레이와 4년(2022년) 개정 개인정보보호법 '가명처리정보' 신설 등으로 데이터 활용 촉진

개인정보 처리에 관한 법률은 자주 개정되며, 그 시대에 맞게 변화해갑니다. 개인정보 처리 사업자는 이러한 개정 사항을 신속하게 파악하고, 회사 내부 체계를 구축하는 것이 필요합니다.

개인의 권리 강화, 해외 포함 제3자 제공에 관한 변경, ‘가명 처리 정보’ 및 ‘개인 관련 정보’의 신설 등, 2022년(서기 2022년)의 ‘일본 개인정보 보호법’ 개정에서 변경되는 사항은 다양합니다. 사업자는 어떤 개정이 있었는지, 어떤 대응을 해야 하는지를 정확히 이해해야 합니다.

그래서, 2022년(레이와 4년, 서기 2022년) 4월 1일에 신설 개정된 ‘일본 개인정보 보호법’과 개인정보 처리 사업자의 실무 대응에 대한 체크 포인트를 설명하겠습니다.

개인정보보호법이란?

‘개인정보보호법’이란, 정식 명칭으로는 ‘개인정보의 보호에 관한 법률’이라고 합니다. ‘개인정보보호법’은 개인정보의 유용성과 개인의 권리 이익 보호의 균형을 맞추는 것을 목표로 한, 개인정보의 적절한 처리(취득, 이용, 보관, 관리, 제공, 공개, 중단, 삭제 방법의 규제)를 정하는 법률입니다.

‘개인정보보호위원회’를 관할로 하여, 개인정보 데이터베이스 등을 다루는 모든 행정기관과 민간 사업자에 대한 준수해야 할 의무와 위반했을 경우의 벌칙 규정이 정해져 있습니다.

개인정보보호법 개정의 경과

개인정보보호법은 헤이세이 15년(2003년) 5월 23일에 제정되었으며(법률 헤이세이 15년 5월 30일 법률 제57호), 일반 기업에 직접적으로 관련되며 벌칙을 포함한 제4장부터 제6장까지의 규정은 즉시 시행되었고, 헤이세이 17년(2005년) 4월 1일에 전면 시행되었습니다.

헤이세이 27년(2015년)의 개정에서는, 사회 전체의 디지털화에 대응한 ‘개인정보의 보호’와 ‘개인 데이터 활용’의 양립, ‘국제적 제도와의 조화’가 요구되는 상황에서, 3년마다 재검토하는 규정도 포함되었습니다.

헤이세이 29년(2017년) 5월에 시행된 개정법에서는, 개인 데이터에 ‘개인 식별 코드’, ‘주의해야 할 개인정보’, ‘익명 처리 정보’가 신설되었을 뿐만 아니라, 추적 가능성(트레이서빌리티) 제도의 신설, 개인 데이터 삭제 노력 의무의 신설, 해외에 있는 제3자 제공의 제한의 신설, 개인정보보호위원회의 신설이 이루어졌고, 주무 장관에 의한 감독에서 개인정보보호위원회에 의한 일원화된 감독 체제로 변경되었습니다.

그리고, 레이와 4년(2022년) 4월 1일, 개정 개인정보보호법이 시행되었습니다.

이는 레이와 2년(2020년) 6월 12일에 공포된 것으로, 이전의 개인정보보호 관련 3법(개인정보보호법, 행정기관 개인정보보호법, 독립행정법인 등 개인정보보호법)을 통합·일원화하는 관점에서, ‘개인정보보호법제’의 가장 큰 개정이 되었습니다.

개인정보의 정의 등에 대한 공민의 통일은 물론, 글로벌한 AI·빅데이터 시대에 대응하고 개인의 권리 이익의 보호 강화의 필요성의 배경에서, 다양한 변경이 포함된 신설 개정법이 되었습니다.

구체적인 개정점으로는, 개인 데이터에 ‘가명 처리 정보’와 ‘개인 관련 정보’가 신설되었고, 해외를 포함한 보유 개인 데이터의 취급에 관한 규제가 강화되어 엄벌화되었습니다. 또한 유출 등(유출·소실·파손)이 있었을 경우에는, 개인정보보호위원회에의 보고와 본인에게의 통지가 의무화되었습니다.

즉, 일본 내에 있는 자에 관한 개인정보 등을 취급하는 외국 사업자도 행정상의 보고 징수·명령의 대상이 되며, 벌칙도 적용되게 되었습니다. 벌칙에 대해서는, 이 글에서 자세히 설명하고 있습니다.

관련 글: 레이와 4년(2022년) 개정 개인정보보호법 ‘벌칙’에 대해 설명[ja]

또한 2023년(레이와 5년) 4월 1일에는, ‘지방 공공단체별 개인정보보호 조례의 규정이나 운용’, ‘의료 분야에서의 법률상의 규칙’, ‘학술 분야에서의 예외 규정’의 차이로 인한 보호 수준의 불균형·불일치를 바로잡기 위해, 규제의 통일을 목표로 ‘개인정보보호위원회’가 일원화된 제도를 담당하는 개정법이 전면 시행됩니다.

레이와 4년(2022년) 개정 개인정보보호법의 6가지 주요 포인트

레이와 2년(2020년)에 신설 개정된 개인정보보호법은 사회 및 경제 상황의 변화를 고려하여 다음의 5가지 관점에서 ‘개인 정보 및 개인과 관련된 정보를 둘러싼 기술 혁신의 성과가 경제 성장 등과 개인의 권리 이익 보호 양면에서 퍼져나가는 제도’를 목표로 개정되었습니다.

1. 개인의 권리 이익 보호
2. 기술 혁신의 성과에 의한 보호 및 활용 강화
3. 국제적인 제도 조화 및 협력
4. 국경을 넘는 데이터의 유통 증가에 따른 위험 대응
5. AI 및 빅데이터 시대에 대한 대응

출처: 개인정보보호위원회 ‘개인정보보호법 레이와 2년 개정에 대해 알아보기 | 이용 촉진과 개인정보의 적절한 취급을 위해'[ja]

레이와 4년(2022년)의 개인정보보호법 개정에서 주요 포인트는 다음의 6가지입니다.

1. 본인의 청구권 확대
2. 사업자의 의무 추가
3. 사업자의 자발적인 노력 촉진
4. 데이터 이용 촉진
5. 벌금 강화
6. 영역 외 적용 등의 확대

2022년(레이와 4년) 4월 1일에 시행된 ‘개정 개인정보보호법’에 적응하기 위해, 개인정보 취급 사업자는 개인정보보호에 관한 관리 시스템 및 개인정보 정책, 사내 규정, 계약 내용(이용 약관 등) 등의 재검토 및 개정이 필요합니다. 개인정보보호위원회(PPC)에서 지속적으로 업데이트되는 ‘개인정보보호법 가이드라인’이나 교육 자료 등을 참고하여, 회사의 개인정보 관리 체계를 재검토합시다.

이번 개정 사항 중에서, 추가된 사업자의 의무에 대해서는 아래 기사에서 자세히 설명하고 있으니, 함께 참고하시기 바랍니다.

관련 기사: 레이와 4년(2022년) 개정 개인정보보호법 ‘사업자의 의무’에 대한 주의점을 설명[ja]

개인 데이터에 대한 개인의 권리의 방향성

여기에서는 이번 개정으로 확대된 개인 데이터에 대한 권리와, 실무에서 어떤 대응이 필요한지에 대해 설명하겠습니다.

 사용 중지, 삭제, 제3자 제공 중지 요구의 요건 완화

개인 정보의 사용 중지나 삭제, 제3자 제공 중지 요구는 개정 전에는 목적 외 사용, 부정 취득 등의 경우에만 가능했지만, 개정법에서는 개인의 권리나 정당한 이익이 침해될 우려가 있는 경우에도 요구가 가능하게 되었습니다. 또한, 개인 정보를 사용할 필요가 없어진 경우 등에도 이러한 요구가 가능하게 되었습니다.

따라서, 개정 후에는 개인 정보 처리 사업자에 대한 이러한 요구 건수가 증가할 것으로 예상됩니다. 사업자 측에서는 이러한 요구에 대응하기 위한 리소스 확보와 매뉴얼 등의 재정비가 필요하게 됩니다.

또한, “사용할 필요가 없어졌는지 여부”를 판단하기 위해서는, 각 보유 개인 데이터에 대해, 사용 목적을 확인할 수 있는 체계가 필요하게 될 것입니다.

 본인으로부터의 정보 공개 요구의 확대

본인으로부터의 “보유 개인 데이터의 공개 요구”의 범위가 확대되어, 개인 정보 처리 사업자의 개인 데이터의 수수에 관한 제3자 제공 기록에 대해서도 공개 요구가 가능하게 되었습니다.

또한, 이전에는 공개 요구는 서면에 의한 교부만 가능했지만, 본인이 지정하는 방법에 의한 공개(전자적 기록의 제공에 의한 공개)가 선택 가능하게 되었습니다. 이에 따라, 개인 정보 처리 사업자에 대한 온라인 공개 요구 건수의 증가가 예상됩니다. 사업자 측에서는, 전자적 기록의 제공에 의한 방법이 실현 가능하도록 기술적, 조직적인 노력이 필요하게 됩니다.

개인 정보 처리 사업자는, 본인이 보유 개인 데이터의 제공 방법을 지정하여 공개를 요구한 경우에는, 지정한 방법에 의한 공개가 어려운 경우를 제외하고, 본인이 요구한 방법으로 공개해야 합니다.

개인 정보 처리 사업자는, 전자적 기록의 파일 형식(PDF 형식, Word 형식 등)이나 전자적 기록의 제공 방법(전자적 기록을 기록 매체에 저장하여 우편으로 보내거나, 전자적 기록을 이메일에 첨부하여 보내거나, 웹사이트에서 전자적 기록을 다운로드하게 하는 등의 방법)을 정할 수 있으며, 본인이 지정한 공개 방법이 어려운 경우에는 대응 가능한 방법으로 공개하면 충분합니다. 그러나, 본인의 편의성 향상을 위해, 가능한 한 본인의 요구에 부합하는 형태로 대응하는 것이 바람직하다고 생각됩니다.

출처: 개인 정보 보호 위원회 ‘개인 정보의 보호에 관한 법률에 대한 가이드라인에 관한 Q&A｜A9－10′[ja]

공개 등의 대상이 되는 보유 개인 데이터의 범위의 확대

개정 전에는, 6개월 이내에 삭제하는 단기 저장의 개인 데이터는 ‘보유 개인 데이터’에 포함되지 않았다고 판단되었지만, 개정법에서는 저장 기간과는 무관하게 ‘보유 개인 데이터’의 대상이 되었습니다.

따라서, 개정 전에 단기 저장을 이유로 요구 대상에서 제외하고 정리했던 개인 정보 처리 사업자는, 처리의 개정이 필요하게 됩니다.

옵트아웃 규제의 강화: 통지, 공표, 신고 사항의 추가

본인에게의 통지, 공표 및 개인 정보 보호 위원회에 신고해야 할 사항에, 다음의 사항이 추가되었습니다.

• 제3자 제공을 하는 개인 정보 처리 사업자의 이름 등
• 제3자에게 제공되는 개인 데이터의 취득 방법

‘옵트아웃 방식’을 이용하면, 미리 본인에게 ‘개인 정보를 제3자에게 제공한다’는 사용 목적을 명시하고, 본인의 요구가 있으면 ‘제3자 제공을 중지한다’는 것을 사전에 공표하면 문제가 없었습니다.

이번 법 개정에 따라, ‘옵트아웃 방식’으로 개인 데이터를 제3자에게 제공하려는 경우에는, 사전에 개인 정보 보호 위원회에 신고해야 합니다. 또한 옵트아웃 제공을 중지한 경우에도, 그 내용의 변경 신고를 하는 것이 의무화되었습니다.

따라서 ‘옵트아웃 방식’으로 제3자 제공을 하는 사업자는, 그에 따른 통지, 공표를 실시하고 있는 개인정보 처리 방침에 대해, 수정 등이 필요하게 됩니다.

옵트아웃 규제의 강화: 이중 옵트아웃의 금지

‘옵트아웃 방식’의 대상이 되지 않는 개인 데이터는, ‘주의해야 할 개인 정보’에 더해 ‘부정 취득한 개인 데이터’도 규제의 범위가 되었고, ‘옵트아웃 방식’으로 취득한 개인 데이터는 다시 ‘옵트아웃 방식’으로 제공해서는 안 되는 이중 옵트아웃의 금지 규정도 신설되었습니다.

따라서, 개인 정보 처리 사업자는, ‘옵트아웃 방식’으로 제3자 제공을 하는 개인 데이터에 대해, 어떤 수단으로 취득, 입수되었는지를 검증하고, 개정법에 대한 대응을 해야 합니다.

개정된 개인정보보호법에 따라 데이터 활용이 확대

가명 처리 정보의 신설

예를 들어, 통계 이용 등을 위해 개인 정보를 ‘익명 처리 정보’ 또는 ‘가명 처리 정보’로 처리하는 경우를 생각해 볼 수 있습니다.

앞서 언급한 바와 같이 ‘익명 처리 정보’란 다른 정보와의 대조를 통해 특정 개인을 식별할 수 없게 처리된 개인 데이터이며, 익명 처리 정보에는 다음과 같은 규칙이 있었습니다.

• 제3자 제공에 본인 동의가 불필요
• 식별 행위의 금지
• 익명 처리 정보를 생성할 때 해당 익명 처리 정보에 포함된 개인 데이터의 항목을 공개

한편, 이번 개정에서 신설된 ‘가명 처리 정보’란 다른 정보와의 대조로 개인 식별이 가능한 처리된 개인 데이터입니다. 가명 처리 정보에 대해서는 다음의 규칙이 정해졌습니다.

• 이용 목적의 변경 제한은 없지만, 변경 시에는 변경 후의 이용 목적을 공개
• 식별 행위 및 본인에게의 연락 등의 금지
• 본인으로부터의 공개·이용 중지 등의 요청에 대한 응답 의무는 없음
• 유출 시의 보고·통지 의무는 없음
• 제3자 제공의 금지

그러나, 제공 대상이 위탁·사업 계승·공동 이용(그룹 회사·공동 연구 등)의 경우에는 ‘가명 처리 정보’를 제공할 수 있습니다.

개인 정보 처리 사업자는 ‘가명 처리 정보’를 이용한 처리 등을 할 경우, 이용 목적의 특정·공개 및 제3자 제공과의 관계에서, 개인정보 처리 방침의 개정이 필요하게 됩니다.

개인 데이터로서의 개인 관련 정보의 규제

제공처에서는 ‘개인 관련 정보’이지만, 제공받는 측에서 ‘개인 데이터’로 취득하는 것이 ‘예상되는’ 경우, 제공받는 측은 그 사실에 대한 본인의 동의를 얻었는지를 제공처에 확인해야 합니다.

일명 DMP(Data Management Platform) 또는 유사 서비스 제공자에게는, ‘개인 데이터’의 제3자 제공에 준하는 규제가 부과되고 있습니다.

예) 익명의 게시자를 명예훼손죄로 고소하는 경우, 발신자 정보 공개 요청에 의해, IP 주소를 보유한 사이트 관리자가 인터넷 통신 사업자(NTT·휴대폰 회사 등)에 정보를 제공하는 경우

국경을 넘는 규제 강화 및 영역 외 적용에 관한 규정

외국에 있는 제3자에게 개인 데이터를 제공하는 경우, 개정 전에는 ‘본인의 동의’와 제공처가 ‘기준에 부합하는 체제를 갖춘 사업자’이며, 그리고 EU나 영국 등 ‘일본과 동등한 수준의 국가’인 것이 요구되었습니다.

개정법에서는, 앞서 언급한 두 가지에 대해 요구사항이 추가되었습니다. 구체적으로는 ‘본인으로부터의 동의’를 얻는 과정에서 다음의 정보 공개가 의무화되었습니다.

• 이전 대상의 소재 국가 이름
• 해당 외국에서의 개인 정보 보호에 관한 제도
• 이전 대상이 취하는 개인 정보 보호를 위한 조치
• 그 외 해당 본인에게 참고가 될 만한 정보

또한 ‘기준에 부합하는 체제를 갖춘 사업자’인지 확인하는 과정에서, 데이터 이전 원이 ‘필요한 개인 정보 보호를 위한 조치’를 취하고, 본인의 요청에 따라 이러한 정보를 제공하는 것이 의무화되었습니다.

이전 원이 취해야 하는 필요한 조치는, 구체적으로는 ‘이전 대상에서의 적절한 처리 상황 등의 관리 체제’와 ‘이전 대상에서의 적절한 처리에 위험이 발생한 경우의 대응’이 언급됩니다.

유명한 EU의 개인 정보 보호 제도인 GDPR(일반 데이터 보호 규정)나 영국·APEC의 CBPR 시스템 회원국 외에도, 여러 외국에는 독자적인 개인 정보 보호 제도가 존재하므로, 비즈니스 상황에 따라 사전에 파악하고 대응해야 할 필요가 있습니다.

‘개인 정보 보호 제도’에 대한 지표가 될 수 있는 정보로는, ‘OECD(경제 협력 개발 기구) 프라이버시 가이드라인 8 원칙’에 부합하는 사업자의 의무 또는 본인의 권리가 존재하지 않는 경우, 그 내용을 본인에게 정보 제공해야 합니다. 이는 일본의 ‘개인 정보 보호법’과의 본질적인 차이를 보여주는 것이기 때문입니다.

외국에는 일본보다 더 엄격한 개인 정보 보호 제도가 존재할 수 있으므로, 그 조사 및 파악은 중요합니다. 자세한 내용은 개인 정보 보호 위원회의 국제 관계 정보 제공을 참조하십시오.

개정법에서는, 개인 정보 보호 위원회가 외국 사업자에 대해서도 벌금에 의해 보장된 보고 징수·명령·출입 검사를 할 수 있게 되어, 국내 사업자와의 이퀄 풋팅(조건의 동일화)이 도모되었습니다.

국내외의 사업자에 대해 효과적으로 권한을 행사하고 적절한 절차를 보장하기 위해, 송달에 관한 절차(영사 송달·공시 송달 등)를 구체화하고 있습니다. 외국 주권과의 관계에서, 다른 국가의 동의가 없는 한 다른 국가 영토 내에서의 공권력 행사는 불가능하므로, 필요에 따라 외국 당국과의 집행 협력을 진행할 방침입니다(GDPR과 같은 대리인의 설치 의무는 요구되지 않습니다).

요약: 개인정보보호법 개정에 대한 대응은 변호사에게 상담하십시오

지금까지, 레이와 4년(2022년) 개정된 일본의 개인정보보호법의 주요 내용과 사업자가 실무에서 필요로 하는 대응에 대해 설명하였습니다. 여기서 다룬 개정 사항 외에도, 개인정보를 취급하는 사업자가 대응해야 할 사항은 많습니다.

세계적으로도, 개인 데이터 활용에 대한 법적 규제가 강화되고 있습니다. 특히 인터넷 상에서 서비스를 제공하는 사업자는, 전 세계에서 자사의 웹사이트에 접근할 수 있다는 점을 고려하여, 이러한 규제에 맞는 대응을 해야 합니다.

사업자는 일본의 개인정보보호법의 개정 사항뿐만 아니라, 세계의 동향에도 주목하면서, 자사의 개인정보 관리 체계를 재검토해야 합니다. 개인정보보호법 개정에 대한 대응에 어려움이 있으시다면, 변호사에게 상담하는 것을 권장합니다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근에는 개인정보 유출이 큰 문제가 되고 있습니다. 만일 개인정보가 유출된다면, 기업 활동에 치명적인 영향을 미칠 수도 있습니다. 당사는 정보 유출 방지 및 대응책에 대한 전문적인 지식을 가지고 있습니다. 아래 기사에서 자세한 내용을 기술하고 있습니다.

모노리스 법률사무소의 취급 분야: 개인정보보호법 관련 법무[ja]