인정보보호 규칙안」이 2014년 3월 EU의회 본회의에서 가결되어 계속검토가 이루어지고 있다(European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation [본문으로]
22. 대강 5~6면. [본문으로]
23. 개인정보데이터베이스등(개인정보를 포함한 정보의 집합물로서 전자적 또는 그 밖의 방법으로 특정 개인정보를 용이하게 검색할 수 있도록 체계적으로 구성한 것)을 구성하는 개인정보(제2조 제4항). [본문으로]
24. 대강 10면. [본문으로]
25. 빅데이터에 관한 검토회(パーソナルデータに関する検討会). [본문으로]
26. 예컨대 위치정보나 휴대전화 식별번호 등 반드시 그 정보만으로는 개인식별성을 갖지 않으나 그 취급에 따라서는 개인정보나 프라이버시 침해가 생길 수 있는 그레이존의 정보가 그러하다. [본문으로]
27. 대강 10~11면. [본문으로]
28. 대강 12~13면. [본문으로]
29. 「행정절차에서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률」(2013년 법률 제27호). [본문으로]
30. 대강 13~14면. [본문으로]
31. 이에 대한 최근의 논고로서, 심우민, “「빅데이터 개인정보보호 가이드라인」과 입법과제”, 이슈와 논점(국회입법조사처, 2014.6.12.) 참조. [본문으로]