고객 정보를 구매하는 것이 합법인가? '일본 개인정보보호법'을 해설하다

2017년 5월 30일(헤이세이 29년)에 ‘개정 개인정보보호법(Japanese Personal Information Protection Law)’이 전면 시행되어, 개인정보를 취굽하는 모든 사업자는 ‘개인정보 취급 사업자’로서 개인정보보호법이 적용되게 되었습니다.

이는 명부구입 등을 통해 개인정보를 획득한 기업에게도 적용되므로, 고객정보구입을 검토하고 있는 담당자는 개인정보의 매매나 이용에 관한 절차, 의무, 금지 사항 등을 알아야 합니다.

따라서, 이번에는 고객정보의 구입에서 이용에 있어서, 개인정보보호법의 규정이나 주의사항 등에 대해 자세히 설명하겠습니다.

개인정보보호법이란 무슨 법인가?

개인정보보호법의 정식 명칭은 ‘개인정보의 보호에 관한 법률'(Japanese ‘個人情報の保護に関する法律’)입니다. 2003년(헤이세이 15년)에 제정되어 정보의 디지털화 등 시대변화에 맞춰 몇 차례 개정되어 현재에 이르렀습니다.

이 법은 개인정보의 사용을 제한하는 것이 아니라, ‘보호’와 ‘적절한 활용’이 주요 목적입니다.

개인정보보호법의 목적

• 개인의 권리와 이익을 보호하면서, 개인정보의 적절한 활용 규칙을 정하는 것
• 개인정보를 다루는 사업자의 의무와 처벌 등을 정하는 것

개인정보의 정의

개인정보보호법에서 정의하는 ‘개인정보’란, 생존하는 개인에 관한 것으로, 다음 중 어느 하나에 해당하는 정보입니다.

1. 정보에 포함된 성명, 생년월일 등의 기재로 특정 개인을 식별할 수 있는 것
2. 개인식별코드가 포함된 것

개인식별코드란

개인식별코드란, 특정 개인을 식별할 수 있는 문자, 번호, 기호 등 중에서, 다음 중 어느 하나에 해당하며, 정령·규칙으로 개별적으로 지정되는 것입니다.

• 몸의 일부 특징을 컴퓨터용으로 변환한 코드(DNA, 얼굴, 눈동자, 음성패턴, 걸음걸이, 손가락의 정맥, 지문·손바닥문 등)
• 서비스 이용이나 문서에서 대상자별로 할당되는 코드(여권 번호, 기본 연금 번호, 면허증 번호, 주민등록 코드, 마이넘버, 각종 보험증 등)

개인정보보호법에 대해 자세히 알고 싶으신 분은 아래에서 자세히 설명하고 있으니 이 글과 함께 참고하시기 바랍니다.

관련 글: 개인정보보호법과 개인정보란? 변호사가 설명합니다 [ja]

고객정보의 매매는 합법적인가?

국가기관이나 공공단체 등을 제외한 일반사업자는 개인정보보호법을 준수한다면 고객정보의 매매는 불법이 아닙니다.

개인정보를 제3자에게 제공하는 경우의 절차

사업자가 개인정보의 데이터베이스 등을 제3자에게 제공하는 경우에는, 다음의 절차가 의무화되어 있습니다.

원칙적으로 사전에 본인의 동의를 얻는다

다만, 아래의 경우는 예외가 됩니다.

① 법령에 근거한 경우
② 본인의 동의를 얻는 것이 어려우며, 사람의 생명·신체·재산의 보호, 또는 공중 보건·아동의 건전한 육성을 위해
③ 국가나 지방공공단체 등에 협력하는 경우

옵트아웃 절차에 의한 제3자에게의 제공

사업자가 제3자에게 제공하는 개인정보에 대해, 본인의 요구가 있으면 제3자에게의 제공을 중단하는 (옵트아웃) 경우에는, 다음의 절차에 의해 본인의 동의없이도 제3자에게의 제공이 가능해집니다.

아래의 ①~⑤를 사전에 본인에게 통지하거나, 또는 웹페이지 등에서 본인이 쉽게 알 수 있는 상태로 하고, 개인정보보호위원회에 신고한다.

① 제3자에게의 제공을 이용목적으로 하는 것.
② 제3자에게 제공되는 개인데이터의 항목
③ 제3자에게의 제공 방법
④ 본인의 요구에 응하여 개인 데이터의 제3자에게의 제공을 중단하는 것.
⑤ 본인의 요구를 받아들이는 방법

주의해야 할 점은, 인종, 신조, 사회적 신분, 병력, 전과 등 타인에게 알려지면 부당한 차별이나 편견 등을 받을 가능성이 있는 ‘주의해야 할 개인정보’에 대해서는, 본인의 사전 동의만이 제3자 제공의 원칙이 됩니다.

고객 정보를 구매할 때 지켜야 할 사항

법률로 정해진 의무

고객정보를 구매하면 구매자도 ‘개인정보 처리 사업자’가 되므로, 명부 업체 등 제3자로부터 개인정보를 받을 때 법률로 다음의 의무가 부과됩니다.

고객정보를 구매할 때, 다음의 2가지를 확인해야 합니다.

• 명부 업체의 이름, 주소, 대표자
• 명부 업체가 개인정보를 획득한 경위

고객정보를 구매할 때, 다음 항목을 기록하고 3년간 보관해야 합니다.

• 개인정보 제공을 받은 연월일
• 명부 업체의 이름, 주소, 대표자
• 명부 업체가 개인정보를 획득한 경위
• 해당 개인정보로 식별되는 본인의 성명 및 그 외 본인을 특정할 수 있는 사항
• 해당 개인정보의 항목
• 옵트아웃 절차에 의한 제3자 제공의 경우, 개인정보보호위원회에서 필요사항이 공표되어 있습니다.

※옵트아웃 절차의 신고는 개인정보보호위원회의 웹페이지 [ja]에서 확인할 수 있습니다.

고객정보획득에 관한 확인

고객정보를 구매할 때, 명부업체 등의 정보획득방법도 확인해야합니다. 고객정보를 합법적으로 구매하더라도 고객정보의 획득방법이 불법이라면, 위탁자가 손해배상청구를 받을 가능성이 있기 때문입니다.

명부업체 등이 고객정보를 거짓 등의 부정한 수단으로 획득하는 것은 물론 법률로 금지되어 있지만, 그 외에도 획득에 있어서는 다음의 의무가 있으므로 구매전에 반드시 확인하십시오.

• 사용 목적을 구체적으로 특정하고 있는가
• 특정한 사용 목적을 공표하거나 본인에게 통지하고 있는가
• 획득한 개인정보를 다른 목적으로 사용하는 경우에는 본인의 동의를 얻고 있는가
• 제3자로부터 개인정보의 제공을 받을 때는, 제공자의 성명·주소 등 외에도, 개인정보를 획득한 경위를 확인하고, 수령 연월일, 확인 사항 등을 기록하고 3년간 보관하고 있는가
• 본인의 동의가 반드시 필요한 ‘주의해야 할 개인정보’가 포함되어 있지 않은가

개인정보의 유출과 손해배상에 대해 자세히 알고 싶은 분은 아래에서 자세히 설명하고 있으니, 이 글과 함께 참고하십시오.

관련 기사: 기업의 개인정보 유출과 손해배상 위험 [ja]

고객정보를 이용할 때 지켜야 할 사항

이용목적범위를 초과하지 않는다

명부업자 등이 본인의 동의를 얻은 이용목적의 범위를 초과하여 고객정보를 이용하는 것은 법률로 금지되어 있으므로, 만약 다른 목적으로 이용하는 경우에는 본인의 재동의를 얻어야 합니다.

영업 전화에 사용하는 경우

전화를 걸어 권유하고 상품 등의 신청이나 매매계약의 체결을 목적으로 하는 ‘전화 권유판매’를 할 때에는 일본의 ‘특정 상거래법’에 따른 다음의 규제가 있습니다.

권유하기 전에 반드시 다음 사항을 소비자에게 전달해야 합니다

• 회사 이름
• 담당자(권유를 하는 자)의 성명
• 판매하려는 상품(권리, 역무)의 종류
• 계약 체결을 권유하는 목적임을 알리는 것

금지 행위

• 한 번 거절한 상대에게 재권유하는 것
• 사실과 다른 설명을 하는 것
• 고의로 사실을 전하지 않는 것
• 상대를 위협하거나 혼란스럽게 하는 것

이메일 발송에 사용하는 경우

광고 또는 선전을 위해 전자메일을 보내는 경우, 일본의 ‘특정 전자 메일법’에 따라, 원칙적으로 발송자에게, ①특정 전자메일의 발송을 희망하는 것, 또는 ②발송을 하는 것에 동의하는 것을 통지한 상대 외에는 발송을 금지하고 있습니다.

명부업자 등이 위의 ①·②의 통지를 얻었더라도, 명부의 구매자는 새로 ①·②의 통지를 얻어야 하므로 이메일 이용은 어렵다고 생각됩니다.

안전관리조치의무

고객정보를 획득하면, 개인정보취급 사업자로서 개인정보의 유출, 소실·파손 등의 예방에 필요한 조치를 취하는 의무가 부과됩니다.

또한, 실제로 개인정보를 취급하는 직원에 대해서는, 해당 개인정보의 안전관리를 도모하기위한 필요하고 적절한 감독을 실시해야 합니다.

요약

이번에는 고객정보의 구매 및 개인정보보호법과의 관계에 대해 다음의 4가지 항목으로 나누어 설명하였습니다.

1. 개인정보보호법이란 어떤 법인가?
2. 고객 정보의 매매는 합법인가?
3. 고객 정보를 구매할 때 지켜야 할 사항
4. 고객 정보를 이용할 때 지켜야 할 사항

그러나, 인터넷 등을 통해 해외의 소비자와 거래하는 경우에는, 국내법뿐만 아니라 각국의 법률도 확인해야 합니다.

따라서 실제로 고객정보의 구매·이용을 검토하고 있다면, 독자적으로 판단하는 것이 아니라 전문적인 지식과 경험이 풍부한 변호사에게 사전에 상담하고 조언을 받는 것을 추천합니다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근에는 개인정보보호법이 주목받고 있으며, 법률 검토의 필요성은 점점 더 증가하고 있습니다.