일본 개인정보보호법 개정, 한국 기업 진출시 유의점은
Ⅰ. 머리말
일본 「개인정보의 보호에 관한 법률」(이하 ‘개인정보보호법’이라 한다) 일부 개정안이 2022년 상반기 시행 예정인 가운데 일본에 진출하는 한국 기업이 주의해야 할 필요가 있다.
일본 정부는 이번 법 개정이 개인정보의 보호와 이용을 조화하기 위한 것이라고 강조하고 있지만, 전체 19개 개정 항목 중 17개가 보호에 관한 것이고(정보 주체의 권리 실질화·실효화) 1개만 활용을 위한 것이다(1개는 자율규제 촉진). 특히, 벌칙 규정이 강화되고 국외이전과 역외적용이 대폭 강화됐다는 점에서 일본을 상대로 비즈니스를 하고 있는 국내 기업은 특히 유의해야 한다. 또한, 행태정보 등의 수집·제공에 대해서도 동의가 필요하고, 가명가공정보는 내부적으로만 이용이 가능하며 국외 제공을 할 수 없다. 아울러 개인정보 처리 내역에 대한 기록·보관 및 공개가 의무화됐다.
Ⅱ. 개정 개인정보보호법 주요 내용
1. 정보 주체 권리 보호 실질화 및 실효화
가. 정보 주체의 권리 확대
1) 이용·제공 정지 및 소거 청구권의 행사요건 완화
개정법은 개인 데이터 이용·제공 정지 및 소거 청구권을 행사할 수 있는 사유에 △부적정한 이용금지 규정을 위반한 경우 △보유개인데이터를 이용할 필요가 없게 된 경우 △유출 등의 사고가 발생한 경우 △그밖에 보유개인데이터의 취급으로 본인의 권리 또는 정당한 이익이 침해될 우려가 있는 경우를 추가함으로써 정보 주체의 권리를 강화했다(제30조제1, 5항).
2) 정보의 개시(공개) 방법을 지시할 권리 신설
열람권 행사시 전자적 방법을 포함해 개인정보의 개시 방법을 정보 주체가 지정할 수 있는 지시권을 신설하였다(제28조제1항). 다만, 본인이 지시한 방법으로 정보를 개시할 경우 고액의 비용이 필요하거나 그밖에 해당 방법에 따른 공개가 곤란한 경우에는 서면 교부에 의한 방식으로 개시할 수 있다(제28조제2항).
3) 제3자 제공 기록에 대한 열람(개시) 요구권 신설
개인정보를 제공한 자와 제공받은 자는 각각 정보 주체의 요구가 있는 때에는 개인정보의 수수에 관한 기록을 공개하도록 의무화하고 있다(제28조제5항). 다만, 개인정보 수수에 관한 사실의 기록·확인·보관 및 개시 의무는 제3자 제공에 대해서만 적용되고 위탁 또는 공동 이용에는 적용되지 않는다.1개인데이터를 제3자에게 제공한 자(명부사업자 포함)는 해당 개인데이터를 제공한 연월일, 제공받은 자의 명칭, 그 밖에 위원회 규칙으로 정한 사항을 기록·보관해야 하고(제25조제1항), 제공받은 자는 해당 개인데이터를 제공받은 연월일, 제공한 제3자의 명칭 및 주소(법인 및 단체의 경우에는 그 대표자 또는 관리인 포함), 해당 개인데이터의 취득 경위, 그 밖에 개인정보보호위원회 규칙으로 정한 사항을 확인·기록 및 보관해야 한다(제26조제3항).
4) 열람등의 요구 대상이 되는 보유 개인데이터의 범위 확대
정보 주체가 개인정보 취급사업자에게 열람(개시), 정정, 추가, 삭제, 소거, 이용·제공 정지 등을 요구할 수 있는 보유 개인 데이터의 범위를 6개월 이내에 삭제가 예상된 단기 보존 개인 데이터로까지 확대해 정보 주체의 권리를 강화하였다(제2조제7항).
나. 제3자 제공 제한 및 통제권 강화
1) 옵트아웃으로 제공할 수 있는 개인 데이터의 범위 축소
부정 취득한 개인데이터(제17조제1항)와 제3자로부터 옵트아웃(opt-out) 방식으로 제공받은 개인 데이터를 다시 옵트아웃 방식으로 제3자에게 제공할 수 없게 하였다(제23조제2항 단서). 정보 주체가 동의한 적이 없는 개인 데이터가 명부에 포함되어 있거나, 불법으로 반출하거나 부정한 방법으로 취득한 명단이 포함되어 있기도 하며, 명부 사업자끼리 명부가 부정하게 거래되는 경우가 적지 않았기 때문이다.
2) 옵트아웃 제공시 위원회에 대한 법정 신고사항 확대
위원회에 옵트아웃 신고시 △개인정보취급사업자의 성명 또는 명칭, 주소 및 법인의 대표자 성명 △제공할 개인데이터의 취득방법 △그밖에 개인의 권리·이익 보호를 위해 필요한 것으로써 위원회 규칙으로 정한 사항을 신고사항에 추가하고, 변경 사항이 발생한 경우에도 변경 신고를 하도록 했다(제23조제2,3항).
다. 행태 정보등의 수집·제공에 대한 정보 주체 통제권 강화
1) 개인관련정보의 개념 신설 및 수집시 동의 의무 신설
생존하는 개인에 관한 정보로서 개인정보, 가명가공정보, 익명가공정보 중 어디에도 해당하지 않는 정보를 ‘개인관련정보’로 정의하고, 개인관련정보를 수집할 때는 미리 정보 주체의 동의를 받도록 하였다(제26조의2제1항). 이름 등과 연계되지 않은 인터넷 열람·검색 이력, 위치정보, 쿠키정보 등(이른바 행태정보, 기기정보 등)과 같이, 제공하는 자에게는 개인데이터에 해당하지 않아도 제공받는 자에게 개인데이터가 되는 정보가 이에 속한다. 이에 따라 행태정보 등을 제3자로부터 제공받고자 하는 자는 미리 정보 주체로부터 ‘개인관련정보를 식별 목적으로 이용한다는 취지의 동의’를 받아야 한다. 외국에 있는 제3자가 정보 주체의 동의를 받을 때에는 해당 국가의 개인정보보호제도, 자신이 강구하고 있는 개인정보 보호조치, 그밖에 정보 주체가 참고해야 할 정보를 제공하고 동의를 받아야 한다(제26조의2제1항제2호). 개인정보보호를 위한 적정한 조치를 취하여 국외 제공에 대해 동의 면제를 받은 경우에는 위원회 규칙으로 정하는 바에 따라 상당한 조치를 지속적으로 실시해야 한다(제26조의2제2,3항).
2) 개인관련정보 제공시 수령자의 동의 획득 확인 및 기록 의무 신설
개인관련정보를 제3자에게 제공하려는 자는 제공받는 자가 본인으로부터 적정한 동의를 받았는지 여부를 확인하고 일정 기간 그 사실을 기록으로 남겨야 한다(제26조의2제3항). 사업승계, 위탁, 공동이용에 따른 제공의 경우에도 동의 획득 및 동의 확인의 대상이 된다.2그러나 모든 경우에 동의 확인 의무가 부과되는 것은 아니고, 제공받을 자가 개인 식별을 위해 다른 정보와 대조할 것으로 ‘예상’되는 경우에 한한다.
2. 개인정보취급사업자 관리·감독 강화
가. 개인정보취급사업자의 책무 강화
1) 유출 등의 사고 발생시 보고 및 통지 의무화
개인데이터의 유출, 멸실, 훼손, 그밖에 개인의 권리·이익을 침해할 우려가 크다고 보아 위원회 규칙으로 정한 데이터 안전 관련 사고 발생시 개인정보취급사업자는 위원회에 그 사실을 보고해야 한다. 다만, 수탁자의 경우에는 개인정보취급사업자(위탁자)에 유출 등의 사고를 통지한 경우에는 통지의무가 면제된다(제22조의2제1항). 또한, 개인정보취급사업자는 정보 주체에게 유출 등의 사고를 통지해야 하지만, 주소불명, 연락처 미기재 등으로 통지가 어렵고 정보 주체의 권리·이익을 보호하기 위해 필요한 대체 조치를 취한 경우에는 통지 의무가 면제된다(제22조의2제1항).
다만, 개인정보취급사업자의 보고 부담, 실행 가능성 등을 고려해 위원회 규칙으로 경미한 사고는 보고하지 않아도 되도록 보고 대상이 되는 유출 등의 유형을 일정 수 이상의 개인데이터, 요배려정보 등의 유출로 한정하고, 보고 기한도 특정하지 않은 채 ‘신속하게’ 보고하도록 하며, 보고처도 위원회(또는 권한 위임 관청)로 일원화 한다는 계획이다.
2) 부적정한 방법에 의한 개인정보 이용 금지
개인정보취급사업자는 위법 또는 부당한 행위를 조장하거나 유발할 ‘우려’가 있는 방법으로 개인데이터를 이용해서는 안 된다는 취지를 명확히 하였다(제16조의2). 이전에는 개인정보취급사업자는 거짓 기타 부정한 수단에 의해 개인정보를 ‘취득’하여서는 안 된다고만 규정함으로써(제17조제1항) 취득에 대해서만 규율하고 이용 방식이나 용도에 대해서는 특별한 제한을 두고 있지 않았다.
나. 개인정보보호법 위반에 대한 벌칙 강화
1) 개인정보보호위원회 명령 위반 등에 대한 벌칙 강화
위원회의 명령 위반과 위원회에 대한 허위 보고에 대해서 법정형을 인상했다. 명령 위반에 대해서는 6개월 이하의 징역 또는 30만 엔 이하의 벌금에서 1년 이하의 징역 또는 100만 엔 이하의 벌금으로 인상하고, 허위보고 등에 대해서는 30만 엔 이하의 벌금에서 50만 엔 이하의 벌금으로 인상하였다(제83~85조). 또한 위원회의 명령을 받는 자가 해당 명령을 위반하면 명령 위반 사실을 공표할 수 있게 했다(제42조제4항).
2) 부정 제공 등에 대한 벌금형의 인상 및 차등화
데이터베이스 등의 부정 제공과 위원회 명령 위반에 대한 벌금형의 경우 법인에 대한 벌금형의 최고액을 1억 엔 이하로 대폭 인상하였다(제87조).
다. 개인정보보호법 역외적용과 국외이전 규제 강화
1) 외국 사업자에 대한 보고징수, 출입검사, 명령, 벌칙 규정의 적용
일본 내에 있는 사람에 대한 물품 또는 용역의 제공과 관련해 그 개인을 정보주체로 하는 개인정보, 가명가공정보, 익명가공정보 및 개인 관련 정보를 취급한 개인정보취급사업자가 외국에서 그 정보를 취급하는 경우에 대해서도 위원회가 보고징수, 명령, 명령위반 사실의 공표, 외국 사업자에 대한 출입검사(현장점검) 등을 할 수 있게 하고 벌칙 규정을 적용할 수 있게 했다.(제40조제1항, 제75조).
2) 개인데이터 국외 이전시 본인에 대한 정보 제공 의무 충실화
외국에 있는 제3자에게 개인데이터를 제공(위탁과 공유를 포함)하고자 하는 경우에는 원칙적으로 정보 주체의 동의를 받아야 하고, 동의를 받을 때에는 위원회 규칙으로 정한 바에 따라 미리 △해당 국가의 개인정보보호제도 △제공받을 자가 강구하고 있는 개인정보 보호조치 △그밖에 본인이 참고해야 할 정보를 제공하도록 하고 있다(제24조제1,2항). 또한, 외국의 제3자가 개인데이터의 적정한 취급을 보장할 수 있는 체제를 갖추고 있어 정보 주체의 동의를 받지 않고 개인데이터를 제공할 수 있는 경우에도 개인정보취급사업자는 위원회가 규칙으로 정한 바에 따라 외국의 제3자가 개인정보 보호를 위한 상당한 조치를 지속해서 실시하도록 하는 데 필요한 조치를 강구함과 동시에 정보 주체의 요구에 따라 해당 조치에 관한 정보를 제공하도록 하고 있다(제24조제3항).
3. 개인데이터 안전한 이용·활용 확대 및 촉진
개인식별부호를 포함한 개인정보에 대해서는 개인식별정보의 전부를 삭제하거나 복원할 수 없는 다른 정보로 대체하는 것에 의해, 그 이외의 개인정보에 대해서는 이름 등 특정 개인을 식별할 수 있는 정보를 삭제하거나 복원할 수 없는 다른 정보로 대체함으로써 다른 정보와 대조하지 않고는 특정 개인을 식별할 수 없도록 개인정보를 가공해서 얻은 개인에 관한 정보를 ‘가명가공정보’로 정의(제2조제9항제1,2호)했다. 가명가공정보는 가공 전의 개인정보로 복원하거나 특정 개인을 식별하지 않을 것을 조건으로 해 기업 내부에서는 본인의 동의 없이 분석·이용할 수 있게 했다(제35조의2, 제35조의3).
개정법은 가명가공정보의 개념을 도입하면서 개인정보인 가명가공정보(제35조의2제3,5,9항)와 개인정보가 아닌 가명가공정보(제35조의3제1,3항)로 나누고 있다. 다른 정보와 쉽게 대조할 수 있고 특정 개인을 식별할 수 있는 가명가공정보가 전자에 속하고(주로 개인정보취급자가 이용하는 가명가공정보), 다른 정보와 쉽게 대조할 수 없고 특정 개인을 식별할 수 없는 가명가공정보가 후자에 속한다(주로 수탁자, 공동이용자 등이 이용하는 가명가공정보).
개인정보인 가명가공정보를 취급할 때에는 이용목적을 특정해서 공표(통지할 의무는 없음, 제35조의2제4항)해야 하고, 법령에 의한 경우를 제외하고 본인의 동의를 받거나 공익상 필요가 있어도 특정된 목적 외로는 이용할 수 없으나(제35조의2제3항), 이용목적 변경 범위의 제한(제15조제2항)3, 유출 등의 보고·통지(제22조의2), 보유개인데이터에 관한 사항의 공표(제27조), 본인의 청구권(제28조 내지 제34조) 등에 관한 규정은 적용되지 않는다(제35조의2제9항).
개인정보가 아닌 가명가공정보는 개인정보가 아니므로 이용 목적 특정 및 통지·공표 의무, 목적외 이용금지 의무가 적용되지 않으며(제15조), 보유개인데이터에 관한 사항의 공표(제27조), 본인의 청구권(제28조 내지 제34조) 등에 관한 규정도 적용되지 않는다. 하지만, 개인정보가 아닌 가명가공정보에 대해서도 개인데이터에 대한 안전관리조치(제20조), 종업원에 대한 감독(제21조), 수탁업체의 감독(제22조), 불만처리의무(제35조) 등에 관한 규정은 그대로 준용된다(35종3제3항).
한편, 가명가공정보는 개인정보인 가명가공정보이든 개인정보가 아닌 가명가공정보이든 법령에 의한 경우가 아니면 국내 또는 국외의 제3자에 대한 제공이 금지된다(제35조의2제6항, 제35조의3제1항). 다만, 위탁이나 재위탁, 사업승계, 공동이용에 따른 제공은 가능하다(제35조의2제6항, 제35조의3제2항).4
Ⅲ. 국내 기업에 대한 시사점
개정 일본 개인정보보호법은 역외 적용을 명시적으로 규정하고 있다. 이에 따라 해외사업자에 대해서도 국내 사업자에 대한 경우와 동일하게 개인정보보호법의 모든 규정이 전면적으로 적용되며, 보고징수, 출입검사, 명령, 벌칙 등의 규정이 그대로 적용된다. 역외 적용에 대한 실효성 확보를 위해 공시송달, 송달촉탁 등의 절차 규정도 마련해 두고 있다. 또한, 개인정보 국외이전시 정보주체에 대한 고지의무를 강화하고(해당 국가 및 수령자의 개인정보보호제도, 강구하고 있는 개인정보호조치, 그밖에 정보주체가 알아야 할 위험 등 고지), 국외이전 이후에도 안전 조치가 유지되도록 강구할 의무를 정보 제공자에게 부과하고 있다.
일본의 규제 수준이 우리보다 강화된 부분이 적지 않고, 일본 개인정보보호법의 벌칙규정이 국내 기업에 직접적으로 적용되므로 주의가 필요하다. 특히 ‘가명가공정보’는 국외 제공(위탁 또는 공동이용에 따른 제공은 제외)이 금지되고, ‘행태정보등’의 국외 제공에 대해서도 정보 주체의 동의를 받아야 한다. 데이터베이스 등의 부정 제공에 따른 벌금형이 50만엔(약 5000만원)에서 1억엔(약 10억원) 이하로 대폭 인상되었다. 그밖에 개인정보의 부적정한 이용을 금지하고 있으므로 개인정보취급사업자는 해당 개인정보의 이용이 부적정한 것인지 여부를 항시 고려해야 한다.
개정법은 ‘개인관련정보’라는 새로운 개념을 도입해 쿠키정보 등을 이용한 트레킹 정보(온라인 행태정보 등)를 개인정보보호법의 규율 대상에 포함하고 있다. 미국, 유럽연합 등 다수 국가들이 개인정보와 익명정보 사이에 다소 식별성이 떨어지는 ‘회색지대’의 정보가 존재함을 인정하고 이들 정보에 대해서도 넓게 개인정보성을 인정해 정보 주체의 권리를 보호하면서도 산업적 활용을 위해 유연한 법 집행을 취하고 있는데 영향을 받은 것으로 보인다.
다만, 일본 개인정보보호법은 이와 같은 새로운 유형의 정보를 일률적으로 개인정보로 보지 않고 ‘개인관련정보’라는 새로운 명칭을 부여함으로써 일반 개인정보와 규율 수준을 달리하고 있다. 온라인광고업체, 마케팅사업자 등에게는 새로운 규제가 등장한 셈이지만, 일반 개인정보보다 완화된 규제를 받게 되고 규제 방법이 투명화됐다는 점에서 나쁘지만은 않다고 볼 수 있다. 어쨌든 규제가 없을 때는 행태정보 등을 자유롭게 수집할 수 있고 제공할 수도 있었으나, 개정법이 시행되면 앞으로 정보 주체의 동의가 요구됨에 따라 온라인 광고 시장에 큰 변화가 예상된다.
우리나라의 경우 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’(방송통신위원회/한국인터넷진흥원, 2017.2)이 발표되긴 하였으나, 법적 근거가 부재하고 개인정보보호법상 개인정보의 정의 규정과 모순되는 측면이 있어 법적 근거를 명시할 필요가 있다. 그밖에 기술발전으로 인해 쿠키정보 이외에도 ‘제공하는 자’에게는 개인 식별성이 없으나 ‘제공받는 자’에게는 개인 식별성이 존재하는 유형의 정보가 날로 증가하여 이에 대한 투명한 규제 기준이 필요하다.
이번 개정법에 따라 개인데이터 취급과 관련해 사업자들이 준비해야 할 사항이 명확해진 부분이 많기는 하지만, 향후 정령, 규칙, 가이드라인 등에 의해서 구체화돼야 할 부분이 많이 남아 있다. 위원회는 정령, 규칙, 가이드라인 등의 정비에 대한 구체적인 로드맵을 발표한 바 있고, 이에 따르면 2022년 봄쯤에 개정법의 전면 시행이 예상되나, 올해도 다시 한번 개인정보보호법의 일부 개정이 예정돼 있다. 후속 입법 과정에서도 개인데이터 이용 및 보호에 대한 일본 정부의 세심하고 조심스럽고 단계적인 접근 방법은 계속 유지될 것으로 보인다.
[참고문헌]
- 個人情報保護委員会, 「個人情報保護法, いわゆる3年ごと見直し制度改正大綱」, 令和元年 12月13日
- 個人情報保護委員会, 改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について
- 個人情報保護委員会, 改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実), 令和2年10月14日
- 個人情報保護委員会, 改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知), 令和2年10月30日
- 澤崎 敦一/村上 遼, 令和 2年 個人情報保護法改正, AMT Newsletter, 2020.7.
- 野村總合硏究所, 個人情報保護法改正における議論及びニューノーマルにおけるパソナルデータの活用のあリ方, 2020.7.2
- 水町 雅子, 個人情報保護法改正2020年のポイント解説, 2020.4
- 渡邉雅之, Q&A改正個人情報保護法(全面改訂版), 2020 年8月 21 日
- 保⽊野 昌稔, 個⼈情報保護法の 2020 年改正について