일본의 개인정보보호 법제

1. 개요

일본의 개인정보의 보호에 관한 법률(이하 ‘개인정보보호법’이라 한다.)은 크게 공공 및 민간에 공통으로 적용되는 부분과 민간사업자의 의무를 정한 부분으로 구성되어 있다. 이 법은 2003년 5월에 제정·공포되어 일부 시행되었고 2005년 4월부터 전면 시행되었다.

일본에서 개인정보보호법을 제정하게 된 배경은 정보화의 진전에 따라 발생하게 되는 컴퓨터 및 네트워크를 통한 개인정보 취급상의 문제를 해결하기 위함이다. 일본에서도 사업자에 의하여 고객정보 등이 대규모로 유출된 사건이나 개인정보를 매매하는 사건이 자주 발생하는 등 개인정보를 둘러싼 사건들이 사회문제화 되어 국민의 프라이버시가 위협을 받고 있었으며 또한 개인정보는 그 성격상 일단 잘못 취급된 후에는 개인에게 회복할 수 없는 피해를 끼칠 우려가 있기에, 이에 대하여 신중히 고려할 필요가 있었던 것이다.

위와 같은 사정으로 IT사회에 있어서 개인정보의 유용성을 배려하면서도 개인의 권리 및 이익을 보호하기 위한 목적으로 개인정보보호법을 제정하였지만, 동법의 전면 시행 후 약 7년 이상이 경과한 현재도 여전히 개인정보 유출 사건은 끊이지 않고 있으며 이에 더해 동법에 대한 과잉반응이 또 다른 문제들을 불러일으키면서 사회문제화 되고 있다.

이 글에서는 일본 개인정보보호법의 내용 및 시행 실태에 관하여 개관하고, 전기통신사업 분야에 있어서 개인정보 보호의 특징에 관해 소개하고자 한다.

2. 개인정보보호법의 개관

개인정보보호법은 총 6개의 장으로 구성되어 있다.

<그림> 개인정보보호에 관한 법체계
(일본소비자청 ‘알기 쉬운 개인정보보호의 형태’ 팜플렛을 참조하여 재구성)

7-4

 

먼저 제1장에서 제3장까지는 <그림>에서 피라미드의 정점에 해당하는 부분으로 공공 및 민간에 공통으로 적용되는 내용을 규정하고 있는데, 개인정보는 개인의 인격존중의 이념 하에 신중하게 다루어져야 하며 적정하게 취급되어야 한다는 동법의 기본 이념이 명기되어 있다(제3조).

제4장에서 제6장은 <그림>에서 피라미드의 좌측 아래에 해당하는 부분으로 민간부문에 대하여 규정하고 있는데 주로 모든 사업분야에서 공통적으로 필요한 최소한의 사업자의 의무에 대하여 규정하고 있으며, 각 사업분야를 지도·감독하는 주무부처는 각 사업분야에서 다루어지는 개인정보의 내용이나 성격, 이용방법 등을 고려하여 개별적으로 그 분야의 실정에 맞는 가이드라인을 마련하여 시행하고 있다.

한편, <그림>에서 피라미드의 우측 아래에 해당하는 공공부문에 대하여는 별도의 법령에 의하여 개인정보의 보호를 도모하고 있는데, 행정기관의 개인정보 취급에 관하여 규정하고 있는 「행정기관이 보유한 개인정보 보호에 관한 법률」, 독립행정법인이나 국립대학법인 등의 개인정보 취급에 관하여 규정하고 있는 「독립행정법인 등이 보유한 개인정보 보호에 관한 법률」및 각 지방공공단체에 의해 제정된 「개인정보보호 조례」가 이에 해당한다.

3. 개인정보보호법에서의 개인정보

개인정보보호법에서 그 보호의 대상으로 하는 「개인정보」란 생존하는 개인에 관한 정보로서 특정한 개인을 식별할 수 있는 정보(다른 정보와 쉽게 대조하여 특정한 개인을 식별할 수 있는 정보를 포함한다)를 의미한다(제2조 제1항). 따라서, 사망한 사람에 관한 정보나 법인에 관련된 정보(예를 들면, 기업명이나 기업의 자본금과 같은 정보)는 기본적으로 개인정보에 해당하지 아니하며, 반면 영상이나 음성도 특정 개인이 식별될 수 있는 한 개인정보에 해당한다. 한편, 개인정보를 데이터베이스화 한 경우 그 데이터베이스를 구성하는 개인정보를 「개인데이터」라 한다(제2조 제4항).

4. 개인정보취급사업자의 범위

개인정보보호법 제4장부터 제6장(이하 ‘의무규정’이라 한다.)에서는 민간부문에 대하여 규정하고 있는데, 일정한 민간사업자에 대하여 전 사업분야에 공통적으로 적용될 최소한의 의무를 규정하고 있다.

의무규정의 대상이 되는 일정 규모의 민간사업자를 「개인정보취급사업자」라고 하는바, 5,000명을 초과하는 개인정보를 종이매체 또는 전자매체를 막론하고 데이터베이스화 하여 사업활동을 하고 있는 자가 이에 해당한다. 단, 사적인 목적으로 연하장을 보내기 위해 개인PC로 명부를 작성·관리하는 경우 등은 의무규정의 대상에 해당되지 아니한다.

한편, 일본헌법에서 보장하고 있는 표현의 자유, 학문의 자유, 신앙의 자유, 정치활동의 자유 등과의 관계조정을 위해 개인정보취급사업자라 하더라도, ① 보도기관의 보도활동 ② 저술활동을 업으로 삼는 자의 저술활동 ③ 학술연구기관 등의 학술연구활동 ④ 종교단체의 종교활동 ⑤ 정치단체의 정치활동 등 다섯 부문 주체의 활동을 목적으로 한 개인정보의 취급에 대하여는 위 의무규정이 적용되지 아니한다(제50조, 제35조 참조).

5. 개인정보취급사업자가 준수해야 할 의무

(1) 개인정보 이용 목적의 특정(제15조) 및 목적 외 이용의 금지(제16조)

개인정보 취급시에는 이용 목적을 명시하여야 하며, 또한 특정 이용 목적의 달성에 필요한 범위를 넘어서 개인정보를 취급해서는 안된다.

(2) 적정한 취득(제17조), 취득에 있어서의 이용목적의 통지 등(제18조)

거짓이나 기타 부정한 수단으로 개인정보를 취득해서는 안되며, 개인정보를 취득했을 때에는 본인에게 신속하게 이용 목적을 통지 또는 공표하여야 한다. 또한, 본인에게서 직접 서면으로 취득할 경우에는 미리 본인에게 이용 목적을 명시하여야 한다.

(3) 개인데이터 내용의 정확성의 확보(제19조)

이용 목적의 범위 내에서 개인데이터를 정확하고도 최신의 내용으로 유지하기 위해 노력해야 한다. 구체적으로는 개인데이터 입력시 대조·확인, 기록 사항의 갱신, 보존 기간의 설정 등의 조치를 취하여야 한다.

(4) 안전관리 조치(제20조)

개인데이터의 누설이나 손실을 막기 위해 적절한 안전관리 조치를 강구해야 한다. 구체적인 조치의 예로는 보안 확보를 위한 개인정보보호관리자의 임명, 내부관계자의 접근 관리, 시스템·기기 등의 정비나 사업자 내부의 책임체제의 확보 등이 있다.

(5) 종업원 및 위탁 상대에 대한 감독(제21조, 제22조)

개인데이터를 안전하게 관리하기 위해 종업원에 대하여 적절한 감독을 해야 하며 또한 개인데이터의 취급을 위탁할 경우에는 위탁받은 자에 대해 적절한 감독을 행해야 한다. 구체적인 조치의 예로는 철저한 개인정보보호 의식 증진을 위한 교육·연수 실시, 개인정보보호 조치에 관한 위탁계약서 명기, 재위탁시의 감독 책임 명확화 등이 있다.

(6) 제3자 제공의 제한(제23조)

미리 본인의 동의를 얻지 않고 본인 이외의 제3자에게 개인데이터를 제공해서는 안된다. 단, 다음의 경우에는 본인의 동의 없이 제3자 제공이 가능하다.

①법령에 의한 경우 : 수사기관으로부터 형사소송법에 근거한 조회가 있었을 경우 등

②사람의 생명·신체 또는 재산의 보호를 위해 필요한 경우로서 본인의 동의를 얻는 것이 곤란한 경우 : 대규모 재해나 사고 등의 긴급시 환자의 가족 등으로부터 의료기관에 환자의 정보제공 의뢰가 있는 경우 등

③공중위생의 향상 또는 아동의 건전한 육성을 위하여 필요한 경우 : 지역보건 사업을 위하여 지방공공단체로부터 의료기관에 암진료 정보 제공 의뢰가 있는 경우 등

④국가가 법령이 정하는 사무를 수행하는 것에 협력할 필요가 있는 경우 : 세무서 등으로부터 사업자에 대해 고객정보 제공 의뢰가 있었을 경우, 위탁의 경우, 합병 등의 경우 및 특정한 사람과의 공동이용의 경우로서 일정 사항을 본인에게 통지한 경우에는 그 상대방은 제3자에 해당하지 않는다.

(7) 이용목적의 통지 및 개인데이터의 개시, 정정, 이용정지 등(제24조 내지 제27조)

보유 개인데이터의 이용목적, 공개 등에 필요한 절차, 불만사항 접수처 등에 대해서 본인이 알 수 있도록 해야 하며, 본인이 요구하는 경우에는 보유한 개인데이터를 공개하지 않으면 안된다. 또한 보유 개인데이터에 잘못된 내용이 있는 경우에는 본인의 요구에 따라 이용목적의 달성에 필요한 범위 내에서 조사 및 정정 등을 하여야 한다.

(8) 불만사항의 처리(제31조)

본인으로부터 불만사항이 있을 경우에는 신속하고 적절한 처리를 위해 노력해야 하며, 이를 위해 불만사항 접수 창구의 설치 등 체제의 정비에 노력해야 한다.

6. 사업분야별 가이드라인 : 전기통신사업 분야

개인정보보호법과 관련한 사업분야별 가이드라인으로는 의료, 금융 등 총 24개 분야에서 37개의 가이드라인이 존재하는바, 이 글에서는 통신비밀을 포함한 전기통신사업 분야에 있어서의 개인정보보호에 관해 개관한다.

전기통신사업과 관련하여서는 일본헌법 제21조 제2항의 ‘통신의 비밀은 침범할 수 없다’는 규정에 의거하여 전기통신사업법(이하,‘사업법’이라 한다.)이 제정되어 있는데 동법에서는 전기통신사업자가 취급하는 통신의 비밀을 엄격하게 보호하고 있다.

전기통신사업 분야의 가이드라인은 개인정보보호법 제8조에 근거하는 지침의 성격과 사업법에 근거하는 통신의 비밀보호에 관한 구체적 지침의 성격을 병행하고 있는바, 제1장(제1조∼제3조)에서는 가이드라인의 적용 범위 등을, 제2장(제4조∼제22조)에서는 개인정보의 취급에 관한 공통 원칙을, 제3장 (제23조∼제29조)에서는 통신내역 등 전기통신사업 분야에 특유한 정보의 취급에 관해 각각 규정하고 있다.

아래에서는 사업법 규정과의 차이점을 중심으로 가이드라인 규정에 대해서 개관하고자 한다.

(1) 적용 범위(제1조∼제3조)

가이드라인의 적용 대상은 기본적으로 사업법의 적용 대상과 같으나 전기통신사업자가 다루는 개인정보를 폭넓게 보호한다는 취지에서 사업법의 적용대상보다 확장되어 있다.

첫째, 사업법에서는 「전기통신사업자」란 전기통신사업 경영에 관해 등록 혹은 신고를 한 사람을 말하나(사업법 제2조 제5호), 가이드라인에서는 「전기통신사업을 행하는 자」로 확장되었다(제2조 제1호). 즉, 신고 등을 필요로 하지 않는 사업을 영위하는 사람과 영리를 목적으로 하지 않고 전기통신사업을 하는 사람도 가이드라인의 대상이다.

둘째, 가이드라인은 사업법의 대상인 전기통신설비를 이용해 타인의 통신을 매개하고 기타 전기통신설비를 제공하는 것뿐만 아니라 부수서비스를 포함한 「전기통신서비스」가 규율의 대상이다 (제2조 제2호).

셋째, 사업법에서 「이용자」란 전기통신사업자와의 사이에 전기통신역무를 제공받는 계약을 체결한 자를 의미하나(사업법 제18조 제3항), 가이드라인에서는 더 폭넓게 「전기통신서비스이용자」로 규정되어 있다(제2조 제3호). 한편, 가이드라인에서는 사업법에서의 「이용자」와 구별하여 이를 「가입자」라고 한다.

(2) 개인정보의 취급에 관한 공통 원칙(제4조∼제22조)

가이드라인의 제4조에서 제22조는 전기통신사업자가 개인정보를 취급함에 있어서의 공통원칙에 대해 규정하고 있다. 공통원칙의 내용은, 기본적으로 개인정보보호법 제4장 제1절(제15조∼제36조)에서 규정한 개인정보취급사업자의 의무를 답습한 형태이지만, 전기통신사업이 고도의 공공적인 성격을 가진다는 점을 염두에 두어 몇 가지 사항에서 그 내용을 확장하고 있다.

첫쨰, 개인정보보호법 제4장 제1절이 정한 개인정보취급사업자의 의무는 취득 단계에 대해서는 개인정보를 대상으로 하고 있지만, 그 후의 단계에 대해서는 개인정보 데이터베이스를 구성하는 개인데이터를 대상으로 하고 있다. 그러나 가이드라인에서는 취득 후 단계에 대해서도 개인정보를 대상으로 함으로써 개인정보보호법에 비해 그 규율의 대상이 확장되었다.

둘째, 가이드라인은 제4조 제1항에서 전기통신사업자가 개인정보를 취득할 수 있는 경우를 전기통신서비스 제공을 위하여 필요한 때로 한정함으로써 불필요한 개인정보의 취득 자체를 금지하고 있다. 또한 동조 제2항에서는 소위 민감(sensitive) 정보(사상, 신조 및 종교에 관한 정보나 인종 등 사회적 차별의 원인이 될 우려가 있는 정보)의 취득을 원칙으로 금지하고 있는바, 이는 개인정보보호법에는 없는 가이드라인의 독자적 규정이다.

셋째, 가이드라인은 제10조에서 전기통신사업자가 개인정보를 취급할 때 원칙적으로 이용 목적에 필요한 범위내에서 보존기간을 정하고 해당 보존 기간의 경과 후 또는 해당 이용 목적을 달성한 후에는 지체없이 해당 개인정보를 소거할 것을 명시하고 있는데, 이 역시 개인정보보호법에는 없는 가이드라인 독자 규정이다.

넷째, 가이드라인 제11조 제2항에서 전기통신사업자가 안전관리 조치를 강구할 때에「정보통신 네트워크 안전·신뢰성 기준(1989년 우정성고시 제73호)」등의 기준을 활용해야 할 것을 명기하고 있는 점도 가이드라인의 특색이다.

7. 맺음말 

일본에서 사업자들의 정보누설 방지를 위한 대책이 진보한 점이나 누설 사건의 당사자가 문제를 신속히 발표하는 점 등은 개인정보보호법이 효율적으로 기능하고 있다는 측면으로 평가할 만하다.

그러나 법률을 위반할 지도 모른다는 생각에서 개인정보의 제공을 일체 행하지 않는다든지 충분한 검토 없이 개인정보보호법을 이유로 개인정보를 기업활동에 활용하지 않는 행태가 일반화되고 있어 법조문의 형식적 이해로 인한 과잉반응이 문제점으로 많은 지적을 받고 있다. 예를 들면, 사건 사고시 병원에 환자의 가족이 환자에 대하여 물어도 대답해 주지 않지 않거나, 반상회나 학교현장에서 명부, 사진첩, 전화번호부, 졸업앨범 등을 더 이상 만들지 않고 있는바, 개인정보보호법이 일본사회 및 문화에 끼친 영향이 대단히 크다고 할 것이다.

>>참고문헌

개인정보의 보호에 관한 법률; 소비자청 (구)국민생활국웹페이지 http://www.caa.go.jp/seikatsu/kojin/houritsu/index.html
개인정보의 보호에 관한 기본방침(2009. 9. 1); 소비자청 (구)국민생활국웹페이지 http://www.caa.go.jp/seikatsu/kojin/kakugi2009.pdf
개인정보보호에 관한 법체계 이미지(2009. 9. 1); 소비자청 (구)국민생활국웹페이지 http://www.caa.go.jp/seikatsu/kojin/houtaikei.pdf

저자 : 김상미

나고야대학교 교수