개인정보보호법과 프라이버시 침해의 관계
개인정보로 보호되는 정보에는 성명, 주소 등의 전형적인 개인정보가 포함됩니다. 예를 들어, 대학 주최의 강연에 참가한 학생의 학번, 주소, 성명, 전화번호는 개인정보로서 법적 보호의 대상이 되며, 학생의 동의 없이 이를 경찰에 공개한 대학의 행위는 불법행위를 구성한다는 판례가 있습니다(일본 최고법원 2003년 9월 12일 판결).
개인정보 보호에 대한 권리는 일본 개인정보보호법(Japanese Personal Information Protection Law)에서 명시적으로 규정하고 있지 않지만, 개인정보가 개인정보로서 보호되는 것으로 간주된다면, 개인정보 침해라는 불법행위와 일본 개인정보보호법(Japanese Personal Information Protection Law)과의 관계는 어떻게 생각해야 할까요?
https://monolith.law/명성/프라이버시 침해[ja]
개인정보보호법 위반과 불법행위의 관계
일반적으로 개인정보보호법 위반과 불법행위의 관계에 대해 ‘준별설’이라는 견해가 존재합니다. 개인정보 취급 사업자의 개인정보 취급이 개인정보보호법에 형식적으로 위반되더라도, 개인정보보호위원회에 의한 행정적 조치가 취해지는 경우라 해도, 불법행위 등을 근거로 한 손해배상 등의 청구가 인정되는 것은 아닙니다. 반대로, 개인정보의 제3자 제공과 같은, 개인정보보호법에 형식적으로 위반되지 않는 행위가 프라이버시 침해의 불법행위로 간주되는 경우도 있습니다.
개인정보보호법 위반으로 인한 불법행위 인정 시
자동차 사고로 병원에서 진료를 받고, 처방받은 약을 피고인이 운영하는 약국에서 구입한 경우, 원고의 생년월일, 진료받은 의료기관 이름, 처방받은 약품명 등이 기재된 진료비 명세서를 피고인이 원고의 동의 없이 자동차 손해배상책임보험의 보험사에 제출했습니다. 이에 대해 원고가 불법행위에 기반한 손해배상금 지급을 요구한 사례가 있습니다.
법원은 먼저, 피고인이 약국을 운영하는 회사이며, 개인정보보호법상의 개인정보 처리업자라고 판단한 후, “보험사로부터 피해자에게 금전을 원활하게 지급하기 위해, 약국에서 보험사의 문의에 답하고, 진료 정보를 제공하는 것은 일반적으로 이루어지는 업무이다. 그렇다면, 원고는 본 사건의 진료비 명세서에 기재된 정보를 본 사건의 보험사에 공개하는 것에 대해, 묵시적으로 동의했다고 볼 수 있다”고 주장하는 피고인에 대해, 개인정보보호법 제23조 1항 ‘개인정보 처리업자는, 다음에 열거된 경우를 제외하고는, 미리 본인의 동의를 얻지 않고, 개인 데이터를 제3자에게 제공해서는 안 된다’를 인용하여,
개인정보보호법상의 개인정보 처리업자는, 법률에 근거한 경우 등의 예외를 제외하고, 미리 본인의 동의를 얻지 않고, 개인 데이터를 제3자에게 제공해서는 안 되는 곳(동법 23조 1항), 원고에게 처방된 약품명 등이 기재된 본 사건의 진료비 명세서를 피고인이 본 사건의 보험사에 제출하는 것에 대해, 원고가 동의했다고 인정할 충분한 증거가 없다.
도쿄지방법원 2013년 1월 24일 판결
그렇다면, 피고인의 행위는, 개인정보보호법에 반하는 불법적인 것이므로, 피고인은, 원고에 대해, 불법행위에 기반한 손해배상 의무를 부담해야 한다고 인정된다.
라고 하였습니다. ‘프라이버시 침해’라고 명시적으로 언급되지 않았지만, 개인정보보호법 위반이 불법행위로 인정된 판례로 간주할 수 있을 것입니다.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
개인정보보호법 위반이 프라이버시 침해가 되지 않는 경우
사무실에서 복합기를 리스 계약으로 사용하던 원고가, 피고 크레디 세종이 원고의 동의 없이 원고의 개인정보인 복합기의 리스료와 전화기의 리스료 정보를 피고 리코에 제공하였고, 피고 리코는 해당 정보를 피고 크레디 세종에 제공하여 이용하였다고 주장하며, 두 회사의 공동 불법행위에 의한 손해배상 청구권에 기초하여, 피고들에게 손해배상금의 지급을 청구한 사례가 있습니다.
리코의 직원 A가 사무실에 세일즈를 위해 방문하였고, 리스 중인 복합기에 불만이 있었기 때문에, 자사의 복합기를 추천하였습니다. 그 때, 원고에게 리스료를 물어보니 매월 12,000엔이라고 하였기에, A는 확인을 위해 복합기에 부착된 스티커에 기재된 계약 번호를 메모하고, 이를 기반으로 크레디 세종에 전화하여, 원고가 설명한 12,000엔이 복합기의 리스료가 아니라, 원고가 마찬가지로 크레디 세종으로부터 리스하고 있는 전화기의 리스료이며, 복합기의 월 리스료는 14,000엔임을 알게 되었습니다.
A는 이 정보를 바탕으로, 복합기를 월 12,800엔의 리스료로 제안하였고, 현재 상황보다 더 비싸질 것이라는 원고의 지적에 대해, 크레디 세종에 전화하여 복합기의 월 리스료가 14,000엔임을 확인하였다고 알렸습니다.
원고는, 크레디 세종이 원고와 그 회사의 계약 내용을 리코에 유출하였다며 격분하였고, 두 회사에 사과를 요구하였으며, 성의를 보이지 않는다고 판단하여, 손해배상금의 지급을 청구하였습니다.
개인정보보호법과 프라이버시
법원은, 개인정보보호법 제16조 1항 ‘개인정보 처리 사업자는, 사전에 본인의 동의를 얻지 않고, 전조의 규정에 의해 특정된 이용 목적의 달성에 필요한 범위를 초과하여, 개인정보를 처리해서는 안 된다’를 인용하여,
피고 크레디 세종이 원고 사무실의 복합기 계약에 관한 정보를 피고 리코에 제공한 행위, 개인정보보호법에서 말하는 개인정보 처리 사업자가, 특정된 이용 목적의 달성에 필요한 범위를 초과하여 개인정보를 처리한 행위로서, 동법 제16조 1항을 위반하는 것이며, 피고 리코는 피고 크레디 세종의 불법행위의 공범자라고 볼 수 있다.
도쿄지방법원 2015년 10월 28일 판결
이라고 하면서, 계약 갱신 제안을 요청한 시점에서, 복합기의 계약 갱신을 위해 이루어진 본 정보 제공 등을 예상하고, 그 목적에 필요한 한도 내에서, 개인정보인 복합기의 계약 내용 정보가 공개될 것에 동의하였다고 인정하였습니다. 또한, 복합기 외의 전화기 정보가 제공된 점에 대해서는, 정보 제공에 동의하였다고는 인정할 수 없지만,
전화기의 월 리스료에 대한 정보 제공이 형식적으로 개인정보보호법 제16조 1항에 위반한다 하더라도, 그 자체가 불법행위로서의 위법성을 갖추고 있다고 할 수는 없다.
동일
라고 하여, 원고의 청구를 기각하였습니다. 개인정보보호법을 위반하더라도, 프라이버시 침해로서 불법행위에 해당한다고는 한정되지 않는 판례입니다.
개인정보보호법 위반은 아니지만 프라이버시 침해가 될 수 있는 경우
인터넷의 익명 게시판에 사용하는 휴대폰 번호를 게시하였다는 이유로, 원고가 중계 프로바이더에게 발신자 정보의 공개를 요구한 사례가 있습니다.
‘Bakusai.com’의 ‘Kanto Edition’ 및 ‘○○시 잡담’ 카테고리 내의 스레드에 원고가 사용하는 휴대폰 번호가 6회 반복하여 게시된 것에 대해, 원고는 프라이버시 침해에 대한 손해배상 청구 절차를 진행하려고 정보 공개를 요구하였습니다. 그러나 중계 프로바이더는 “해당 게시물에서 숫자가 원고의 휴대폰 번호임이 명시되어 있지 않으며, 일반적인 이용자는 원고가 사용하는 휴대폰 번호임을 쉽게 인식할 수 없다”며, “휴대폰 번호는 개인정보보호법 제2조 제1항의 개인정보에 해당하지 않으므로, 프라이버시 침해가 명백하다고 할 수 없다”고 주장하며 정보 공개를 거부하였습니다.
휴대폰 번호와 개인정보
법원은 “여러분들은 정말로 코우야마를 싫어하시는군요”, “코우야마는 정말로 싫습니다”, “음란한 코우야마 DQN”, “무슨 일이든 가능한 회사…파워 하라스먼트, 성희롱 등이 일상적이며, 블루독이라는 개의 코우야마”, “머리는 바보인데 똑똑한 척하는…바보 여자” 등 원고의 성명 일부를 표시하여 원고를 비방하는 내용의 게시물이 상당수 게시되었으며, 근무처와 함께 실명의 일부가 공개되었다고 지적하였습니다.
해당 게시물은 “090”이라는 숫자로 시작하며, 하이픈을 의미하는 장음 기호로 구분되어 4자리 이후의 번호가 기재되어 있고, 이 숫자가 여성의 번호임을 시사하는 코멘트가 첨부되어 있었던 것에 더해, 해당 게시물에 이어서, 해당 게시물의 숫자가 휴대폰 번호임을 이해한 게시물이 실제로 게시되었으므로, 일반 이용자는 해당 게시물을 여성이 사용하는 휴대폰 번호를 기재한 것으로 이해할 수 있다.
도쿄지방법원 2015년 11월 6일 판결
따라서, “해당 게시물로 인해, 원고의 휴대폰에 비방이나 장난 목적 등의 전화가 잇따르거나, 그 전화번호가 악용될 가능성이 생기며, 결국에는 원고의 사회생활에 지장을 초래할 가능성도 부인할 수 없다”고 판단하여, 발신자의 정보 공개를 명령하였습니다.
그리고 개인정보보호법에 대해서는,
해당 법은 해당 법 제2조 제1항에서 정의하는 개인정보에 해당하지 않는 사생활에 관한 사실이 무분별하게 공개되지 않는 이익이 법적 이익으로서 보호를 받는 것을 부인하는 취지의 것이 아니므로, 피고의 주장은 받아들일 수 없다.
동일
라고 판단하였으며, 해당 게시물이 원고의 프라이버시 침해를 초래한다는 원고의 주장을 인정하였습니다. 휴대폰 번호는 그 자체로는 개인정보로 간주되지 않지만, 프라이버시로서 보호받아야 한다는 판례입니다.
https://monolith.law/reputation/provider-liability-limitation-law[ja]
개인정보보호법 위반 및 프라이버시 침해가 인정된 경우
본 사무소의 다른 기사에서도 소개한 바와 같이, 병원에서 근무하는 간호사가 대학병원에서의 혈액 검사 결과 HIV 양성 판정을 받았고, 이를 대학병원 소속이며 해당 병원의 비정규직 의사로부터 알게 된 근무지 병원의 의사 및 직원들이 본인의 동의 없이 다른 직원들에게 전달하여 정보를 공유한 것은 프라이버시 침해의 불법행위라고 주장하여 손해배상을 청구한 사례가 있습니다.
https://monolith.law/reputation/disease-information-and-privacy-infringement[ja]
법원은, ‘개인정보보호법 제23조 1항’에 따르면, “개인정보를 취급하는 사업자는, 다음에 제시된 경우를 제외하고는, 미리 본인의 동의를 얻지 않고 개인 데이터를 제3자에게 제공해서는 안 된다”는 점에 대해, 이 사례의 정보 공유는 근무지 병원의 비정규직 의사로부터 병원 내부의 의사, 간호사 및 사무장에게 정보가 제공된 것이며, 같은 사업자 내에서의 정보 제공이므로 제3자에 대한 정보 제공에 해당하지 않는다고 판단하였습니다.
한편, 제16조 1항에 대해서는,
개인정보를 취급하는 사업자는, 개인정보를 취급할 때, 그 사용 목적을 가능한 한 구체적으로 명시해야 하며(제15조 1항), 미리 본인의 동의를 얻지 않고 이 구체적으로 명시된 사용 목적의 달성에 필요한 범위를 초과하여 개인정보를 취급해서는 안 된다(제16조 1항).
후쿠오카 지방법원 구루메 지원 2014년 8월 8일 판결
그리고, 피고인의 개인정보보호 규정에 따르면, 개인정보의 사용은 원칙적으로 수집 목적의 범위 내에서, 업무 수행에 필요한 한도 내에서 이루어져야 하며(제9조 1항), 또한, 개인정보는 일반적인 업무에서 예상되는 목적(별표) 및 일반적인 업무 외의 목적으로 명시된 경우에 사용하며(제10조), 수집 목적의 범위를 초과하여 개인정보의 사용을 하는 경우에는 개인정보 관리 책임자에게 신고하고 환자 또는 환자의 대리인의 동의를 얻어야 한다(제11조 1항). 또한, 위의 규정에 따르면, 환자·이용자·관계자로부터 개인정보를 획득하는 목적은, 이들에 대한 의료·요양 제공, 의료보험 업무, 입·퇴원 등 병동 관리 등, 교육 연구 등에 필요한 사항 등을 사용하는 것을 목적으로 한다(제7조 1항).
라고 판단하였고, 간호사장이 간호부장 및 사무장에게 해당 정보를 전달한 것은 병원 내 감염을 예방하고 원고의 근무에 관한 방침을 논의하기 위한 목적이었다고 판단하였습니다.
개인정보의 목적 외 사용
한편, 법원은,
해당 정보가 본인인 원고로부터 획득된 것은 원고가 환자로서 해당 병원을 이용한 결과이며, 고용 관리나 사업 운영을 목적으로 한 것이 아니므로, 그 사용 목적은 위의 규정에 따른 환자 등에 대한 의료·요양 제공 등으로 제한되어야 한다. 공개된 사용 목적이라면, 그 획득 경위에 상관없이 개인정보를 사용할 수 있다는 피고의 주장은, 개인정보의 본인이 예상하지 못한 목적으로 이를 사용하게 될 수 있으므로, 부적절하다
동일
라고 판단하였고, 제16조 1항이 금지하는 목적 외 사용에 해당한다고 판단하였습니다. 동시에, 해당 정보 공유가 이루어진 당시에는 HIV 감염자에 대한 편견과 차별이 여전히 존재하였으며, HIV 감염증에 걸렸다는 정보는 다른 사람에게 알리고 싶지 않은 개인정보라고 할 수 있습니다. 따라서, 해당 정보를 본인의 동의를 얻지 않고 법에 위반하여 취급한 것으로 인해, 프라이버시 침해의 불법행위가 성립한다고 판단하였습니다.
또한, “해당 매뉴얼은 엄격한 정보 관리를 위해 정보를 공유하는 사람을 최소한으로 제한하고 있으며, 이 사례에서는 그보다 더 제한된 6명만이 해당 정보를 공유하였다”고 피고가 주장하였지만, 판결문에서는 “해당 정보의 공유자 수가 불법성의 정도에 영향을 미치는 것은 사실이지만, 하나의 개인정보가 목적 외로 사용되는 것은 프라이버시 침해로서 불법이라고 할 수 있다”고 판단하였습니다. 이는 개인정보보호법에 대한 올바른 이해라고 할 수 있습니다.
요약
개인정보 처리 사업자의 ‘사업’에는 회사나 상점의 경영 등의 영리 목적의 사업뿐만 아니라, 병원이나 학교, 또한 자원봉사, 환경보호 등의 비영리 사업도 포함됩니다. 반복적으로 어떠한 사업을 수행하고 있으며, 사업 지속에 있어서 개인정보를 획득하는 사업자에게는 ‘일본 개인정보보호법’이 적용됩니다. 일본 개인정보보호법을 정확하게 이해하는 것이 필요합니다. 개인정보, 프라이버시 침해에 대한 문제가 발생했을 수도 있다는 경우에는, 경험이 풍부한 변호사에게 상담하고 조언을 얻는 것이 좋을 것입니다.
