개인정보보호법 '3년마다 재검토' 방침을 해석하다 - 기업 실무에 미치는 영향과 대응 포인트
서기 2026년(레이와 8년) 1월 9일, 일본 개인정보보호위원회는 “개인정보보호법 이른바 3년마다 검토하는 제도 개정 방침“을 발표했습니다. 이번 개정은 AI 시대의 데이터 활용을 촉진하는 한편, 부적절한 이용에 대해서는 ‘과징금’이라는 활용의 규칙과 규제가 새롭게 정리되어, 기업의 데이터 처리에도 영향을 미치는 내용을 포함하고 있습니다.
본 기사에서는 일본 기업이 주목해야 할 실무상의 개정 포인트를 설명합니다.
개인정보보호법 개정 방침의 배경과 제도적 요구
이번 개정 방침이 수립된 배경에는 크게 세 가지 요소가 존재합니다.
법적 의무로서의 ‘3년마다 검토’
첫째, 제도적 요구입니다. 레이와 2년(2020년) 개정법 부칙에서는 시행 후 3년마다 국제적 동향이나 정보통신 기술의 발전, 새로운 산업의 창출 상황 등을 고려하여 법의 시행 상황을 검토하고 필요한 조치를 취할 것이 의무화되었습니다.
이번 개정 방침은 이 규정에 따라 레이와 5년(2023년) 11월부터 시작된 검토 작업의 결론으로 제시된 것입니다.
참고: 개인정보보호위원회|개인정보보호법 이른바 3년마다 검토에 대하여
정부 전체의 디지털 개혁과의 연계
둘째, 정부 전체의 데이터 활용 전략과의 일관성입니다. 정부는 레이와 7년(2025년) 6월에 ‘데이터 활용 제도의 방향에 관한 기본 방침’을 각의 결정하고, 데이터와 AI의 선순환을 확립하기 위한 횡단적인 법 정비를 추진하고 있습니다. 특히, AI의 급속한 보급과 데이터 처리의 고도화·복잡화로 인해 개인이 자신의 데이터 취급을 파악하기 어려워지는 문제가 드러났습니다.
이에 대응하기 위해, 개인이 안심하고 데이터를 제공할 수 있는 신뢰의 조성이 필수적이며, 활용의 추진과 사후적 규율의 실효성 확보를 일체적으로 정비하는 것이 요구되었습니다.
사회·기술 환경의 변화에 대한 대응
셋째, 개인의 권리 이익을 둘러싼 위험의 변화입니다.
최근에는 얼굴 특징 데이터(얼굴의 형태나 부품의 배치 등을 수치화하여 개인의 식별을 가능하게 하는 정보)를 대표로 하는 생체 정보의 이용이 확산됨과 동시에, 16세 미만 아동의 개인정보 취급을 둘러싼 문제도 드러나고 있습니다.
또한, ‘암흑 명부’를 기점으로 한 특수 사기나 피싱 사기 등, 개인정보가 범죄에 악용되는 사례도 끊이지 않습니다. 더 나아가, 데이터 취급을 외부에 위탁하는 사례가 증가하는 가운데, 위탁처가 업무 범위를 넘어 데이터를 이용하는 등 관리의 부실에 기인한 위험도 지적되고 있습니다.
이러한 새로운 위험에 대해, 현행법의 틀로는 충분히 대응하지 못하는 상황이 발생하고 있는 것이 개정의 배경에 있습니다.
일본 개인정보 보호법 개정 방침의 4가지 주요 요소
이번 개정 방침은 크게 4가지 주요 요소로 구성되어 있습니다. 각각의 세부 사항에 대해 설명하겠습니다.
일본에서의 적절한 데이터 활용 촉진
이번 개정에서는 본인의 권리와 이익에 미치는 영향이 비교적 적은 데이터 이용에 대해 본인 관여의 방식을 재검토하여, 데이터 활용의 원활화를 도모합니다.
구체적으로는, 통계 정보 작성이나 AI 개발 등 특정 개인을 식별할 수 없는 형태로 이용이 보장되는 경우, 일정 요건 하에 개인 데이터의 제삼자 제공 등에 대해 본인의 동의를 불필요하게 하는 방향성이 제시되었습니다.
또한, 취득 상황에서 본인의 의사에 반하지 않는 것이 명확한 경우(예: 호텔 예약 정보의 숙박지 제공이나 해외 송금 시 정보 공유 등)에도 동의가 불필요한 정리가 검토되고 있습니다.
더 나아가, 생명·신체·재산의 보호나 공중위생의 향상에 관한 예외 규정에 대해서는, 현행의 “동의 취득이 곤란”이라는 요건을 완화하는 방향으로 재정리가 이루어지고 있으며, 학술 연구에 관한 예외에 대해서도 의료 기관에 의한 임상 연구의 원활화를 의도한 재검토가 검토되고 있습니다.
리스크에 적절히 대응한 규율
취급 방식의 변화에 따른 규율 정비도 중요한 논점으로 다뤄지고 있습니다.
먼저, 미성년자에 관한 규율로서, 16세 미만의 본인으로부터 개인정보를 수집할 경우, 원칙적으로 법정 대리인의 관여를 요구하는 방향으로 제도 정비가 검토되고 있습니다. 또한, 미성년자의 개인정보 취급에 대해 “본인의 최선의 이익”을 고려해야 한다는 책임 규정의 신설도 제시되고 있습니다.
다음으로, 생체 정보에 관한 규율로서, 얼굴 특징 데이터 등 특정 개인을 지속적으로 식별할 수 있는 정보에 대해서는 이용 목적 등의 주지 강화나 이용 중지 요청 범위 확대 등이 검토되고 있습니다. 아울러, 옵트아웃에 의한 제3자 제공의 재검토도 논점으로 다뤄지고 있습니다.
더불어, 위탁에 관한 규율에 대해서는, 위탁처에 의한 업무 범위 외 이용을 방지하기 위한 규율의 명확화가 검토되고 있습니다. 한편, 위탁자의 지시에 따라 기계적인 처리만을 수행하는 경우에는 의무의 합리화를 위한 방향성도 제시되고 있습니다.
이 외에도, 정보 유출 등 사건에 대한 대응에 있어서도, 리스크의 정도에 따라 본인 통지나 보고의 방식을 재검토하는 방향으로 제도 설계가 검토되고 있습니다.
부적절한 이용 방지
부적절한 이용 방지에 대해서는, 범죄 행위 등으로의 악용을 막기 위한 규율이 강화됩니다.
전화번호나 쿠키 ID 등 특정 개인에게 연락이 가능한 정보에 대해, 비록 개인 정보에 해당하지 않더라도 피싱 사기 등 부적절한 목적으로의 이용이나 취득을 금지합니다. 또한, 옵트아웃 제도를 통한 제공 시 제공처의 신원과 이용 목적 확인을 의무화하여 명부의 부정 유통을 억제합니다.
규율 준수의 실효성 확보
규율 준수의 실효성 확보는 이번 개정에서 가장 큰 우려 사항입니다. 신속한 시정 명령을 가능하게 하기 위해 요건이 재검토되며, 위반 행위를 보조하는 제3자(호스팅 사업자 등)에 대한 조치 요청의 근거 규정도 신설됩니다.
또한, 대량의 개인 정보를 수집하고 악의적인 이용·제공을 통해 경제적 이익을 얻는 사업자에게는 얻은 재산상의 이익에 상응하는 금액의 과징금 납부를 명령하는 제도를 도입합니다. 대상은 원칙적으로 본인의 수가 1,000명을 초과하는 대규모 사건에 한정되지만, 이를 통해 기업의 컴플라이언스 리스크는 현저히 높아집니다.
일본 개인정보 보호법 개정에 따른 기업의 대응 방안
개정 방침의 내용은 다양하며, 기업은 법무 및 컴플라이언스 체제를 근본적으로 재검토해야 합니다. 구체적으로 요구되는 대응을 정리합니다.
위탁처 관리 재구축 및 계약 재검토
이번 개정으로 인해, 위탁처에도 직접적인 법적 의무가 부과됩니다. 기업은 우선, 자사가 위탁자가 되는 경우, 위탁처가 업무 범위를 초과하여 데이터를 사용하지 않는지 감독 체제를 재점검해야 합니다. 특히, AI 개발이나 데이터 분석을 외부에 위탁하는 경우, 위탁처가 독자적인 학습에 데이터를 사용하는 것은 신법 하에서 명문으로 금지될 위험이 있습니다.
한편, 입력 작업 등 “기계적 처리”만을 위탁하는 경우에는 의무 면제의 특례를 받을 수 있도록, 계약서에서 처리 방법의 전부를 합의하고, 상황 파악 조치를 명시하는 등 새로운 제도에 적응하기 위한 계약 개정 준비가 필요합니다.
미성년자 및 생체 데이터에 관한 특별 규칙 정비
16세 미만의 미성년자를 대상으로 서비스를 제공하는 기업은, 연령 확인 절차의 구축과 법정 대리인의 동의를 얻기 위한 워크플로우의 구현이 시급합니다. 또한 “미성년자의 최선의 이익”을 고려할 책임이 부과되므로, 개인정보 보호정책에 미성년자를 위한 이해하기 쉬운 설명을 추가하는 등의 배려도 요구될 것입니다.
또한, 얼굴 인식 시스템을 도입한 기업은, 주지해야 할 사항(취득자의 명칭, 구체적인 이용 목적, 신체적 특징의 내용 등)이 법적 의무화될 것에 대비하여, 게시판이나 웹사이트의 기재 내용을 정밀히 검토해야 합니다.
“공격적 거버넌스”로서의 통계 활용
한편, 이번 개정은 데이터의 이용 촉진 측면도 가지고 있습니다. 통계 작성 등에 한정된 본인 동의 불필요의 특례가 검토되고 있으며, 일정 요건 하에 고도의 데이터 분석이나 AI 개발에의 활용 범위가 넓어질 가능성이 있습니다.
기업으로서는, 이 특례를 적절히 활용하기 위한 사내 규칙(목적 외 이용 금지, 제3자 제공 제한, 적절한 공표 절차 등)을 정비하고, 혁신 창출을 위한 법적 기반을 마련하는 것이 중요합니다.
엄벌화 및 과징금에 대한 리스크 관리
이번 개정에서 큰 논점이 되고 있는 것은 과징금 제도와 벌칙의 강화입니다. 대규모 유출이나 부적절한 이용이 발생한 경우, 행정 명령에 더해 부당하게 얻은 이익에 상당하는 과징금의 납부가 명령될 가능성이 있습니다.
또한, 법인에 대한 벌칙 강화도 논의되고 있으며, 부적절한 명부업자로부터의 데이터 취득이나 사기적인 이용으로 이어질 우려가 있는 데이터 활용을 배제하기 위한 컴플라이언스 체제의 구축이 중요합니다.
결론: 일본 개인정보 보호법 개정 방침에 대해 전문가와 상담을
이번 일본 개인정보 보호법 개정 방침은 단순한 소규모 변경이 아니라, AI 시대의 도래와 심각해지는 데이터 범죄에 대응하기 위한 매우 실효성 높은 조치입니다.
개정 법안은 레이와 8년(2026년) 통상 국회에 제출될 예정이며, 성립될 경우 레이와 9년(2027년)에서 10년(2028년)경 시행이 예상됩니다. 개정 방침이 공표된 지금, 법제화를 기다리지 않고 현 시점부터 자사의 데이터 거버넌스 방식을 재검토하는 것이 중요합니다. 특히, 과징금 제도의 도입이나 미성년자 및 생체 데이터에 대한 엄격한 규율은 경영에 직접적으로 연결되는 과제가 됩니다. 앞으로의 법제화 동향을 주시하면서, 사내 관련 부서와 협력하여 착실한 준비를 진행할 것을 권장합니다.
당 법무법인의 대응 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 높은 전문성을 보유한 법률사무소입니다. 최근 일본의 개인정보 보호법에 관한 거버넌스에 주목이 모아지고 있습니다. 당 법무법인은 노동 문제에 대한 솔루션을 제공하고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.
